Обнаружен новый файловый вирус Win32.HLLP.Karud

Сегодня у пользователя обратившегося на наш форум был [URL="http://virusinfo.info/showthread.php?t=5548"]найден[/URL] новый, довольно опасный файловый вирус, который не детектировался ни одним антивирусом. Образцы вируса посланы в ДрВеб, ЛК, ВБА. На данный момент ДрВеб обнаруживает и лечит зараженные файлы.
Описание вируса от Олега Зайцева:

[B]Базовое описание:[/B]
Вирус написан на Delphi, размер около 450 кб. Заражает исполняемые файлы пристыковочным методом - создает файл, содержащий тело вируса + пораженную программу. В момент запуска такого файла управление получает вирус, который в свою очередь запускает программу. Для подобных манипуляций вирус активно использует папку Temp компьютера. В "хвосте" тела вируса размещается небольшой исполняемый файл, который обращается напрямую к диску через \Device\Harddisk0\Partition0 и может применяться для убиения MBR.
В процессе заражения вирус создает лог файл в папке Temp с именем ki.log со списком зараженных файлов.
Детект и лечение без сигнатур:
При включении протоколирования данных о чистых объектах AVZ детектирует его как Joiner:
2006-05-23\1\avz4\avz.txt/{EXE-Joiner}/.exe
Если запустить AVZ c параметрами
avz.exe extract_archives=y unpack_archives=y
и просканировать зараженный файл, то в папку UNPACKED\EXE-Joiner\ будут извлечены "излеченные" файлы, т.к. от них будет отсечен вирусный код.
[B]Лечение при помощи антивируса:[/B] на данный момент DrWeb детектирует и лечит файлы, пораженный данным вирусом.
Вирус может создавать на диске файл drivers\mdvdrom.sys и dvdromX.sys.
[B]Основной метод распространения вируса[/B]: локальная сеть. Вирус ищет расшаренные папки и заражает расположенные в них исполняемые файлы.
[B]Проявления:[/B]
1. В папке Temp в момент запуска появляются файлы вида svchost.exe<пробелы>XXXX, появляется файл ki.log
2. В памяти видны посторониие процессы
3. В XP возникают сообщения защиты системных файлов
4. В папке Drivers создается mdvdrom.sys размером 4 кб с "дисккиллером"
5. Многие программы после заражения могут работать некорректно, так как запускаются из папки Temp, а не из своих рабочих каталогов
[B]Метод экспресс-диагностики:[/B] в теле вируса содержатся строки "durak", "drivers\mdvdrom.sys", "Device\Harddisk0\Partition0", по которым можно произвести поиск зараженных объектов.
[B]Анализ "дисккиллера" mdvdrom.sys[/B]
Это драйвер, размер 4026 байта. Анализирует системное время, проверяя день и час. [I][U]Если текущий час > 14 и текущий день в диапазоне 25..31[/U][/I], то он окрывает на запись \\Device\\Harddisk0\\Partition0 и пишет туда содержимое буфера размером 512 байт, заполняемого перед этим в цикле числами от 0 до 255. В результате подобной записи [B][U]разрушается MBR.[/U][/B]

Какой ужас. Вирус на Дельфи 450 кб.

Наверняка это "умелец" из ихней локалки состряпал.

Karud = Durak ;) Автор зверька сообразительностью не страдал)

[QUOTE]Автор зверька сообразительностью не страдал)[/QUOTE] точно. Создавать [B][U]лог-файл со списком зараженных файликов[/U][/B]- это еще догадаться нужно такое сделать, я б в жизнь не догадался. Всё, пипец просто. Спрашивается, нафига? Не проще проставить в самом коде "свой/не свой". А использование временной папочки для запуска вообще убивает просто. Автор видать не знает copy команды и т.д. [QUOTE]В XP возникают сообщения защиты системных файлов[/QUOTE] Не проще ли (если на то пошло вместо [B][U]450 кб[/U][/B] бредятины прописать несколько папок Винды в исключения от внесения своего кода? .... Не, это не вирус, это просто шедевр. [B][U]450 кб[/U][/B], да еще и по сети. [QUOTE]Наверняка это "умелец" из ихней локалки состряпал.[/QUOTE] 100%. Книжек начитался или несколько "роботов" заюзал. Короче, АФТАРУ НЕЗАЧЕТ. Школьник из детсада.

