Прочитал интересную новость на Securitylab.ru в новом заряднике пальчиковых аккумуляторов от Energizer. Как сообщается в ПО, идущем в комплекте содержится вредоносный код троянца. Как всегда отличилась Windows — троянец работает только под этой ОС.  Зарядное устройство работает от USB порта и для его корректной работы требуемое ПО должно быть установлено.

Вредоносный код, присутствующий в устройстве, предназначен для операционной системы Windows и передается на компьютер вместе с управляющим ПО для отображения статуса зарядки аккумулятора. При попадании в компьютер, создается файл Arucer.dll, который привязывается к порту 7777 и принимает через него дальнейшие исполнительные файлы. Троян загружается при каждом включении ПК и остается активным даже когда зарядное устройство уже не подключено к компьютеру.US-Cert рекомендовала пользователям вручную удалить файл Arucer.dll из папки System32 и перегрузить компьютер. Сама Energizer также удалила управляющее ПО со своего сайта. В заявлении компании говорится, что в памяти заурядного устройства находится еще и версия управляющего ПО для Mac OS X. Она не содержит вредоносного программного обеспечения.

Думается мне антивирусы уже имеют в своей базе сигнатуры для этого троянца, но от этого жить становится не легче. В какую бытовую технику на этот раз будет внедрен вредоносный код ? В микроволновку с подключением по ethernet ?

После отправки письма ESET’овцам утром, к вечеру результат не заставил себя ждать :

Nod32 уже внес его в базу и успешно детектится.

Сегодня обнаружил свежую модификацию червя Dropper.X(Win32.HLLW.Autoruner.4360)

Основные симптомы:

Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ — дропперов.

При заражении червь делает exe-файлы по названию папок, хранящихся на флеш-носителе.

Самим папкам присваивается атрибут  »скрытый».

Как и обычно , в случае таких червей формируется файлик Autorun.inf, который запускает тело червя

при активации сменного носителя (когда Вы вставляете флешку).

В папке C:\windows\system32 у меня создалась папка 42B8D4 и в ней файл 649FA9.exe

Ручное Лечение:

-удалить exe файлы совпадающие с именами папок

-удалить Autorun.inf

-вернуть атрибуты папкам

-проверить папку C:\windows\system32\ на наличие несистемных папок.

Автоматическое Лечение:

-скачать утилиту от Dr.Web — CureIT и проверить компьютер.

скачать с depositfiles.com

Читать запись полностью »