# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Новый деструктивный троян

## Зайцев Олег

Внимание !
Сегодня мне прислали на анализ новую разновидность деструктивного трояна, который пока не детектируется антивирусами. Присланный мне образец назывался "Фото Катя.exe", размер порядка 350 кб, иконка похожа на логотип файла ICQ. В случае запуска зловред выполняет следующие операции:
1. Дропает на диск скрипт TEMP\dll.vbs 
2. Дропает на диск файл TEMP\Катя.jpg, после чего запускает "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre  en <полный путь к папке TEMP>\Катя.jpg. Это приводит к открытию изображения, это фото какой-то девушки
3. Запускает "WINDOWS\System32\WScript.exe" "<полный путь к TEMP>\dll.vbs" 
----
Файл dll.vbs - зашифрованный вредоносный деструктивный скрипт на Basic, который:
1. Уничтожает файл C:\ntldr (что блокирует загрузку системы)
2. Создает ряд политик, блокирующих и искажающих нормальную работу системы, преименовывае мусорную корзину в "Помойка ламера"
3. Уничтожает в папке WINDOWS\system32\ ряд файлов, в частности hal.dll, \dllcache\*.CAT (в коде стоят команды уничтожения system32\dllcache и system32\drives, в счастью в слове "drivers" опечатка, иначе восстановить систему было бы невозможно)
4. Блокирует запуск EXE файлов путем модификации ключа реестра "exefile\shell\open\command"
5. Самоуничтожается, стирая с диска dll.vbs 
6. Висит, вызывая в цикле rundll32. Помешать зловреду на этой стадии сложно, т.е. EXE файлы уже не запускаются и диспетчер задач блокирован

Как легко заметить из описания, зловред очень похож на печально знаменитую "диструктивную рекламу", которая удаляла файлы на диске.
Восстановление системы:
1. загрузиться с boot CD
2. восстановить C:\ntldr, system32\hal.dll (файлы можно взять с идентичной системы)
3. Создать на диске пораженного ПК папку AVZ, распаковать в нее AVZ и переименовать его исполняемый файл в avz.pif. запомнить полный путь
3. загрузиться с пораженной системы в "защищенном режиме с поддержкой командной строки (в обычном меню и запуск программу будут блокированы политиками)
4. В открывшемся окне командной строки запустить AVZ, введя его полное имя (например, c:\avz4\avz.pif)
5. Выполнить "Файл\Восстановление ситемы", там отметить скрипты c номерами 1,4,5,6,7,8,11,16 и нажать "выполнить скрипт"
6. Перезагрузиться (Ctrl+Alt+Del, в меню диспетчера задач выбрать "завершение работы\перезагрузка"

Защита от подобного зловреда элементарна - не запускать непонятно откуда взятые EXE ... будем надеяться, что он не получит широкого распространения

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ALEX(XX)

Боюсь, что опечатку исправят  :Sad:  Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.

----------


## Зайцев Олег

> Боюсь, что опечатку исправят  Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.


Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть

----------


## ALEX(XX)

> Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть


Да. В то время самым надёжным и мощным средством распространения вирусов были дискеты, теперь эл. почта, мессенджеры.  :Sad:  При нынешней привычке пользователей жать на все ссылки брошенные им в аську, эта зараза может получить широкое распространение. Ведь множество народу попадалось на фотки Катек-Машек-Юлек-... и мультики про себя  :Sad:  несмотря на предупреждения

----------


## Prohodimez

Фото кати выложите - вира ждать желания нет, но хоть мосю гляну!  :Smiley:

----------


## ALEX(XX)

*Олег*, если я правильно понял, то этот вирь не работает без прав админа?

----------


## Зайцев Олег

> *Олег*, если я правильно понял, то этот вирь не работает без прав админа?


Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.

----------


## c0med1an

> Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.


Тогда это действительно помойка ламера, а не компьютер.

----------


## Зайцев Олег

> Тогда это действительно помойка ламера, а не компьютер.


Человек может быть отличным бухгалтером, механиком, медиком, музыкантом, милиционером ... (список длинный  :Smiley:  ), и при этом по долгу службы работать с ПК. При этом возникает дурацкий вопрос - почему он обязан знать тонкости администрирования ПК и страдать от всяких деструктивных зловредов ?

----------


## Макcим

*Зайцев Олег*, кем в настоящий момент детектируются эта штука?

----------


## vovi

Это наверное типа этого вируса (см. в прикреплённом файле ) . В 2005 году было дело , каспер начал его детектить через 3 дня после того как я им его заслал , а веб через 2 . Мне понравилось как эта штука курочит систему , можна потренироватся в смысле восстановлении реестра . Архив запаролен : 001 .

----------


## Зайцев Олег

> *Зайцев Олег*, кем в настоящий момент детектируются эта штука?


ЛК детектят все (и обертку, и скрипт), остальные - не знаю, не проверял ... только что проверил - детектит F-Secure, Kaspersky, Norman. Panda подозревает.

----------


## Макcим

> ЛК детектят все (и обертку, и скрипт)


Под каким именем? Не плохо ещё и в остальные вир. лабы отправить, хотя бы Dr.Web и Avira.

----------


## stopka2top

И сюда бы его http://www.clamav.org/sendvirus/

----------


## Xen

Опять проделки какого-то школьника обсуждаем =)

----------

