Показано с 1 по 5 из 5.

Вирус с задатками антивируса

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    114

    Вирус с задатками антивируса

    Файл сохранён как 080701_084201_lam_486a34294a1c5.zip
    Размер файла 256862
    MD5 f3c29e20ba455a1abcf382911597bf10

    Краткая история.
    Знакомый с Украины отправил данный образец в ЛК, но получил ответ "не найдено ничего вредоносного".
    Цитата из его письма в ЛК:
    "образец скрытно размножается, но специфческим образом:

    1) При обращении к инфицированному носителю зловред копирует себя в скрытый каталог C:\Program
    Files\WinDriveGuard\DriveGuard.exe;

    2) Создает ярлык для возможности автозапуска указнного файла при последующих
    стартах ОС:

    \Documents and Settings\All Users\Главное
    меню\Программы\Автозагрузка\driveguard.lnk

    Затем до первого перезапуска системы завершает свою работу;

    3) Получив управление, вирус отается в памяти компьютера, отслеживает
    съемные диски и инфицирует их;

    4) Проявляет задатки антивируса: ищет в корнях всех логических дисков
    компьютера файлы autorun.inf и переименовывает их в autorun.inf.bak;

    5) Создает свою копию как
    \Documents and Settings\%текущий юзер%\Local Settings\Temp\VerUpdate.tmp, используя которую пытается скачать из сети своё обновление. Инфа по обновлению зписывается там же во временный файл с именем %updatelog.tmp, где % - случайный набор цифр
    "


    Забавно, что рассматриваемая поделка сообщает, что ее якобы произвел "Макрософт" (см. свойства exe). Явно намек на старшего брата Microsoft'a
    Многие антивирусы относят данный объект к вредоносным.
    Параллельно направляю образец на vendors@spywarefix.org.

    Добавлено через 8 минут

    Такое ощущение, что это - плод творчества начинающего программиста, который еще точно не определился, будет ли он писать вредоносы, или утилиты по отлову таковых.
    Последний раз редактировалось Lemmit; 01.07.2008 в 18:45. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    3) Получив управление, вирус отается в памяти компьютера, отслеживает
    съемные диски и инфицирует их;

    4) Проявляет задатки антивируса: ищет в корнях всех логических дисков
    компьютера файлы autorun.inf и переименовывает их в autorun.inf.bak;
    имхо, антивирусом тут и не пахнет - переименовывает автораны.инф в авторан.инф.бак лишь для того, что бы записать на их место свои - как же он еще инфицирует съемные диски - думаю, что он пишет на них свои автораны и файл, который прописывает в авторан...
    или я в чем-то ошибаюсь?

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    114
    Конечно, priv8v, это совсем не антивирус.

    Первым на посылку сэмпла вендорам ответил DrWeb в 18:49:
    "Your request has been analyzed. New virus record has been added.
    Virus: Win32.HLLW.Autoruner.2294.

    Thank you for the cooperation.

    --
    Yours sincerely,
    Virus Monitoring Service Doctor Web Ltd."

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    114
    С сегодняшнего дня образец детектируется ЛК как Worm.Win32.AutoIt.ar

  6. #5

Похожие темы

  1. Ответов: 6
    Последнее сообщение: 23.06.2011, 10:08
  2. вирус блокирует доступ к сайтам антивируса
    От nana_MeDBeD в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 16.11.2010, 15:15
  3. Вирус блокирует работу антивируса
    От Sancho_Xzb в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 09.10.2009, 22:28
  4. Ответов: 7
    Последнее сообщение: 22.02.2009, 05:16
  5. Вирус Навязывание антивируса-Винреаниматор
    От oleg_svirid в разделе Помогите!
    Ответов: 47
    Последнее сообщение: 22.02.2009, 04:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01492 seconds with 15 queries