Показано с 1 по 15 из 15.

Обнаружен новый файловый вирус Win32.HLLP.Karud

  1. #1
    Geser
    Guest

    Lightbulb Обнаружен новый файловый вирус Win32.HLLP.Karud

    Сегодня у пользователя обратившегося на наш форум был найден новый, довольно опасный файловый вирус, который не детектировался ни одним антивирусом. Образцы вируса посланы в ДрВеб, ЛК, ВБА. На данный момент ДрВеб обнаруживает и лечит зараженные файлы.
    Описание вируса от Олега Зайцева:

    Базовое описание:
    Вирус написан на Delphi, размер около 450 кб. Заражает исполняемые файлы пристыковочным методом - создает файл, содержащий тело вируса + пораженную программу. В момент запуска такого файла управление получает вирус, который в свою очередь запускает программу. Для подобных манипуляций вирус активно использует папку Temp компьютера. В "хвосте" тела вируса размещается небольшой исполняемый файл, который обращается напрямую к диску через \Device\Harddisk0\Partition0 и может применяться для убиения MBR.
    В процессе заражения вирус создает лог файл в папке Temp с именем ki.log со списком зараженных файлов.
    Детект и лечение без сигнатур:
    При включении протоколирования данных о чистых объектах AVZ детектирует его как Joiner:
    2006-05-23\1\avz4\avz.txt/{EXE-Joiner}/.exe
    Если запустить AVZ c параметрами
    avz.exe extract_archives=y unpack_archives=y
    и просканировать зараженный файл, то в папку UNPACKED\EXE-Joiner\ будут извлечены "излеченные" файлы, т.к. от них будет отсечен вирусный код.
    Лечение при помощи антивируса: на данный момент DrWeb детектирует и лечит файлы, пораженный данным вирусом.
    Вирус может создавать на диске файл drivers\mdvdrom.sys и dvdromX.sys.
    Основной метод распространения вируса: локальная сеть. Вирус ищет расшаренные папки и заражает расположенные в них исполняемые файлы.
    Проявления:
    1. В папке Temp в момент запуска появляются файлы вида svchost.exe<пробелы>XXXX, появляется файл ki.log
    2. В памяти видны посторониие процессы
    3. В XP возникают сообщения защиты системных файлов
    4. В папке Drivers создается mdvdrom.sys размером 4 кб с "дисккиллером"
    5. Многие программы после заражения могут работать некорректно, так как запускаются из папки Temp, а не из своих рабочих каталогов
    Метод экспресс-диагностики: в теле вируса содержатся строки "durak", "drivers\mdvdrom.sys", "Device\Harddisk0\Partition0", по которым можно произвести поиск зараженных объектов.
    Анализ "дисккиллера" mdvdrom.sys
    Это драйвер, размер 4026 байта. Анализирует системное время, проверяя день и час. Если текущий час > 14 и текущий день в диапазоне 25..31, то он окрывает на запись \\Device\\Harddisk0\\Partition0 и пишет туда содержимое буфера размером 512 байт, заполняемого перед этим в цикле числами от 0 до 255. В результате подобной записи разрушается MBR.
    Последний раз редактировалось Geser; 23.05.2006 в 16:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Прохожий
    Guest
    Наверняка это "умелец" из ихней локалки состряпал.

  5. #4
    незарег
    Guest
    Karud = Durak Автор зверька сообразительностью не страдал)

  6. #5
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    51
    Автор зверька сообразительностью не страдал)
    точно. Создавать лог-файл со списком зараженных файликов- это еще догадаться нужно такое сделать, я б в жизнь не догадался. Всё, пипец просто. Спрашивается, нафига? Не проще проставить в самом коде "свой/не свой". А использование временной папочки для запуска вообще убивает просто. Автор видать не знает copy команды и т.д.
    В XP возникают сообщения защиты системных файлов
    Не проще ли (если на то пошло вместо 450 кб бредятины прописать несколько папок Винды в исключения от внесения своего кода? .... Не, это не вирус, это просто шедевр. 450 кб, да еще и по сети.
    Наверняка это "умелец" из ихней локалки состряпал.
    100%. Книжек начитался или несколько "роботов" заюзал. Короче, АФТАРУ НЕЗАЧЕТ. Школьник из детсада.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от orvman
    Книжек начитался или несколько "роботов" заюзал. Короче, АФТАРУ НЕЗАЧЕТ. Школьник из детсада.
    Согласен. Тем более что метод заражения приписыванием программы перед зараженной - это вообще полный аут. Но при этом подобные творения обычно самые опасные (из-за некорректной работы), да еще деструктив в виде убиения MBR.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Зайцев Олег
    Согласен. Тем более что метод заражения приписыванием программы перед зараженной - это вообще полный аут. Но при этом подобные творения обычно самые опасные (из-за некорректной работы), да еще деструктив в виде убиения MBR.
    Дельфи дельфями, примитив примитивом, однако до написания драйвера додумался. Да и как-то не вяжется драйвер и дельфи...

