PDA

Просмотр полной версии : Новый деструктивный троян



Зайцев Олег
18.09.2007, 23:06
Внимание !
Сегодня мне прислали на анализ новую разновидность деструктивного трояна, который пока не детектируется антивирусами. Присланный мне образец назывался "Фото Катя.exe", размер порядка 350 кб, иконка похожа на логотип файла ICQ. В случае запуска зловред выполняет следующие операции:
1. Дропает на диск скрипт TEMP\dll.vbs
2. Дропает на диск файл TEMP\Катя.jpg, после чего запускает "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre en <полный путь к папке TEMP>\Катя.jpg. Это приводит к открытию изображения, это фото какой-то девушки
3. Запускает "WINDOWS\System32\WScript.exe" "<полный путь к TEMP>\dll.vbs"
----
Файл dll.vbs - зашифрованный вредоносный деструктивный скрипт на Basic, который:
1. Уничтожает файл C:\ntldr (что блокирует загрузку системы)
2. Создает ряд политик, блокирующих и искажающих нормальную работу системы, преименовывае мусорную корзину в "Помойка ламера"
3. Уничтожает в папке WINDOWS\system32\ ряд файлов, в частности hal.dll, \dllcache\*.CAT (в коде стоят команды уничтожения system32\dllcache и system32\drives, в счастью в слове "drivers" опечатка, иначе восстановить систему было бы невозможно)
4. Блокирует запуск EXE файлов путем модификации ключа реестра "exefile\shell\open\command"
5. Самоуничтожается, стирая с диска dll.vbs
6. Висит, вызывая в цикле rundll32. Помешать зловреду на этой стадии сложно, т.е. EXE файлы уже не запускаются и диспетчер задач блокирован

Как легко заметить из описания, зловред очень похож на печально знаменитую "диструктивную рекламу", которая удаляла файлы на диске.
Восстановление системы:
1. загрузиться с boot CD
2. восстановить C:\ntldr, system32\hal.dll (файлы можно взять с идентичной системы)
3. Создать на диске пораженного ПК папку AVZ, распаковать в нее AVZ и переименовать его исполняемый файл в avz.pif. запомнить полный путь
3. загрузиться с пораженной системы в "защищенном режиме с поддержкой командной строки (в обычном меню и запуск программу будут блокированы политиками)
4. В открывшемся окне командной строки запустить AVZ, введя его полное имя (например, c:\avz4\avz.pif)
5. Выполнить "Файл\Восстановление ситемы", там отметить скрипты c номерами 1,4,5,6,7,8,11,16 и нажать "выполнить скрипт"
6. Перезагрузиться (Ctrl+Alt+Del, в меню диспетчера задач выбрать "завершение работы\перезагрузка"

Защита от подобного зловреда элементарна - не запускать непонятно откуда взятые EXE ... будем надеяться, что он не получит широкого распространения

ALEX(XX)
18.09.2007, 23:12
Боюсь, что опечатку исправят :( Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.

Зайцев Олег
18.09.2007, 23:19
Боюсь, что опечатку исправят :( Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.
Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть

ALEX(XX)
18.09.2007, 23:26
Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть
Да. В то время самым надёжным и мощным средством распространения вирусов были дискеты, теперь эл. почта, мессенджеры. :( При нынешней привычке пользователей жать на все ссылки брошенные им в аську, эта зараза может получить широкое распространение. Ведь множество народу попадалось на фотки Катек-Машек-Юлек-... и мультики про себя :( несмотря на предупреждения

Prohodimez
19.09.2007, 09:37
Фото кати выложите - вира ждать желания нет, но хоть мосю гляну! :)

ALEX(XX)
19.09.2007, 09:41
Олег, если я правильно понял, то этот вирь не работает без прав админа?

Зайцев Олег
19.09.2007, 11:35
Олег, если я правильно понял, то этот вирь не работает без прав админа?
Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.

c0med1an
20.09.2007, 09:46
Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.

Тогда это действительно помойка ламера, а не компьютер.

Зайцев Олег
20.09.2007, 10:07
Тогда это действительно помойка ламера, а не компьютер.
Человек может быть отличным бухгалтером, механиком, медиком, музыкантом, милиционером ... (список длинный :) ), и при этом по долгу службы работать с ПК. При этом возникает дурацкий вопрос - почему он обязан знать тонкости администрирования ПК и страдать от всяких деструктивных зловредов ?

Макcим
20.09.2007, 15:40
Зайцев Олег, кем в настоящий момент детектируются эта штука?

vovi
20.09.2007, 18:19
Это наверное типа этого вируса (см. в прикреплённом файле ) . В 2005 году было дело , каспер начал его детектить через 3 дня после того как я им его заслал , а веб через 2 . Мне понравилось как эта штука курочит систему , можна потренироватся в смысле восстановлении реестра . Архив запаролен : 001 .

Зайцев Олег
20.09.2007, 20:19
Зайцев Олег, кем в настоящий момент детектируются эта штука?
ЛК детектят все (и обертку, и скрипт), остальные - не знаю, не проверял ... только что проверил - детектит F-Secure, Kaspersky, Norman. Panda подозревает.

Макcим
20.09.2007, 21:03
ЛК детектят все (и обертку, и скрипт)Под каким именем? Не плохо ещё и в остальные вир. лабы отправить, хотя бы Dr.Web и Avira.

stopka2top
20.09.2007, 21:29
И сюда бы его http://www.clamav.org/sendvirus/

Xen
21.09.2007, 02:55
Опять проделки какого-то школьника обсуждаем =)