Worm.Win32.AutoRun

Вчера произошло следующее:

Я лазил по сайтам с вакансиями, кадровыми агентвами и т.д. Кликнул на какую-то с виду безопасную рекламную ссылку с каталогом кадровых агенств(ссылка была размещена на [EMAIL="Работа@майл.ru"]Работа@майл.ru[/EMAIL]) Окно открывалось долго и KAV 7.0 заорал(не сразу, а с задержкой), что обнаружено опасное ПО(Файл [B][I]Autorun.inf[/I][/B] на одной из флэшек). Я нажал "удалить", потом зашёл в Far по пути указанном Каспером чтобы посмотреть, что там удалилось и что осталось. В корне 2-х флэшек оказался скрытый файл [B][I]system.exe, [/I][/B]который Каспер почему-то не удалил, хотя невооружённым взглядом видно, что это кусок вируса. Я грохнул его вручную на обоих флэшках, но через несколько секунд оба файла "родились" заново и там, и там(и так можно повторять бесконечно). При этом Каспер каждый раз ругается и удаляет только [B][I]Autorun.inf. [/I][/B]Ещё червь каждые несколько секунд грызёт Флоппик. Видимо пытается заразить, но диска там нет.

Детектирует Каспер этот червь каждый раз, как разную модификацию, хотя файлы создаются абсолютно идентичные до байта. Вот весь список названий, как его детектирует KIS 2009:

[B][I]Worm.Win32.AutoRun.llc
Worm.Win32.AutoRun.lpp
Worm.Win32.AutoRun.lry
Worm.Win32.AutoRun.lxg
Worm.Win32.AutoRun.lzn
Worm.Win32.AutoRun.mdu
Worm.Win32.AutoRun.mlr
Worm.Win32.AutoRun.noi
Worm.Win32.AutoRun.pqw
Worm.Win32.AutoRun.prf
Worm.Win32.AutoRun.sjl
Worm.Win32.AutoRun.sjn[/I][/B]
[B][/B]
Полная проверка ничего, кроме [B][I]Autorun.inf[/I][/B] не находит ни в памяти ни в системных парках. CureIt! тоже ничего не находит при полной проверке.

Для начала выполните скрипт @ avz, чтобы было что исследовать:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\1\pin[1].exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
сообщите, как загрузите карантин (смотрите 3 приложение правил): [url]http://virusinfo.info/upload_virus.php?tid=39521[/url]

Сделал то, что вы просили. Запустил скрипт, выслал карантин:

[quote]Файл сохранён как 090211_232022_virus_49933306d4c04.zip
Размер файла 80687
MD5 84bf8e9dae569201c91175e1b70747df[/quote]

А файлы [B][I]Autorun.inf[/I][/B] и [B][I]system.exe[/I][/B], которые явно имеют отношение к этому вирусу, вы не запросили, но может их всё-таки прислать?

Пришлите...

Выслал Autorun.inf и system.exe.

[quote]Файл сохранён как 090211_233612_virus_499336bc82a07.zip
Размер файла 22751
MD5 2d8af773e15d71bfab9f79a16fe044cc[/quote]

Кстати, у этого system.exe время создания совпадает с файлами, которые проверял ваш скрипт. Отличается на секунды.
А файл 'C:\1\pin[1].exe' в папку С:\1 переместил я, после того, как AVZ при общей проверке засёк в нём что-то подозрительное. Он нашёл его в папке "C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\". После удаления мной в этом месте не появляется ни он, ни другие новые файлы.

Пока я жду результата, может кто-то подскажет, что вообще вытворяет это червь и насколько он опасен? Нигде не нашёл подробного описания ни одной из модификаций(только упоминания названий встречаются изредка), хотя он вроде не новый...

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\1\pin[1].exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]

Повторите логи...

по моему, всё гадость. ответа пока нет.Гриша опередил меня со скриптом.:)
на будущее, посылать файлы нам только через avz ;)а то без нужного пароля пришли - не порядок

Autorun.inf и system.exe,- уже я так понял удалили, я не знаю "букву" вашей флешки, так что сами удалите, если ещё не сделали :)

Сделал.

[B]Спасибо огромное![/B] Всё сработало.
Файлы как я уже говорил, до лечения удалять было бесползно - они оба появлялись опять через несколько секунд. После выполнения скрипта и перезагрузки появляться перестали и дисковод червь тоже перстал грызть.:)

По поводу присланных архивов... Карантин(1-й архив) я архивировал через меню AVZ, как описано в инструкции, если там не было пароля, то не знаю почему. :(
А autorun.inf и system.exe(2-й архив) - да, запаковал сам, грешен.

В логах чисто, установите SP3+all updates...

:) Да сам давно собираюсь... Всем его ставлю уже полгода, а себе руки не доходят... Типа, сапожник без сапог... :D

Всё-таки, где можно почитать описание этой заразы, которая была, или хотя бы вкратце скажите, чем она опасна?

P.S. Отправил пару баксов на поддержку вашего полезного проекта. 8)

Один доунлоадер-качает всякую фигню, другой из категории "autorun"... но пока не детектятся Касперским...

Да детектирование-то вроде есть... Названия в первом сообщении я же из Каспера взял... Нет 100% лечения(удаляется один файл из 3-4-х) и, главное, нет описания...

первый был с паролем, я про второй :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \autorun.inf - [B]Worm.Win32.AutoRun.lzn[/B] (DrWEB: Win32.HLLW.Autoruner.2630)[*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.AutoRun.ezo[/B][*] c:\windows\system32\msvcrt57.dll - [B]Trojan-Dropper.Win32.Agent.ahio[/B][*] \system.exe - [B]Worm.Win32.AutoRun.ezo[/B][/LIST][/LIST]