Показано с 1 по 15 из 15.

Worm.Win32.AutoRun (заявка № 39521)

  1. #1
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    11
    Вес репутации
    56

    Exclamation Worm.Win32.AutoRun

    Вчера произошло следующее:

    Я лазил по сайтам с вакансиями, кадровыми агентвами и т.д. Кликнул на какую-то с виду безопасную рекламную ссылку с каталогом кадровых агенств(ссылка была размещена на Работа@майл.ru) Окно открывалось долго и KAV 7.0 заорал(не сразу, а с задержкой), что обнаружено опасное ПО(Файл Autorun.inf на одной из флэшек). Я нажал "удалить", потом зашёл в Far по пути указанном Каспером чтобы посмотреть, что там удалилось и что осталось. В корне 2-х флэшек оказался скрытый файл system.exe, который Каспер почему-то не удалил, хотя невооружённым взглядом видно, что это кусок вируса. Я грохнул его вручную на обоих флэшках, но через несколько секунд оба файла "родились" заново и там, и там(и так можно повторять бесконечно). При этом Каспер каждый раз ругается и удаляет только Autorun.inf. Ещё червь каждые несколько секунд грызёт Флоппик. Видимо пытается заразить, но диска там нет.

    Детектирует Каспер этот червь каждый раз, как разную модификацию, хотя файлы создаются абсолютно идентичные до байта. Вот весь список названий, как его детектирует KIS 2009:

    Worm.Win32.AutoRun.llc
    Worm.Win32.AutoRun.lpp
    Worm.Win32.AutoRun.lry
    Worm.Win32.AutoRun.lxg
    Worm.Win32.AutoRun.lzn
    Worm.Win32.AutoRun.mdu
    Worm.Win32.AutoRun.mlr
    Worm.Win32.AutoRun.noi
    Worm.Win32.AutoRun.pqw
    Worm.Win32.AutoRun.prf
    Worm.Win32.AutoRun.sjl
    Worm.Win32.AutoRun.sjn


    Полная проверка ничего, кроме Autorun.inf не находит ни в памяти ни в системных парках. CureIt! тоже ничего не находит при полной проверке.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Для начала выполните скрипт @ avz, чтобы было что исследовать:
    Код:
    begin
    SearchRootkit(true, true);    
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\1\pin[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
    BC_ImportALL;  
    BC_Activate;
    RebootWindows(true);
    end.
    сообщите, как загрузите карантин (смотрите 3 приложение правил): http://virusinfo.info/upload_virus.php?tid=39521

  4. #3
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    11
    Вес репутации
    56
    Сделал то, что вы просили. Запустил скрипт, выслал карантин:

    Файл сохранён как 090211_232022_virus_49933306d4c04.zip
    Размер файла 80687
    MD5 84bf8e9dae569201c91175e1b70747df
    А файлы Autorun.inf и system.exe, которые явно имеют отношение к этому вирусу, вы не запросили, но может их всё-таки прислать?

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пришлите...

  6. #5
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    11
    Вес репутации
    56
    Выслал Autorun.inf и system.exe.

    Файл сохранён как 090211_233612_virus_499336bc82a07.zip
    Размер файла 22751
    MD5 2d8af773e15d71bfab9f79a16fe044cc
    Кстати, у этого system.exe время создания совпадает с файлами, которые проверял ваш скрипт. Отличается на секунды.
    А файл 'C:\1\pin[1].exe' в папку С:\1 переместил я, после того, как AVZ при общей проверке засёк в нём что-то подозрительное. Он нашёл его в папке "C:\WINDOWS\system32\config\systemprofile\Loca l Settings\Temporary Internet Files\Content.IE5\". После удаления мной в этом месте не появляется ни он, ни другие новые файлы.

  7. #6
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    11
    Вес репутации
    56
    Пока я жду результата, может кто-то подскажет, что вообще вытворяет это червь и насколько он опасен? Нигде не нашёл подробного описания ни одной из модификаций(только упоминания названий встречаются изредка), хотя он вроде не новый...

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\1\pin[1].exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);    
    RebootWindows(true);
    end.
    Повторите логи...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    по моему, всё гадость. ответа пока нет.Гриша опередил меня со скриптом.
    на будущее, посылать файлы нам только через avz а то без нужного пароля пришли - не порядок

    Autorun.inf и system.exe,- уже я так понял удалили, я не знаю "букву" вашей флешки, так что сами удалите, если ещё не сделали
    Последний раз редактировалось drongo; 12.02.2009 в 13:04.

  10. #9
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    11
    Вес репутации
    56

    Логи после лечения

    Сделал.

    Спасибо огромное! Всё сработало.
    Файлы как я уже говорил, до лечения удалять было бесползно - они оба появлялись опять через несколько секунд. После выполнения скрипта и перезагрузки появляться перестали и дисковод червь тоже перстал грызть.

    По поводу присланных архивов... Карантин(1-й архив) я архивировал через меню AVZ, как описано в инструкции, если там не было пароля, то не знаю почему.
    А autorun.inf и system.exe(2-й архив) - да, запаковал сам, грешен.
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто, установите SP3+all updates...

  12. #11
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    11
    Вес репутации
    56
    Да сам давно собираюсь... Всем его ставлю уже полгода, а себе руки не доходят... Типа, сапожник без сапог...

    Всё-таки, где можно почитать описание этой заразы, которая была, или хотя бы вкратце скажите, чем она опасна?

    P.S. Отправил пару баксов на поддержку вашего полезного проекта.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Один доунлоадер-качает всякую фигню, другой из категории "autorun"... но пока не детектятся Касперским...

  14. #13
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    11
    Вес репутации
    56
    Да детектирование-то вроде есть... Названия в первом сообщении я же из Каспера взял... Нет 100% лечения(удаляется один файл из 3-4-х) и, главное, нет описания...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    первый был с паролем, я про второй

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. \autorun.inf - Worm.Win32.AutoRun.lzn (DrWEB: Win32.HLLW.Autoruner.2630)
      2. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.ezo
      3. c:\windows\system32\msvcrt57.dll - Trojan-Dropper.Win32.Agent.ahio
      4. \system.exe - Worm.Win32.AutoRun.ezo


  • Уважаемый(ая) Shugenja, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Worm.win32.AutoRun
      От Wesley Sneijder в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 25.10.2010, 21:41
    2. Worm.Win32.Autorun.lta
      От bracho00 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.02.2010, 21:07
    3. Net-Worm.Win32.Kido.ih и Worm.Win32.AutoRun.ezt
      От zagraba в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.12.2009, 11:53
    4. Ответов: 24
      Последнее сообщение: 12.04.2009, 00:10
    5. Autorun.inf вирус 'Worm.Win32.AutoRun.bua'.
      От Игорь в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 28.10.2008, 00:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01328 seconds with 20 queries