Новый деструктивный троян

[Зайцев Олег]

Внимание !
Сегодня мне прислали на анализ новую разновидность деструктивного трояна, который пока не детектируется антивирусами. Присланный мне образец назывался "Фото Катя.exe", размер порядка 350 кб, иконка похожа на логотип файла ICQ. В случае запуска зловред выполняет следующие операции:
1. Дропает на диск скрипт TEMP\dll.vbs
2. Дропает на диск файл TEMP\Катя.jpg, после чего запускает "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre en <полный путь к папке TEMP>\Катя.jpg. Это приводит к открытию изображения, это фото какой-то девушки
3. Запускает "WINDOWS\System32\WScript.exe" "<полный путь к TEMP>\dll.vbs"
----
Файл dll.vbs - зашифрованный вредоносный деструктивный скрипт на Basic, который:
1. Уничтожает файл C:\ntldr (что блокирует загрузку системы)
2. Создает ряд политик, блокирующих и искажающих нормальную работу системы, преименовывае мусорную корзину в "Помойка ламера"
3. Уничтожает в папке WINDOWS\system32\ ряд файлов, в частности hal.dll, \dllcache\*.CAT (в коде стоят команды уничтожения system32\dllcache и system32\drives, в счастью в слове "drivers" опечатка, иначе восстановить систему было бы невозможно)
4. Блокирует запуск EXE файлов путем модификации ключа реестра "exefile\shell\open\command"
5. Самоуничтожается, стирая с диска dll.vbs
6. Висит, вызывая в цикле rundll32. Помешать зловреду на этой стадии сложно, т.е. EXE файлы уже не запускаются и диспетчер задач блокирован

Как легко заметить из описания, зловред очень похож на печально знаменитую "диструктивную рекламу", которая удаляла файлы на диске.
Восстановление системы:
1. загрузиться с boot CD
2. восстановить C:\ntldr, system32\hal.dll (файлы можно взять с идентичной системы)
3. Создать на диске пораженного ПК папку AVZ, распаковать в нее AVZ и переименовать его исполняемый файл в avz.pif. запомнить полный путь
3. загрузиться с пораженной системы в "защищенном режиме с поддержкой командной строки (в обычном меню и запуск программу будут блокированы политиками)
4. В открывшемся окне командной строки запустить AVZ, введя его полное имя (например, c:\avz4\avz.pif)
5. Выполнить "Файл\Восстановление ситемы", там отметить скрипты c номерами 1,4,5,6,7,8,11,16 и нажать "выполнить скрипт"
6. Перезагрузиться (Ctrl+Alt+Del, в меню диспетчера задач выбрать "завершение работы\перезагрузка"

Защита от подобного зловреда элементарна - не запускать непонятно откуда взятые EXE ... будем надеяться, что он не получит широкого распространения

[ALEX(XX)]

Боюсь, что опечатку исправят Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.

[Зайцев Олег]

Боюсь, что опечатку исправят Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.

Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть

[ALEX(XX)]

Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть

Да. В то время самым надёжным и мощным средством распространения вирусов были дискеты, теперь эл. почта, мессенджеры. При нынешней привычке пользователей жать на все ссылки брошенные им в аську, эта зараза может получить широкое распространение. Ведь множество народу попадалось на фотки Катек-Машек-Юлек-... и мультики про себя несмотря на предупреждения

[Prohodimez]

Фото кати выложите - вира ждать желания нет, но хоть мосю гляну!

[ALEX(XX)]

Олег, если я правильно понял, то этот вирь не работает без прав админа?

[Зайцев Олег]

Олег, если я правильно понял, то этот вирь не работает без прав админа?

Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.

[c0med1an]

Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.

Тогда это действительно помойка ламера, а не компьютер.

[Зайцев Олег]

Тогда это действительно помойка ламера, а не компьютер.

Человек может быть отличным бухгалтером, механиком, медиком, музыкантом, милиционером ... (список длинный ), и при этом по долгу службы работать с ПК. При этом возникает дурацкий вопрос - почему он обязан знать тонкости администрирования ПК и страдать от всяких деструктивных зловредов ?

[Макcим]

Зайцев Олег, кем в настоящий момент детектируются эта штука?

[vovi]

Это наверное типа этого вируса (см. в прикреплённом файле ) . В 2005 году было дело , каспер начал его детектить через 3 дня после того как я им его заслал , а веб через 2 . Мне понравилось как эта штука курочит систему , можна потренироватся в смысле восстановлении реестра . Архив запаролен : 001 .

[Зайцев Олег]

Зайцев Олег, кем в настоящий момент детектируются эта штука?

ЛК детектят все (и обертку, и скрипт), остальные - не знаю, не проверял ... только что проверил - детектит F-Secure, Kaspersky, Norman. Panda подозревает.

[Макcим]

ЛК детектят все (и обертку, и скрипт)

Под каким именем? Не плохо ещё и в остальные вир. лабы отправить, хотя бы Dr.Web и Avira.

[stopka2top]

И сюда бы его http://www.clamav.org/sendvirus/

[Xen]

Опять проделки какого-то школьника обсуждаем =)