-
Вирус с задатками антивируса
Файл сохранён как 080701_084201_lam_486a34294a1c5.zip
Размер файла 256862
MD5 f3c29e20ba455a1abcf382911597bf10
Краткая история.
Знакомый с Украины отправил данный образец в ЛК, но получил ответ "не найдено ничего вредоносного".
Цитата из его письма в ЛК:
"образец скрытно размножается, но специфческим образом:
1) При обращении к инфицированному носителю зловред копирует себя в скрытый каталог C:\Program
Files\WinDriveGuard\DriveGuard.exe;
2) Создает ярлык для возможности автозапуска указнного файла при последующих
стартах ОС:
\Documents and Settings\All Users\Главное
меню\Программы\Автозагрузка\driveguard.lnk
Затем до первого перезапуска системы завершает свою работу;
3) Получив управление, вирус отается в памяти компьютера, отслеживает
съемные диски и инфицирует их;
4) Проявляет задатки антивируса: ищет в корнях всех логических дисков
компьютера файлы autorun.inf и переименовывает их в autorun.inf.bak;
5) Создает свою копию как
\Documents and Settings\%текущий юзер%\Local Settings\Temp\VerUpdate.tmp, используя которую пытается скачать из сети своё обновление. Инфа по обновлению зписывается там же во временный файл с именем %updatelog.tmp, где % - случайный набор цифр"
Забавно, что рассматриваемая поделка сообщает, что ее якобы произвел "Макрософт" (см. свойства exe). Явно намек на старшего брата Microsoft'a 
Многие антивирусы относят данный объект к вредоносным.
Параллельно направляю образец на [email protected].
Добавлено через 8 минут
Такое ощущение, что это - плод творчества начинающего программиста, который еще точно не определился, будет ли он писать вредоносы, или утилиты по отлову таковых.
Последний раз редактировалось Lemmit; 01.07.2008 в 19:45.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
3) Получив управление, вирус отается в памяти компьютера, отслеживает
съемные диски и инфицирует их;
4) Проявляет задатки антивируса: ищет в корнях всех логических дисков
компьютера файлы autorun.inf и переименовывает их в autorun.inf.bak;
имхо, антивирусом тут и не пахнет - переименовывает автораны.инф в авторан.инф.бак лишь для того, что бы записать на их место свои - как же он еще инфицирует съемные диски - думаю, что он пишет на них свои автораны и файл, который прописывает в авторан...
или я в чем-то ошибаюсь?
-
Конечно, priv8v, это совсем не антивирус.
Первым на посылку сэмпла вендорам ответил DrWeb в 18:49:
"Your request has been analyzed. New virus record has been added.
Virus: Win32.HLLW.Autoruner.2294.
Thank you for the cooperation.
--
Yours sincerely,
Virus Monitoring Service Doctor Web Ltd."
-
С сегодняшнего дня образец детектируется ЛК как Worm.Win32.AutoIt.ar
-
Ответить с цитированием
