Свежий червь Dropper.X(Autorunner)

Сегодня обнаружил свежую модификацию червя Dropper.X(Win32.HLLW.Autoruner.4360)

Основные симптомы:

Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ — дропперов.

При заражении червь делает exe-файлы по названию папок, хранящихся на флеш-носителе.

Самим папкам присваивается атрибут  «скрытый».

Как и обычно , в случае таких червей формируется файлик Autorun.inf, который запускает тело червя

при активации сменного носителя (когда Вы вставляете флешку).

В папке C:\windows\system32 у меня создалась папка 42B8D4 и в ней файл 649FA9.exe

Ручное Лечение:

-удалить exe файлы совпадающие с именами папок

-удалить Autorun.inf

-вернуть атрибуты папкам

-проверить папку C:\windows\system32\ на наличие несистемных папок.

Автоматическое Лечение:

-скачать утилиту от Dr.Web — CureIT и проверить компьютер.

скачать с depositfiles.com

Вот список антивирусов, которые распознают его на момент написания статьи (virustotal.com):

Файл Video_.exe получен 2009.11.27 08:26:16 (UTC)
АнтивирусВерсияОбновлениеРезультат
a-squared4.5.0.432009.11.27Trojan.Win32.FlyStudio!IK
AhnLab-V35.0.0.22009.11.27Win-Trojan/Peed.1408357
AntiVir7.9.1.792009.11.27TR/Dropper.Gen
Antiy-AVL2.0.3.72009.11.27
Authentium5.2.0.52009.11.26W32/Nuj.A.gen!Eldorado
Avast4.8.1351.02009.11.26Win32:Trojan-gen
AVG8.5.0.4262009.11.26
BitDefender7.22009.11.27Dropped:Trojan.Peed.Gen
CAT-QuickHeal10.002009.11.27Win32.Trojan-Dropper.Flystud.ko.5.Pack
ClamAV0.94.12009.11.27
Comodo30532009.11.27UnclassifiedMalware
DrWeb5.0.0.121822009.11.27Win32.HLLW.Autoruner.4360
eSafe7.0.17.02009.11.26Win32.TRDropper
eTrust-Vet35.1.71452009.11.27
F-Prot4.5.1.852009.11.26W32/Nuj.A.gen!Eldorado
F-Secure9.0.15370.02009.11.24Dropped:Trojan.Peed.Gen
Fortinet4.0.14.02009.11.27PossibleThreat
GData192009.11.27Dropped:Trojan.Peed.Gen
IkarusT3.1.1.74.02009.11.27Trojan.Win32.FlyStudio
Jiangmin11.0.8002009.11.27
K7AntiVirus7.10.9052009.11.25Trojan.Win32.Malware.3
Kaspersky7.0.0.1252009.11.27Trojan-Dropper.Win32.Flystud.yo
McAfee58142009.11.26W32/Autorun.worm.ev
McAfee+Artemis58142009.11.26W32/Autorun.worm.ev
McAfee-GW-Edition6.8.52009.11.27Heuristic.BehavesLike.Win32.Packed.I
Microsoft1.53022009.11.27Backdoor:Win32/FlyAgent.F
NOD3246402009.11.26
Norman6.03.022009.11.25W32/Tibs.DJDM
nProtect2009.1.8.02009.11.27
Panda10.0.2.22009.11.26Generic Worm
PCTools7.0.3.52009.11.27Net-Worm.SillyFDC
Prevx3.02009.11.27High Risk Worm
Rising22.23.04.042009.11.27Worm.Win32.Nodef.ar
Sophos4.48.02009.11.27Mal/EncPk-GF
Sunbelt3.2.1858.22009.11.26Trojan.Peed.Gen
Symantec1.4.4.122009.11.27W32.SillyFDC
TheHacker6.5.0.2.0792009.11.26
TrendMicro9.100.0.10012009.11.27WORM_AUTORUN.FRK
VBA323.12.12.02009.11.27Trojan.Win32.Agent.bfnb
ViRobot2009.11.27.20582009.11.27
VirusBuster5.0.21.02009.11.26
Дополнительная информация
File size: 1408357 bytes
MD5…: f491d54f63e96a5f909f4d89d6e5d263
SHA1..: dd67e44eba2a8cfd35772738d8448798dc485aee
SHA256: a6a53baff634714aa23823552f5d98dac303da6db1f4389ff8df56f1a67e4a3e
ssdeep: 24576:QfnX71NYhE9uDF2VLqUdHe/RnoaGUbvM7tjXjNZTKQxTkC8TTQ//4Xvp6f
o8n0Dn:Yhh+oLBdOho1UghDPuQSjTQ/wAQSb9k
PEiD..: —
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12eb
timedatestamp…..: 0x59bffa3 (Mon Dec 25 05:33:23 1972)
machinetype…….: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x51ec 0x6000 7.03 837d6ed40c831e44ce0d9ab27a1a58eb
.rdata 0x7000 0xa4a 0x1000 3.58 367b7ce38d0c4c17f01e370dc697df5b
.data 0x8000 0x1f58 0x2000 4.58 11d6960117712bca4cabafc9e2dd5133
.data 0xa000 0x22000 0x22000 7.82 fe18a4a083b6022bc450f91cd1bff54e
.rsrc 0x2c000 0x45b0 0x5000 3.49 cb7bfc04473ebc6eecd6a3144ad88188

( 2 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateDirectoryA, GetTempPathA, ReadFile, SetFilePointer, CreateFileA, GetModuleFileNameA, GetStringTypeA, LCMapStringW, LCMapStringA, HeapAlloc, HeapFree, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, GetStringTypeW
> USER32.dll: MessageBoxA, wsprintfA

( 0 exports )

RDS…: NSRL Reference Data Set
pdfid.: —
trid..: Win32 Executable MS Visual C++ (generic) (62.9%)
Win32 Executable Generic (14.2%)
Win32 Dynamic Link Library (generic) (12.6%)
Clipper DOS Executable (3.3%)
Generic Win/DOS Executable (3.3%)
packers (Kaspersky): PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF
sigcheck:
publisher….: n/a
copyright….: n/a
product……: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments…..: n/a
signers……: —
signing date.: —
verified…..: Unsigned
packers (Authentium): PE-Crypt.CF
<a href=’http://info.prevx.com/aboutprogramtext.asp?PX5=9B2B52566585B7297D9E15DC30ADBB00DFABAD00′ target=’_blank’>http://info.prevx.com/aboutprogramtext.asp?PX5=9B2B52566585B7297D9E15DC30ADBB00DFABAD00</a>
packers (F-Prot): PE-Crypt.CF

5 thoughts on “Свежий червь Dropper.X(Autorunner)”

  1. спасибо за советы! я так разнервничалась… ведь на флешке столько ценного. спасибо огромное!

  2. Всегда рад помочь. Читайте обновления — я постараюсь выкладывать все самые свежие методы борьбы с вирусами.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Изображения должны быть включены!