Новый деструктивный троян.

Палыч1 19.09.2007 - 23:53

Автор статьи: Зайцев Олег (создатель антивирусной утилиты AVZ).

Внимание !
Сегодня мне прислали на анализ новую разновидность деструктивного трояна, который пока не детектируется антивирусами. Присланный мне образец назывался "Фото Катя.exe", размер порядка 350 кб, иконка похожа на логотип файла ICQ. В случае запуска зловред выполняет следующие операции:
1. Дропает на диск скрипт TEMP\dll.vbs
2. Дропает на диск файл TEMP\Катя.jpg, после чего запускает "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre en «полный путь к папке TEMP»\Катя.jpg. Это приводит к открытию изображения, это фото какой-то девушки
3. Запускает "WINDOWS\System32\WScript.exe" "«полный путь к TEMP»\dll.vbs"
----
Файл dll.vbs - зашифрованный вредоносный деструктивный скрипт на Basic, который:
1. Уничтожает файл C:\ntldr (что блокирует загрузку системы)
2. Создает ряд политик, блокирующих и искажающих нормальную работу системы, преименовывае мусорную корзину в "Помойка ламера"
3. Уничтожает в папке WINDOWS\system32\ ряд файлов, в частности hal.dll, \dllcache\*.CAT (в коде стоят команды уничтожения system32\dllcache и system32\drives, в счастью в слове "drivers" опечатка, иначе восстановить систему было бы невозможно)
4. Блокирует запуск EXE файлов путем модификации ключа реестра "exefile\shell\open\command"
5. Самоуничтожается, стирая с диска dll.vbs
6. Висит, вызывая в цикле rundll32. Помешать зловреду на этой стадии сложно, т.е. EXE файлы уже не запускаются и диспетчер задач блокирован
Как легко заметить из описания, зловред очень похож на печально знаменитую "диструктивную рекламу", которая удаляла файлы на диске.
Восстановление системы:
1. загрузиться с boot CD
2. восстановить C:\ntldr, system32\hal.dll (файлы можно взять с идентичной системы)
3. Создать на диске пораженного ПК папку AVZ, распаковать в нее AVZ и переименовать его исполняемый файл в avz.pif. запомнить полный путь
3. загрузиться с пораженной системы в "защищенном режиме с поддержкой командной строки (в обычном меню и запуск программу будут блокированы политиками)
4. В открывшемся окне командной строки запустить AVZ, введя его полное имя (например, c:\avz4\avz.pif)
5. Выполнить "Файл\Восстановление ситемы", там отметить скрипты c номерами 1,4,5,6,7,8,11,16 и нажать "выполнить скрипт"
6. Перезагрузиться (Ctrl+Alt+Del, в меню диспетчера задач выбрать "завершение работы\перезагрузка"
Защита от подобного зловреда элементарна - не запускать непонятно откуда взятые EXE ... будем надеяться, что он не получит широкого распространения
--------------------------------------------------------------------------------

Взято с http://virusinfo.info/showthread.php?p=135824#post135824
Там же обсуждение этой темы.

Гефест 20.09.2007 - 05:01

А есть ли способ вообще отключить выполнение бейсиковских скриптов?

Сивутя 20.09.2007 - 21:18

а что, ещё есть лохи, которые запускают всякие присланные им нипойми кем и нипойми откуда ехе файлы? 😊

Палыч1 20.09.2007 - 21:23

Сивутя
а что, ещё есть лохи, которые запускают всякие присланные им нипойми кем и нипойми откуда ехе файлы?

Ты не поверишь -- их до хрена и больше! 😞

Сивутя 20.09.2007 - 21:27

Палыч1
Ты не поверишь -- их до хрена и больше! 😞

Gis 20.09.2007 - 21:45

Точно. А ещё много таких кто вообще свой комп открытым держит, включая системный диск 😊

badydoc 21.09.2007 - 15:35

а у некторых пароль локального админа пустой 😊

------------------
Не надо злить доброго Бадю! (c) A.Smith

Гефест 21.09.2007 - 17:08

Сегодня админ на работе рассказал: приезжает на вызов, мол компьютер сломался. Как все началось? Да он у нас иногда гудеть начинал, но мы им ОБ ПОЛ СТУЧАЛИ - и он затихал. А потом вдруг поломался... 😛ipec:

А вы говорите, exe-файлы, пароль админа пустой... 😀 😀 😀

badydoc 21.09.2007 - 17:11

зачем стучать? у меня одни умники в вентилятор блока питания спицу засовывали - а то он гудит видетели, пидорасы мля...

------------------
Не надо злить доброго Бадю! (c) A.Smith

Gis 21.09.2007 - 19:26

😊 а ещё можно системник фуфайкой накрыть (сам видел), тоже помогает...

Палыч1 22.09.2007 - 01:26

badydoc
в вентилятор блока питания спицу засовывали

Андрюш, ты их прости по христиански. Ибо не ведают, что творят.

mucklus 29.09.2007 - 01:19

ага,не считая массового пролития водки на системные блоки и повальную подключку жпрс-мобил в обход локалки,ну чиста чтоб чатиться без проблемсов 😛

------------------
заранее извиняюсь...бывает,"по синему" делу я часто несу пьяную пургу...не обижайтесь.акроним ИМХО не люблю.

mucklus 29.09.2007 - 01:22

А есть ли способ вообще отключить выполнение бейсиковских скриптов?

ну,отрубить выполнение vbs в офисе,в системе уж и не знаю--кто выполняет бейсиковые скрипты...троян на бэйсике???вау--кому-то не дают спокою лавры дедушки Билли Гейтса 😛 ...он--первопроходец почасти написания таких троянов 😀 😀

mucklus 29.09.2007 - 01:26

3. Запускает "WINDOWS\System32\WScript.exe" "«полный путь к TEMP»\dll.vbs"
----

...талантливо...оказывается не на бэйсике на ВыньДОС скрыпт хост...ну так значт для НТ систем впринципе безопасен??если скажем человек не патчил себе ВСХ в системе--ничего работать и не будет....почти 😛
одним словом,если у человека в системе нет МС ОФИСА версии от 2000й и непропатчен ВСХ--бояться ак бы нечего 😛...вы забыли,что *.ехе расширение имеют и РНР и флэш-файлы...иногда?оттого их и открывают(я думаю)