Свежий червь Dropper.X(Autorunner)

Разместил: spider. Рубрика: уязвимости | 2 коммент. »

Сегодня обнаружил свежую модификацию червя Dropper.X(Win32.HLLW.Autoruner.4360)

Основные симптомы:

Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ – дропперов.

При заражении червь делает exe-файлы по названию папок, хранящихся на флеш-носителе.

Самим папкам присваивается атрибут ”скрытый”.

Как и обычно , в случае таких червей формируется файлик Autorun.inf, который запускает тело червя

при активации сменного носителя (когда Вы вставляете флешку).

В папке C:\windows\system32 у меня создалась папка 42B8D4 и в ней файл 649FA9.exe

Ручное Лечение:

-удалить exe файлы совпадающие с именами папок

-удалить Autorun.inf

-вернуть атрибуты папкам

-проверить папку C:\windows\system32\ на наличие несистемных папок.

Автоматическое Лечение:

-скачать утилиту от Dr.Web – CureIT и проверить компьютер.

скачать с depositfiles.com

Вот список антивирусов, которые распознают его на момент написания статьи (virustotal.com):

Файл Video_.exe получен 2009.11.27 08:26:16 (UTC)
Антивирус	Версия	Обновление	Результат
a-squared	4.5.0.43	2009.11.27	Trojan.Win32.FlyStudio!IK
AhnLab-V3	5.0.0.2	2009.11.27	Win-Trojan/Peed.1408357
AntiVir	7.9.1.79	2009.11.27	TR/Dropper.Gen
Antiy-AVL	2.0.3.7	2009.11.27	-
Authentium	5.2.0.5	2009.11.26	W32/Nuj.A.gen!Eldorado
Avast	4.8.1351.0	2009.11.26	Win32:Trojan-gen
AVG	8.5.0.426	2009.11.26	-
BitDefender	7.2	2009.11.27	Dropped:Trojan.Peed.Gen
CAT-QuickHeal	10.00	2009.11.27	Win32.Trojan-Dropper.Flystud.ko.5.Pack
ClamAV	0.94.1	2009.11.27	-
Comodo	3053	2009.11.27	UnclassifiedMalware
DrWeb	5.0.0.12182	2009.11.27	Win32.HLLW.Autoruner.4360
eSafe	7.0.17.0	2009.11.26	Win32.TRDropper
eTrust-Vet	35.1.7145	2009.11.27	-
F-Prot	4.5.1.85	2009.11.26	W32/Nuj.A.gen!Eldorado
F-Secure	9.0.15370.0	2009.11.24	Dropped:Trojan.Peed.Gen
Fortinet	4.0.14.0	2009.11.27	PossibleThreat
GData	19	2009.11.27	Dropped:Trojan.Peed.Gen
Ikarus	T3.1.1.74.0	2009.11.27	Trojan.Win32.FlyStudio
Jiangmin	11.0.800	2009.11.27	-
K7AntiVirus	7.10.905	2009.11.25	Trojan.Win32.Malware.3
Kaspersky	7.0.0.125	2009.11.27	Trojan-Dropper.Win32.Flystud.yo
McAfee	5814	2009.11.26	W32/Autorun.worm.ev
McAfee+Artemis	5814	2009.11.26	W32/Autorun.worm.ev
McAfee-GW-Edition	6.8.5	2009.11.27	Heuristic.BehavesLike.Win32.Packed.I
Microsoft	1.5302	2009.11.27	Backdoor:Win32/FlyAgent.F
NOD32	4640	2009.11.26	-
Norman	6.03.02	2009.11.25	W32/Tibs.DJDM
nProtect	2009.1.8.0	2009.11.27	-
Panda	10.0.2.2	2009.11.26	Generic Worm
PCTools	7.0.3.5	2009.11.27	Net-Worm.SillyFDC
Prevx	3.0	2009.11.27	High Risk Worm
Rising	22.23.04.04	2009.11.27	Worm.Win32.Nodef.ar
Sophos	4.48.0	2009.11.27	Mal/EncPk-GF
Sunbelt	3.2.1858.2	2009.11.26	Trojan.Peed.Gen
Symantec	1.4.4.12	2009.11.27	W32.SillyFDC
TheHacker	6.5.0.2.079	2009.11.26	-
TrendMicro	9.100.0.1001	2009.11.27	WORM_AUTORUN.FRK
VBA32	3.12.12.0	2009.11.27	Trojan.Win32.Agent.bfnb
ViRobot	2009.11.27.2058	2009.11.27	-
VirusBuster	5.0.21.0	2009.11.26	-

Дополнительная информация
File size: 1408357 bytes
MD5…: f491d54f63e96a5f909f4d89d6e5d263
SHA1..: dd67e44eba2a8cfd35772738d8448798dc485aee
SHA256: a6a53baff634714aa23823552f5d98dac303da6db1f4389ff8df56f1a67e4a3e
ssdeep: 24576:QfnX71NYhE9uDF2VLqUdHe/RnoaGUbvM7tjXjNZTKQxTkC8TTQ//4Xvp6f o8n0Dn:Yhh+oLBdOho1UghDPuQSjTQ/wAQSb9k
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x12eb timedatestamp…..: 0x59bffa3 (Mon Dec 25 05:33:23 1972) machinetype…….: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0×1000 0x51ec 0×6000 7.03 837d6ed40c831e44ce0d9ab27a1a58eb .rdata 0×7000 0xa4a 0×1000 3.58 367b7ce38d0c4c17f01e370dc697df5b .data 0×8000 0x1f58 0×2000 4.58 11d6960117712bca4cabafc9e2dd5133 .data 0xa000 0×22000 0×22000 7.82 fe18a4a083b6022bc450f91cd1bff54e .rsrc 0x2c000 0x45b0 0×5000 3.49 cb7bfc04473ebc6eecd6a3144ad88188 ( 2 imports ) > KERNEL32.dll: GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateDirectoryA, GetTempPathA, ReadFile, SetFilePointer, CreateFileA, GetModuleFileNameA, GetStringTypeA, LCMapStringW, LCMapStringA, HeapAlloc, HeapFree, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, GetStringTypeW > USER32.dll: MessageBoxA, wsprintfA ( 0 exports )
RDS…: NSRL Reference Data Set -
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (62.9%) Win32 Executable Generic (14.2%) Win32 Dynamic Link Library (generic) (12.6%) Clipper DOS Executable (3.3%) Generic Win/DOS Executable (3.3%)
packers (Kaspersky): PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF
sigcheck: publisher….: n/a copyright….: n/a product……: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments…..: n/a signers……: - signing date.: - verified…..: Unsigned
packers (Authentium): PE-Crypt.CF
<a href=’http://info.prevx.com/aboutprogramtext.asp?PX5=9B2B52566585B7297D9E15DC30ADBB00DFABAD00′ target=’_blank’>http://info.prevx.com/aboutprogramtext.asp?PX5=9B2B52566585B7297D9E15DC30ADBB00DFABAD00</a>
packers (F-Prot): PE-Crypt.CF