-
Virus.VBS.Agent.c - "Диструктивная" реклама
Опасная троянская программа, уничтожает данные пользователя на диске. От данного зловреда пострадали многие пользователи, зафиксирован буквально шквал обращений (в том числе в конференциях http://virusinfo.info и http://forum.kaspersky.com
Видимые проявления - в автозапуске появляется посторонний файл one.exe (файл размещается в папке Windows), который является SFX архивом. В случае запуска он распаковывается в корень диска C:, при это создаются следующие файлы: dr.vbs, DR1.dr, DR2.dr и DR3.dr. Файл dr.vbs после этого запускается (для извлечения файлов и запуска в архиве имеется скрипт: Path=c:\ Setup=dr.vbs).
Скрипт dr.vbs зашифрован для защиты от изучения, шифровка примитивная. Расшифровка показывает, что скрипт ищет файлы на диске (при этом анализируются все диски системы с типом Fixed (т.е. HDD) и Network (сетевой диск)), и в зависимости от расширения копирует заготовки
DR1.dr - DR3.dr поверх некоторых файлов. Поражаются файлы следующих типов:
mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave - поверх них копируется файл DR1.dr
jpg,bmp,gif,png -> DR2.dr
txt,xlsЭ,doc,htm,xl -> DR3.dr
Файл DR1.dr является музыкальным файлом с ID3 тегом "Тут могла быть ваша РЕКЛАМА!!! По вопросам размещения во второй волне : xxx@yyyy", соответственно DR2.dr - это картинка формата JPEG (в ней призыв разместить рекламу написан на картинке, причем с лозунгом "Диструктивная реклама") и DR3.dr - текстовый файл, по содержимому идентичный ID3 тегу DR1.dr.
Как очевидно из описания, файлы перечисленных расширений будут уничтожены, резервных копий затираемых файлов зловред не делает.
Скрипт по некоторым стилистическим элементам похож на аналогичного деструктивного зловреда Email-Worm.VBS.Agent.j
Внедрение в систему и распространение
Зловред распространяется в виде файла с расширением SCR, размер файла - 424 кб, это SFX архив с файлами 01.vbs, 02.vbs, 03.vbs, 04.vbs и one.exe внутри. В случае запуска файлы извлекаются в папку Windows и идет запуск 01.vbs
1. WINDOWS\01.vbs - проверяет наличие в корне диска dr.vbs. Если его нет, то запускается 02.vbs и самоуничтожается
2. WINDOWS\02.vbs - просматривает папки в каталоге Mra\, принадлежащем MailRu Agent. Сканированием этой папки строит список адресов - найденные адреса заносятся в файл "c:\DR.dr", после чего запускается 03.vbs и самоуничтожается
3. WINDOWS\03.vbs -регистрирует в реестре файл one.exe, блокирует запуск редактора реестра и диспетчера задач через политики, после чего рассылает на один из встроенных в тело скрипта адресов письмо, текстовка "complete..." + аттчач - файл c:\DR.ey, после чего запускает 04.vbs и самоуничтожается. Файл DR.ey содержит данные ключа реестра Software\Mail.Ru\Agent.
4. WINDOWS\04.vbs Рассылает письма c заголовком "Вам пришла открытка от: xxxx" и телом "Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: xxxx@ Открытка ждёт Вас по адресу: <полный адрес файла SCR, инсталлирующего зловреда>. Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней."
Для поражения ПК нужно перейти по указанной в подобном письме ссылке, загрузить и запустить файл (подтвердив запрос системы на запуск). Таким образом следует вспомнить основную заповедь безопасности в Интернет - не следует переходить по подозрительным ссылкам и запускать непонятные программы, загруженные по этим ссылкам ... Зловред заменяет все текстовые файлы, звуки и картинки, в том числе и системные и принадлежащие различным программам - поэтому если он отработал, то стоит или восстановить систему из резервной копии, или произвести ее переустановку
Последний раз редактировалось Зайцев Олег; 10.07.2007 в 09:28.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 62
Всё понятно...пасиба.. Вот тока у мя небольшой вопросик: раз все файлы были заменены на новые, то почему, когда я сморю на папку с рисунками (вид - эскизы страниц) на ней отображаются мои нормальные фалы, а не эта шняга? Т.е. нормальные файлы на компе всё ещё есть, разве нет??