  9. #8
    lansod
    Guest
    В коде не было каких-либо обривиатур, ников! может вышлите кусок

  10. #9
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    56
    Я думаю, если писал кто-то из локалки, то по стрингам в бинарнике можно косвенно вычислить, кто именно =) у меня были прецеденты =))

  11. #10
    Junior Member Репутация
    Регистрация
    19.08.2005
    Адрес
    Дюссельдорф, Германия
    Сообщений
    78
    Вес репутации
    46
    Цитата Сообщение от Geser
    Сегодня у пользователя обратившегося на наш форум был найден новый, довольно опасный файловый вирус, который не детектировался ни одним антивирусом. Образцы вируса посланы в ДрВеб, ЛК, ВБА. На данный момент ДрВеб обнаруживает и лечит зараженные файлы.
    Интересно, на данный момент уже все три упомянутые компании детектят/лечат этот вирус? Как быстро добавили в базы? Как я понимаю, первым откликнулся ДрВеб, а как насчет ЛК и ВБА? Тоже оперативно отреагировали? Есть информация сколько времени потребовала обработка нового вируса у каждого из упомянутых производителей? Как раз конкретный случай из жизни, демонстрирующий скорость реакции вирлабов

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Complete scanning result of "Karud.zip", received in VirusTotal at 05.25.2006, 06:14:48 (CET).

    Antivirus Version Update Result
    AntiVir 6.34.1.32 05.24.2006 no virus found
    Authentium 4.93.8 05.25.2006 no virus found
    Avast 4.6.695.0 05.24.2006 no virus found
    AVG 386 05.24.2006 no virus found
    BitDefender 7.2 05.25.2006 no virus found
    CAT-QuickHeal 8.00 05.24.2006 no virus found
    ClamAV devel-20060426 05.24.2006 no virus found
    DrWeb 4.33 05.24.2006 Win32.HLLP.Karud
    eTrust-InoculateIT 23.72.17 05.25.2006 no virus found
    eTrust-Vet 12.6.2226 05.24.2006 no virus found
    Ewido 3.5 05.24.2006 no virus found
    Fortinet 2.77.0.0 05.24.2006 W32/Delf.V
    F-Prot 3.16c 05.24.2006 no virus found
    Ikarus 0.2.65.0 05.24.2006 no virus found
    Kaspersky 4.0.2.24 05.25.2006 Virus.Win32.Delf.v
    McAfee 4769 05.24.2006 no virus found
    Microsoft 1.1440 05.22.2006 no virus found
    NOD32v2 1.1556 05.25.2006 no virus found
    Norman 5.90.17 05.24.2006 no virus found
    Panda 9.0.0.4 05.24.2006 no virus found
    Sophos 4.05.0 05.25.2006 no virus found
    Symantec 8.0 05.25.2006 no virus found
    TheHacker 5.9.8.147 05.24.2006 no virus found
    UNA 1.83 05.24.2006 no virus found
    VBA32 3.11.0 05.24.2006 Virus.Win32.HLLP.Rudak.A

  13. #12
    незарег
    Guest
    Цитата Сообщение от MOCT
    Дельфи дельфями, примитив примитивом, однако до написания драйвера додумался. Да и как-то не вяжется драйвер и дельфи...
    Очень сомневаюсь что драйвер с деструктивом был написан "автором". Скорее всего содрал готовое с какого-нибудь сайта или форума.

    А вот насчет стрингов в коде поисследовать - это очень хорошая идея =) Если действительно хотите поймать того паренька.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от незарег
    Очень сомневаюсь что драйвер с деструктивом был написан "автором". Скорее всего содрал готовое с какого-нибудь сайта или форума.
    так оно же еще не детектировалось, так что вряд ли было в открытом доступе

    Цитата Сообщение от незарег
    А вот насчет стрингов в коде поисследовать - это очень хорошая идея =) Если действительно хотите поймать того паренька.
    а они там есть?

  15. #14
    lansod
    Guest
    Много файлов .exe каспер не выличил пришлось удалять!
    Dr.web вообще завис от пару тысяч зараженных файлов.
    Осталось испытать VBA.

  16. #15
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    >Много файлов .exe каспер не выличил пришлось удалять!
    Так отошлите невылеченные файлы им, пусть подправят процедуру лучения.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

Похожие темы

  1. Файловый вирус win32.sality
    От odisey в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 15.10.2010, 10:53
  2. Ответов: 15
    Последнее сообщение: 18.06.2009, 14:42
  3. Файловый вирус Win32.Sector.20480
    От Duplex в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 01.02.2009, 14:37
  4. у меня вирус Win32.HLLP.Rox
    От wenom в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 23.11.2008, 21:01
  5. Обнаружен новый вирус
    От supercat в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 28.09.2006, 09:45

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01617 seconds with 16 queries