Текущее время: 29 мар 2024 15:05

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: 17 ноя 2010 23:50 
Аватара пользователя
Не в сети

Зарегистрирован:
17 ноя 2010 10:40
Сообщения: 272
Откуда:
Кривой Рог

Награды:

Активист форумаНаш бета-тестерСлово – золото
Сегодня нарыл у клиента такую штуку - ВБ-скрипт в автозагрузке+ два файлика autorun* в windows/system32/.
Особо не ковырялся, но разобрался, что когда вставляешь любой носитель то он сразу же копирует скрипт и эти два файла в корень этого носителя. Проверил сегодня NANO АКнтивирус-ом, он спокойно эти файлы пропустил. На всякий случай в архив засунул все файлы плюс экспортированную ветку реестра, где эта зараза прописалась и отправил на virus@nanoav.ru. Архив вирус.rar с паролем 123, как тут принято. Хотелось бы услышать мнение специалистов об этой гадости. Не думаю, что это что то полезное. Полезное не имеет свойства так навязчиво ломиться на все подключаемые устройства.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 ноя 2010 17:16 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
27 мар 2009 16:17
Сообщения: 695
Откуда:
Брянск
Мы получили ваше письмо и хотим уточнить следующее (не совсем поняли механизм вашей ситуации): каким образом на носителе появляется авторан? Это случается на машине с установленным нашим антивирусом и включенной системой защиты? или на другом компьютере? Спасибо.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 ноя 2010 20:23 
Аватара пользователя
Не в сети

Зарегистрирован:
17 ноя 2010 10:40
Сообщения: 272
Откуда:
Кривой Рог

Награды:

Активист форумаНаш бета-тестерСлово – золото
Нет. На том компьютере Вашего антивируса нет. На флешке он появляется при подключенной флешке. В логике скрипта прописано - проверка с интервалом в какое то количество секунд и если на флешке нет этих файлов то записать их туда.
Я на компьютере от этого вируса избавился руками - чистка реестра, автозапуска и удаление этих файлов. Просто себе скопировал все файлы. И проверил Вашим антивирусом. Он на них не отреагировал никак. Как будто все чисто. Просто в работе скрипта я еще разобраться могу. А вот исполняемые файлы... Запускать у себя не очень хочется, поскольку не знаю, что они делают. А ковырять бинарники я не умею. Потому и выслал Вам архив. Почитал форум и понял, что Вы проверяете либо по действию, либо коды самих файлов, т.е. то, чего я не сделаю. Если Вы узнаете что делают эти файлы (кроме самого скрипта, он нужен только для записи на сменные носители бинарников) и дадите им определение "вирус", то они появятся в Вашей антивирусной базе и остальные люди уже смогут себя от него обезопасить, благодаря Вашему антивирусу.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 20 дек 2010 00:09 
Аватара пользователя
Не в сети

Зарегистрирован:
17 ноя 2010 10:40
Сообщения: 272
Откуда:
Кривой Рог

Награды:

Активист форумаНаш бета-тестерСлово – золото
И никакого ответа...
Похоже, что с подобными гадостями людям надо бороться своими собственными умом и руками.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 21 дек 2010 10:14 
Не в сети

Зарегистрирован:
08 ноя 2010 20:45
Сообщения: 2
Viha
А вы не проверяли, может уже добавили в базы и Nano определяет этот вирус...
Viha писал(а):
Нет. На том компьютере Вашего антивируса нет.

А на том компе какой антивирус стоял?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 21 дек 2010 15:15 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
20 мар 2009 17:51
Сообщения: 1518
Откуда:
Брянск
Здравствуйте, Viha.

Приносим извинения за долгий ответ.
Вот что этот скрипт делает:
  • Копирует в C:\WINDOWS\SYSTEM32 файлы AUTORUN.* и svc.*,
  • регистрирует себя на автозапуск,
  • запускает исполняемый файл svc.scr и вносит в реестр информацию из svc.reg,
  • копирует свое добро на сменные носители.

Среди присланных вами файлов к сожалению нет ни исполняемого файла svc.scr, ни svc.reg - возможно, эти файлы были удалены ранее (с инфицированной машины, либо с флешки, следовательно они не были скопированы). По присланным вами файлам: svc.VBS занесен как вредоносный, остальные файлы сами по себе опасности не представляют (скорее всего используются в связке с бинарным вредоносным файлом).