-
Нет. Есть соханённые системой малоформатные эскизы, которые зверь не затёр. Возможно, потому, что они хранятся в какой-то закрытой базе, о которой зловред понятия не имеет.
-
-
Сообщение от
pig
Нет. Есть соханённые системой малоформатные эскизы, которые зверь не затёр. Возможно, потому, что они хранятся в какой-то закрытой базе, о которой зловред понятия не имеет.
Именно так дело и обстоит. XP кеширует эскизы для быстрого просмотра, файл базы данных имеет имя Thumbs.db (с атрибутами скрытый + системный), такой файл автоматом создается системой в папках с рисунками при условии, что папкая отображается в режиме "эскизы страниц". Зверь его не трогает, но и вынуть оотуда ничего интересного нельзя - эскизы размером с крупную иконку.
-
-
Олег, он трет файлы только на диске C или на всех локальных дисках, или же на всех доступных - сетевые диски, расшаренные папки на других компьютерах?
-
-
Сообщение от
anton_dr
Олег, он трет файлы только на диске C или на всех локальных дисках, или же на всех доступных - сетевые диски, расшаренные папки на других компьютерах?
На всех HDD и на всех доступных сетевых дисках
-
-
Сетевых дисках и/или сетевых папках? Это все-таки вроде разные вещи.
-
-
Народ, а сэмпл у кого-нибудь есть этого зловреда?
Поделитесь плиз....
-
-
Сообщение от
anton_dr
Сетевых дисках и/или сетевых папках?
Это все-таки вроде разные вещи.
Именно на сетевых дисках. Т.е. эта штука енумерирует все доступные дисковые устройства пораженного ПК и в цикле проверяет тип для каждого найденного диска. Если диск имеет тип Fixed (т.е. это HDD) или тип Network (сетевой диск), то делается попытка его "обработки". Сканировать сеть на предмет поиска ПК и соответственно наличия на нем доступных для записи расшаренных папок он к счастью не умеет.
-
-
-
-
Народ, а сэмпл у кого-нибудь есть этого зловреда?
Поделитесь плиз....
Вам зачем? Мы не занимаемся распространением вирусов.
-
-
Сообщение от
Maxim
Вам зачем? Мы не занимаемся распространением вирусов.
Хочу проверить Dr.Web на ликвидность и если пропустит, отдать им... так как тесно с ними сотрудничаю....
Дабы это не было как пиар-акция...
-
-
Хочу проверить Dr.Web на ликвидность и если пропустит, отдать им... так как тесно с ними сотрудничаю....
Dr.Web его уже детектирует как Trojan.MulDrop.7430.
-
-
Сообщение от
Maxim
Dr.Web его уже детектирует как Trojan.MulDrop.7430.
Да, из всех антивирусов его ловит только AVP и WEB
-
-
Скоро ещё будет ловить Avira. Я ещё отправил авасту и ноду (в субботу или воскресенье) - тишина... Вот и показатель качества.
-
-
Сообщение от
Maxim
Dr.Web его уже детектирует как Trojan.MulDrop.7430.
Ну дайте поэкспериментировать с детектом и добавить в свою коллекцию (в которой уже 1500 вирусов...) Мне это Важно...
мыло Вам куда кинуть???
-
-
Junior Member
- Вес репутации
- 62
Зайцев Олег, И что, сейчас нельзя восстановить эти файлы?
-
Ну дайте поэкспериментировать с детектом и добавить в свою коллекцию (в которой уже 1500 вирусов...) Мне это Важно...
Ещё раз говорю, мы не даем аттачи посторонним.
-
-
Сообщение от
Maxim
Ещё раз говорю, мы не даем аттачи посторонним.
Я не посторонний, я всегда бываю на http://www.anti-malware.ru/phpbb/ и www.lemnews.com и на форуме Dr.Web...
И потом, если я сказал, что я честный человек... значит это так, даю ВАМ слово офицера...
Вам этого достаточно???
-
-
Сообщение от
IgorA
STALK:ER
И давно сотрудничаете ?
Как тестер не совсем, точнее недавно. А как продавец и пользователь давно...
-