[quote=orvman] Книжек начитался или несколько "роботов" заюзал. Короче, АФТАРУ НЕЗАЧЕТ. Школьник из детсада.[/quote]
Согласен. Тем более что метод заражения приписыванием программы перед зараженной - это вообще полный аут. Но при этом подобные творения обычно самые опасные (из-за некорректной работы), да еще деструктив в виде убиения MBR.

[QUOTE=Зайцев Олег]Согласен. Тем более что метод заражения приписыванием программы перед зараженной - это вообще полный аут. Но при этом подобные творения обычно самые опасные (из-за некорректной работы), да еще деструктив в виде убиения MBR.[/QUOTE]
Дельфи дельфями, примитив примитивом, однако до написания драйвера додумался. Да и как-то не вяжется драйвер и дельфи...

В коде не было каких-либо обривиатур, ников! может вышлите кусок

Я думаю, если писал кто-то из локалки, то по стрингам в бинарнике можно косвенно вычислить, кто именно =) у меня были прецеденты =))

[QUOTE=Geser]Сегодня у пользователя обратившегося на наш форум был [URL="http://virusinfo.info/showthread.php?t=5548"]найден[/URL] новый, довольно опасный файловый вирус, который не детектировался ни одним антивирусом. Образцы вируса посланы в ДрВеб, ЛК, ВБА. На данный момент ДрВеб обнаруживает и лечит зараженные файлы.[/QUOTE]

Интересно, на данный момент уже все три упомянутые компании детектят/лечат этот вирус? Как быстро добавили в базы? Как я понимаю, первым откликнулся ДрВеб, а как насчет ЛК и ВБА? Тоже оперативно отреагировали? Есть информация сколько времени потребовала обработка нового вируса у каждого из упомянутых производителей? Как раз конкретный случай из жизни, демонстрирующий скорость реакции вирлабов ;)

Complete scanning result of "Karud.zip", received in VirusTotal at 05.25.2006, 06:14:48 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.32 05.24.2006 no virus found
Authentium 4.93.8 05.25.2006 no virus found
Avast 4.6.695.0 05.24.2006 no virus found
AVG 386 05.24.2006 no virus found
BitDefender 7.2 05.25.2006 no virus found
CAT-QuickHeal 8.00 05.24.2006 no virus found
ClamAV devel-20060426 05.24.2006 no virus found
DrWeb 4.33 05.24.2006 [b]Win32.HLLP.Karud[/b]
eTrust-InoculateIT 23.72.17 05.25.2006 no virus found
eTrust-Vet 12.6.2226 05.24.2006 no virus found
Ewido 3.5 05.24.2006 no virus found
Fortinet 2.77.0.0 05.24.2006 [b]W32/Delf.V[/b]
F-Prot 3.16c 05.24.2006 no virus found
Ikarus 0.2.65.0 05.24.2006 no virus found
Kaspersky 4.0.2.24 05.25.2006 [b]Virus.Win32.Delf.v[/b]
McAfee 4769 05.24.2006 no virus found
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1556 05.25.2006 no virus found
Norman 5.90.17 05.24.2006 no virus found
Panda 9.0.0.4 05.24.2006 no virus found
Sophos 4.05.0 05.25.2006 no virus found
Symantec 8.0 05.25.2006 no virus found
TheHacker 5.9.8.147 05.24.2006 no virus found
UNA 1.83 05.24.2006 no virus found
VBA32 3.11.0 05.24.2006 [b]Virus.Win32.HLLP.Rudak.A[/b]

[QUOTE=MOCT]Дельфи дельфями, примитив примитивом, однако до написания драйвера додумался. Да и как-то не вяжется драйвер и дельфи...[/QUOTE]
Очень сомневаюсь что драйвер с деструктивом был написан "автором". Скорее всего содрал готовое с какого-нибудь сайта или форума.

А вот насчет стрингов в коде поисследовать - это очень хорошая идея =) Если действительно хотите поймать того паренька.

[QUOTE=незарег]Очень сомневаюсь что драйвер с деструктивом был написан "автором". Скорее всего содрал готовое с какого-нибудь сайта или форума.
[/QUOTE]
так оно же еще не детектировалось, так что вряд ли было в открытом доступе

[QUOTE=незарег]
А вот насчет стрингов в коде поисследовать - это очень хорошая идея =) Если действительно хотите поймать того паренька.[/QUOTE]
а они там есть?

Много файлов .exe каспер не выличил пришлось удалять!
Dr.web вообще завис от пару тысяч зараженных файлов.
Осталось испытать VBA.

>Много файлов .exe каспер не выличил пришлось удалять!
Так отошлите невылеченные файлы им, пусть подправят процедуру лучения.