Вирусы с флэшки

Printable View

06.05.2007, 03:20
hwk

Вложений: 3

Вирусы с флэшки

[RIGHT]Не один, а сразу два
Получил я вируса... [/RIGHT]
Начнём по порядочку...

Первый "Прога_для_смены_MAC_адреса.exe" (образец прилагается) копирует себя, причём только в Мои документы и только на флэшки. При удалении восстанавливается.
Вопрос1: чем можно "посмотреть" сего зловреда, чтобы понять, что он делает, без его запуска?
Вопрос2: Как от него избавиться?

Второй, более скрытный, а заодно и более досадный вирус при запуске системы ищет исполняемые файлы на каждом диске, будь то сменный или стационарный носитель, и приводит их "общему [SIZE=3]размер[/SIZE]ателю" 256 Мб, байт в байт, причём крупные файлы вроде WindowsXP_SP2.exe (размером > 256 Мб) пропускает. Радует то, что заражённые данным вирусом файлы "не "портятся", то есть запускаются, как обычно. Образец заражённого файла прилагается (подопытный - пустой exe-шник).
Вопрос3, думаю, ясен.

Система была полностью и безрезультатно проверена самыми свежими Symantec Antivirus, Kaspersky Online, AVG Internet Securiy, Lavasoft Ad-Aware FBM ZeroSpyware, AVZ, HijackThis поочереди.Требуемые логи прилагаются.

P./\.S.S. Приветствуются советы/ответы опытных хелперов/программистов :D
[RIGHT] [/RIGHT]
[B][COLOR="Red"]Подозрительные файлы не прикреплять к темам !!! для этого есть ссылка вверху [/COLOR][/B]
06.05.2007, 04:45
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ramdac32.dll','');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
06.05.2007, 16:38
hwk

Запрошенные файлы отправлены.
Заражённый вторым вирусом пустой ехе-шник AVZ классифицировал как MailBomb.
06.05.2007, 16:50
Bratez

Результат Virustotal по файлу ramdac32.dll:
[QUOTE]AntiVir 7.4.0.15 05.05.2007 HEUR/Malware
eSafe 7.0.15.0 05.03.2007 suspicious Trojan/Worm
Sunbelt 2.2.907.0 05.05.2007 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 05.06.2007 Heuristic.Malware [/QUOTE]
Отправил в ЛК, подождем ответа.
06.05.2007, 16:55
Bratez

При попытке скачать вашу "Прога_для_смены_MAC_адреса.exe" Касперский с радостным визгом сообщает:
[QUOTE]обнаружено: вирус Password-protected-EXE (модификация) URL: hттp://upload.virusinfo.info/070506_145736_Прога_для_смены_MAC_адреса_463db4a097468.zip/Прога_для_смены_MAC_адреса.exe[/QUOTE]
06.05.2007, 21:43
hwk

Получается, оба моих вируса - части одной вирус-системы...
Касперский идентифицирует приложение Прога_для_смены_МАС_адреса.ехе как Trojan.Win32.FatBoy.a и удаляет его. Но это я вручную делал и раньше :) Теперь нужно как-нибудь удалить то, что копирует его туда...
06.05.2007, 22:40
Alex_Goodwin

Давайте еще вот это проверим:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zsnotify.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
06.05.2007, 22:42
Alex_Goodwin

[QUOTE=Bratez;108121]При попытке скачать вашу "Прога_для_смены_MAC_адреса.exe" Касперский с радостным визгом сообщает:[/QUOTE]
Он так всегда ругается, когда exe файл в архиве под паролем.;)
07.05.2007, 00:44
hwk

С Trojan.Win32.FatBoy.a покончено с помощью "Лечения активных угроз" Касперского...

[B]Alex_Goodwin[/B], запрошенные файлы отправлены.
07.05.2007, 01:54
Alex_Goodwin

Присланный архив пуст. Попробуйте [url]http://virusinfo.info/showthread.php?t=4567[/url] вручную добавить и прислать.
07.05.2007, 01:55
Alex_Goodwin

Ответ ЛК по 0.exe:
[QUOTE]Здравствуйте
Файл забит нулями и, следовательно, чистый.
судя по всему зловред, дописывает в конец всех файлов нули до размера 256 Mb

С уважением, Борис Ямпольский
Вирусный аналитик
ЗАО "Лаборатория Касперского" [/QUOTE]
07.05.2007, 02:07
Alex_Goodwin

[QUOTE=Bratez;108120]Результат Virustotal по файлу ramdac32.dll:

Отправил в ЛК, подождем ответа.[/QUOTE]
Ответ ЛК:
Trojan.Win32.FatBoy.a
07.05.2007, 02:08
Alex_Goodwin

Сделайте новые логи. Для контроля.
07.05.2007, 03:09
hwk

Вложений: 3

[B]Alex_Goodwin[/B], zsnotify.dll , наверное, остался после удаления FBM ZeroSpyware

Новые логи готовы. Мне показалось, или они немного похудели? :)

В общем, вирус благополучно устранён!
07.05.2007, 03:24
hwk

Существует ли утилита, очищающая .exe файлы от дописанных к концу лишних нулей? То есть возможно ли вернуть заражённые файлы к исходному их размеру, или теперь остаётся только удалить их?
07.05.2007, 03:38
Alex_Goodwin

1. Пофиксите:
[QUOTE]O20 - Winlogon Notify: NavLogon - C:\WINDOWS
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)[/QUOTE]
2. Логи чистые.
07.05.2007, 12:10
Alex_Goodwin

[QUOTE=hwk;108201]Существует ли утилита, очищающая .exe файлы от дописанных к концу лишних нулей? То есть возможно ли вернуть заражённые файлы к исходному их размеру, или теперь остаётся только удалить их?[/QUOTE]
Пока не удаляйте.
22.02.2009, 01:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ramdac32.dll - [B]Trojan.Win32.FatBoy.a[/B] (DrWEB: Trojan.Ramdac)[*] \\прога_для_смены_mac_адреса.exe - [B]Trojan.Win32.FatBoy.a[/B] (DrWEB: Trojan.Ramdac)[/LIST][/LIST]