Зайцев Олег
15.03.2008, 17:07
Видимые проявления:
Блокировка работы AVP, AVZ, GMER, CureIT
Подмена системного драйвера beep.sys
На момент составления описания известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW образца 4.03.2008. Сама вредоносная программа является дроппером, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\drivers\beep.sys, причем повторяет эту операцию три раза подряд (в том числе создавая копию в \dllcache).
После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run.
Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).
Удаление: так как блокировка идет по именам, то достаточно переименовать исполняемый файл AVZ скажем в 123.com. Симптомом является тот факт, что AVZ не опознает драйвер beep.sys по базе безопасных.
Блокировка работы AVP, AVZ, GMER, CureIT
Подмена системного драйвера beep.sys
На момент составления описания известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW образца 4.03.2008. Сама вредоносная программа является дроппером, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\drivers\beep.sys, причем повторяет эту операцию три раза подряд (в том числе создавая копию в \dllcache).
После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run.
Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).
Удаление: так как блокировка идет по именам, то достаточно переименовать исполняемый файл AVZ скажем в 123.com. Симптомом является тот факт, что AVZ не опознает драйвер beep.sys по базе безопасных.