Создает файлы desktop.ini и NFO в корне каждого диска.Также появляются директории Recyled и Recycler(встроеная корзина)
FakeRecycled Overview -
This trojan masquerades as ctfmon.exe and copies itself in a fake Recycle Bin folder that it creates. It also tries to configure the system to execute the trojan when a remote machine tries to access a drive on infected machine via network share.
Aliases
TROJ_VB.BDN (Panda Antivirus)
Trojan.Recycle (Doctor Web)
Trojan.Win32.VB.aqt (Kaspersky)
Characteristics
Characteristics -
This trojan purports to be a legitimate file ctfmon.exe by its name and icon. It copies itself in a fake Recycle Bin folder that it creates. It also tries to configure the system to execute the trojan when a remote machine tries to access a drive on infected machine via network share.
On execution this malware adds the following files and folders on each drive
%Drive%:\autorun.inf
%Drive%:\Recycled\desktop.ini
%Drive%:\Recycled\INFO2
%Drive%:\Recycled\Recycled\ctfmon.exe
Where %Drive% represents the Drive Letters.
The contents of desktop.ini file are: [.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
This causes windows to think that this folder contains recycle bin data. Desktop.ini is created as a hidden system file.
The contents of the autorun.inf file are: [autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.ex e
shell=Open(&0)
Now if the folder in which this autorun.inf resides is shared and set for autoplay, then any remote computer accessing this share will end up executing the trojan file and getting infected too in a similar manner. This autorun.inf file also overrides the "open" command of the context menu (displayed on right click) to run the trojan when a user right-clicks and selects open.
Symptoms
Symptoms -
Presence of files and folders as described
Presence of autorun.inf at the root of all drives with contents as discussed
Method of Infection
Method of Infection -
[FONT=verdana,geneva,lucida,'lucida grande',arial,helvetica,sans-serif]
Так его называет McAfee 27/9/2006
Последний раз редактировалось anibius; 03.01.2008 в 19:02.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
spnq.sys и C:\WINDOWS\is-L7P14.exe найдите при помощи avz -сервис- поиск файлов на диске и пришлите согласно приложения 3 правил ......
у вас не доудален нод .... нужно удалить
Удалил нода,авиру.
Загрузиться в safe mode не получилось,
поэтому использовал livecd с xp.
При загрузке в 15:32 в RECYCLER появилась поддиректория пользователя
и файлы.Прикладываю скрины.
Просканировал CureIt заново с livecd и в нормальном режиме,но то
что нужно так и не нашел.
Раньше переставил систему,обоновил сразу поле установки,
поставил нод версия 3 и авиру,комодо.Проблем не было,но после
того как подсоединил свою маленькую флэшку на 80 гигабайт,
Снова появилась эта зараза.причем директории и файлов,которые сечас
в ней есть на флэшке не было(сканировал антивирусом,смотрел через линуху)
странно он появляется и заражает систему,если включен автозапуск,но я его
отключил через политики,только автозапуск с cd-rom,не отключается.
Самое интересное то что,если из линукса копировать файлы на ntfs-раздел,
снова появляетсяэтот троян.Я начинаю думать что это вирус.
Вот когда его увидел Nod ver2
Trojan.Win32.VB.aqt
H:\Recycled\ctfmon.exe - Win32/VB.NFZ trojan - cleaned by deleting - quarantined [1]
но в данной момент в папке этого файла нет.
Но эти действия не приносят успехов,конечно если все вообще отформатировать
проблема исчезнет,но я неприменно буду обращаться к нужнм мне файлам,часть из
них я записал на двд и где гарантия что он не вернетя?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Ctfmon.exe создает файлы desktop.ini и NFO
