Показано с 1 по 15 из 15.

Новый деструктивный троян

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Новый деструктивный троян Trojan.VBS.KillFiles.u

    Внимание !
    Сегодня мне прислали на анализ новую разновидность деструктивного трояна, который пока не детектируется антивирусами. Присланный мне образец назывался "Фото Катя.exe", размер порядка 350 кб, иконка похожа на логотип файла ICQ. В случае запуска зловред выполняет следующие операции:
    1. Дропает на диск скрипт TEMP\dll.vbs
    2. Дропает на диск файл TEMP\Катя.jpg, после чего запускает "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre en <полный путь к папке TEMP>\Катя.jpg. Это приводит к открытию изображения, это фото какой-то девушки
    3. Запускает "WINDOWS\System32\WScript.exe" "<полный путь к TEMP>\dll.vbs"
    ----
    Файл dll.vbs - зашифрованный вредоносный деструктивный скрипт на Basic, который:
    1. Уничтожает файл C:\ntldr (что блокирует загрузку системы)
    2. Создает ряд политик, блокирующих и искажающих нормальную работу системы, преименовывае мусорную корзину в "Помойка ламера"
    3. Уничтожает в папке WINDOWS\system32\ ряд файлов, в частности hal.dll, \dllcache\*.CAT (в коде стоят команды уничтожения system32\dllcache и system32\drives, в счастью в слове "drivers" опечатка, иначе восстановить систему было бы невозможно)
    4. Блокирует запуск EXE файлов путем модификации ключа реестра "exefile\shell\open\command"
    5. Самоуничтожается, стирая с диска dll.vbs
    6. Висит, вызывая в цикле rundll32. Помешать зловреду на этой стадии сложно, т.е. EXE файлы уже не запускаются и диспетчер задач блокирован

    Как легко заметить из описания, зловред очень похож на печально знаменитую "диструктивную рекламу", которая удаляла файлы на диске.
    Восстановление системы:
    1. загрузиться с boot CD
    2. восстановить C:\ntldr, system32\hal.dll (файлы можно взять с идентичной системы)
    3. Создать на диске пораженного ПК папку AVZ, распаковать в нее AVZ и переименовать его исполняемый файл в avz.pif. запомнить полный путь
    3. загрузиться с пораженной системы в "защищенном режиме с поддержкой командной строки (в обычном меню и запуск программу будут блокированы политиками)
    4. В открывшемся окне командной строки запустить AVZ, введя его полное имя (например, c:\avz4\avz.pif)
    5. Выполнить "Файл\Восстановление ситемы", там отметить скрипты c номерами 1,4,5,6,7,8,11,16 и нажать "выполнить скрипт"
    6. Перезагрузиться (Ctrl+Alt+Del, в меню диспетчера задач выбрать "завершение работы\перезагрузка"

    Защита от подобного зловреда элементарна - не запускать непонятно откуда взятые EXE ... будем надеяться, что он не получит широкого распространения
    Последний раз редактировалось Зайцев Олег; 24.09.2007 в 11:35.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    Боюсь, что опечатку исправят Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.
    Left home for a few days and look what happens...

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Боюсь, что опечатку исправят Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.
    Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть
    Да. В то время самым надёжным и мощным средством распространения вирусов были дискеты, теперь эл. почта, мессенджеры. При нынешней привычке пользователей жать на все ссылки брошенные им в аську, эта зараза может получить широкое распространение. Ведь множество народу попадалось на фотки Катек-Машек-Юлек-... и мультики про себя несмотря на предупреждения
    Left home for a few days and look what happens...

  6. #5
    Prohodimez
    Guest

    Фото

    Фото кати выложите - вира ждать желания нет, но хоть мосю гляну!

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    Олег, если я правильно понял, то этот вирь не работает без прав админа?
    Left home for a few days and look what happens...

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Олег, если я правильно понял, то этот вирь не работает без прав админа?
    Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.

  9. #8
    Junior Member Репутация
    Регистрация
    22.06.2005
    Сообщений
    50
    Вес репутации
    42
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.
    Тогда это действительно помойка ламера, а не компьютер.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от c0med1an Посмотреть сообщение
    Тогда это действительно помойка ламера, а не компьютер.
    Человек может быть отличным бухгалтером, механиком, медиком, музыкантом, милиционером ... (список длинный ), и при этом по долгу службы работать с ПК. При этом возникает дурацкий вопрос - почему он обязан знать тонкости администрирования ПК и страдать от всяких деструктивных зловредов ?

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Зайцев Олег, кем в настоящий момент детектируются эта штука?

  12. #11
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    18
    Вес репутации
    34
    Это наверное типа этого вируса (см. в прикреплённом файле ) . В 2005 году было дело , каспер начал его детектить через 3 дня после того как я им его заслал , а веб через 2 . Мне понравилось как эта штука курочит систему , можна потренироватся в смысле восстановлении реестра . Архив запаролен : 001 .
    Последний раз редактировалось drongo; 20.09.2007 в 18:22. Причина: Нельзя прикреплять зловредов к сообщениям

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Maxim Посмотреть сообщение
    Зайцев Олег, кем в настоящий момент детектируются эта штука?
    ЛК детектят все (и обертку, и скрипт), остальные - не знаю, не проверял ... только что проверил - детектит F-Secure, Kaspersky, Norman. Panda подозревает.
    Последний раз редактировалось Зайцев Олег; 20.09.2007 в 20:27.

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    ЛК детектят все (и обертку, и скрипт)
    Под каким именем? Не плохо ещё и в остальные вир. лабы отправить, хотя бы Dr.Web и Avira.

  15. #14
    Junior Member Репутация
    Регистрация
    19.09.2007
    Адрес
    Пермский край
    Сообщений
    42
    Вес репутации
    34
    И сюда бы его http://www.clamav.org/sendvirus/

  16. #15

Похожие темы

  1. Обнаружен новый троян для BIOS
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 13.09.2011, 21:30
  2. Новый сетевой троян.
    От MrShiva в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 11.04.2010, 01:15
  3. Новый троян
    От HellFire в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 13.10.2008, 10:21
  4. Кажеться новый троян.
    От avryabov в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 20.08.2006, 17:36
  5. Новый троян вынудит MS выпустить патч для IE
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 05.12.2005, 21:03

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01349 seconds with 24 queries