Если у вас все ещё есть доступ на ту машину, либо где-то ещё встретите подобную ситуацию, поищите, пожалуйста, в C:\WINDOWS\SYSTEM32 файлы AUTORUN.* и svc.*. Спасибо.
P.S.: в одном из второстепенных файлов фигурировало ещё имя файла autorun3.swf - тоже интересно было бы получить этот экземпляр.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 дек 2010 00:12 
Аватара пользователя
Не в сети

Зарегистрирован:
17 ноя 2010 10:40
Сообщения: 272
Откуда:
Кривой Рог

Награды:

Активист форумаНаш бета-тестерСлово – золото
Ну что делает сам скрипт это я разобрался и описывал ранее. К сожалению файлов тех на компьютере уже нет. Стоит там корпоративный Симантек, он благополучно промолчал на все эти файлы. Все что было на том компьютере связанное с данным скриптом я вычистил вручную. Если попадется еще подобная гадость, то буду иметь ввиду, что сначала нужно для архива сохранить по максимуму данных, а потом уже вычищать :-) все равно, спасибо за ответы.
А Нано теперь благополучно на скрипт этот ругается. Это радует.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 июл 2011 17:39 
Не в сети

Зарегистрирован:
10 июл 2011 14:18
Сообщения: 3
Rodger писал(а):
Здравствуйте, Viha.

Приносим извинения за долгий ответ.
Вот что этот скрипт делает:
  • Копирует в C:\WINDOWS\SYSTEM32 файлы AUTORUN.* и svc.*,
  • регистрирует себя на автозапуск,
  • запускает исполняемый файл svc.scr и вносит в реестр информацию из svc.reg,
  • копирует свое добро на сменные носители.

Среди присланных вами файлов к сожалению нет ни исполняемого файла svc.scr, ни svc.reg - возможно, эти файлы были удалены ранее (с инфицированной машины, либо с флешки, следовательно они не были скопированы). По присланным вами файлам: svc.VBS занесен как вредоносный, остальные файлы сами по себе опасности не представляют (скорее всего используются в связке с бинарным вредоносным файлом).

Если у вас все ещё есть доступ на ту машину, либо где-то ещё встретите подобную ситуацию, поищите, пожалуйста, в C:\WINDOWS\SYSTEM32 файлы AUTORUN.* и svc.*. Спасибо.
P.S.: в одном из второстепенных файлов фигурировало ещё имя файла autorun3.swf - тоже интересно было бы получить этот экземпляр.



о_О .swf насколько я знаю расширение флеш плеера.уже и ТУДА вирусы добрались :shock:


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 июл 2011 22:32 
Аватара пользователя
Не в сети

Зарегистрирован:
17 ноя 2010 10:40
Сообщения: 272
Откуда:
Кривой Рог

Награды:

Активист форумаНаш бета-тестерСлово – золото
SWF это мультимедиа файл и влепить в него вирус это для ваятелей плевое дело, тем более, что практически все мультимедийки выступают активными файлами, т.е. вероятность заразиться через любой мультимедиа файл в разы выше, чем через любой другой. Другое дело, что, лично мне, не попадались завирусованные мультимедиа, может мне просто свезло, а может ваятели почему то недолюбливают этот способ распространения своей дряни. Но, вполне может быть, что под расширением SWF в данном случае скрывался обыкновенный экзешник, но я его у себя не находил.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 13 июл 2011 15:49 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
27 мар 2009 16:17
Сообщения: 695
Откуда:
Брянск
Как правило, в подавляющем большинстве случаев вредоносные SWF-файлы содержат в себе эксплойты, которые уже в дальнейшем докачивают дополнительное вредоносное ПО (исполняемые, т.е. exe-файлы), т.е. при своевременной установке патчей безопасности риск заразиться через мультимедиа, в том числе SWF, крайне низок.

Viha писал(а):
SWF это мультимедиа файл и влепить в него вирус это для ваятелей плевое дело, тем более, что практически все мультимедийки выступают активными файлами, т.е. вероятность заразиться через любой мультимедиа файл в разы выше, чем через любой другой.
Это не совсем верно. Вероятность заражения определяется не типом файла, а наличием уязвимостей в соответствующих программах; например, в общем случае, вредоносные PDF-файлы "работают" при наличии незакрытых уязвимостей в программах, обрабатывающих pdf (Adobe Acrobat и т.п.).

Viha писал(а):
Но, вполне может быть, что под расширением SWF в данном случае скрывался обыкновенный экзешник
Да, действительно, это очень возможный вариант. И в данном случае скорее всего так и есть.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB