-
Новый деструктивный троян Trojan.VBS.KillFiles.u
Внимание !
Сегодня мне прислали на анализ новую разновидность деструктивного трояна, который пока не детектируется антивирусами. Присланный мне образец назывался "Фото Катя.exe", размер порядка 350 кб, иконка похожа на логотип файла ICQ. В случае запуска зловред выполняет следующие операции:
1. Дропает на диск скрипт TEMP\dll.vbs
2. Дропает на диск файл TEMP\Катя.jpg, после чего запускает "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre en <полный путь к папке TEMP>\Катя.jpg. Это приводит к открытию изображения, это фото какой-то девушки
3. Запускает "WINDOWS\System32\WScript.exe" "<полный путь к TEMP>\dll.vbs"
----
Файл dll.vbs - зашифрованный вредоносный деструктивный скрипт на Basic, который:
1. Уничтожает файл C:\ntldr (что блокирует загрузку системы)
2. Создает ряд политик, блокирующих и искажающих нормальную работу системы, преименовывае мусорную корзину в "Помойка ламера"
3. Уничтожает в папке WINDOWS\system32\ ряд файлов, в частности hal.dll, \dllcache\*.CAT (в коде стоят команды уничтожения system32\dllcache и system32\drives, в счастью в слове "drivers" опечатка, иначе восстановить систему было бы невозможно)
4. Блокирует запуск EXE файлов путем модификации ключа реестра "exefile\shell\open\command"
5. Самоуничтожается, стирая с диска dll.vbs
6. Висит, вызывая в цикле rundll32. Помешать зловреду на этой стадии сложно, т.е. EXE файлы уже не запускаются и диспетчер задач блокирован
Как легко заметить из описания, зловред очень похож на печально знаменитую "диструктивную рекламу", которая удаляла файлы на диске.
Восстановление системы:
1. загрузиться с boot CD
2. восстановить C:\ntldr, system32\hal.dll (файлы можно взять с идентичной системы)
3. Создать на диске пораженного ПК папку AVZ, распаковать в нее AVZ и переименовать его исполняемый файл в avz.pif. запомнить полный путь
3. загрузиться с пораженной системы в "защищенном режиме с поддержкой командной строки (в обычном меню и запуск программу будут блокированы политиками)
4. В открывшемся окне командной строки запустить AVZ, введя его полное имя (например, c:\avz4\avz.pif)
5. Выполнить "Файл\Восстановление ситемы", там отметить скрипты c номерами 1,4,5,6,7,8,11,16 и нажать "выполнить скрипт"
6. Перезагрузиться (Ctrl+Alt+Del, в меню диспетчера задач выбрать "завершение работы\перезагрузка"
Защита от подобного зловреда элементарна - не запускать непонятно откуда взятые EXE ... будем надеяться, что он не получит широкого распространения
Последний раз редактировалось Зайцев Олег; 24.09.2007 в 11:35.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Боюсь, что опечатку исправят Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Боюсь, что опечатку исправят
Всё новое, хорошо забытое старое. Опять появляются зловреды, которые не преследуют иных целей, кроме как убиение системы, прямо как во времена DOS.
Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть
-
-
Сообщение от
Зайцев Олег
Это то меня и беспокоит - невольно вспоминаются "старые добрые времена" MSDOS, когда существовали разные "дисккиллеры" на базе INT13h и прочая деструктивная нечисть
Да. В то время самым надёжным и мощным средством распространения вирусов были дискеты, теперь эл. почта, мессенджеры. При нынешней привычке пользователей жать на все ссылки брошенные им в аську, эта зараза может получить широкое распространение. Ведь множество народу попадалось на фотки Катек-Машек-Юлек-... и мультики про себя несмотря на предупреждения
Left home for a few days and look what happens...
-
-
Фото
Фото кати выложите - вира ждать желания нет, но хоть мосю гляну!
-
-
Олег, если я правильно понял, то этот вирь не работает без прав админа?
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Олег, если я правильно понял, то этот вирь не работает без прав админа?
Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.
-
-
Junior Member
- Вес репутации
- 71
Сообщение от
Зайцев Олег
Без прав админа он попортит систему (он пакостит в реестре в ключе HKCU - к этому ключу у юзера обычно полный доступ), а вот если у юзера нет прав на удаление файлов в System32 и корне диска, то убить систему он не сможет. Поэтому все зависит от привилегий юзера.
Тогда это действительно помойка ламера, а не компьютер.
-
Сообщение от
c0med1an
Тогда это действительно помойка ламера, а не компьютер.
Человек может быть отличным бухгалтером, механиком, медиком, музыкантом, милиционером ... (список длинный ), и при этом по долгу службы работать с ПК. При этом возникает дурацкий вопрос - почему он обязан знать тонкости администрирования ПК и страдать от всяких деструктивных зловредов ?
-
-
Зайцев Олег, кем в настоящий момент детектируются эта штука?
-
-
Junior Member
- Вес репутации
- 63
Это наверное типа этого вируса (см. в прикреплённом файле ) . В 2005 году было дело , каспер начал его детектить через 3 дня после того как я им его заслал , а веб через 2 . Мне понравилось как эта штука курочит систему , можна потренироватся в смысле восстановлении реестра . Архив запаролен : 001 .
Последний раз редактировалось drongo; 20.09.2007 в 18:22.
Причина: Нельзя прикреплять зловредов к сообщениям
-
Сообщение от
Maxim
Зайцев Олег, кем в настоящий момент детектируются эта штука?
ЛК детектят все (и обертку, и скрипт), остальные - не знаю, не проверял ... только что проверил - детектит F-Secure, Kaspersky, Norman. Panda подозревает.
Последний раз редактировалось Зайцев Олег; 20.09.2007 в 20:27.
-
-
Сообщение от
Зайцев Олег
ЛК детектят все (и обертку, и скрипт)
Под каким именем? Не плохо ещё и в остальные вир. лабы отправить, хотя бы Dr.Web и Avira.
-
-
Junior Member
- Вес репутации
- 63
-
Опять проделки какого-то школьника обсуждаем =)