Свежий червь Dropper.X(Autorunner) — Личный дневник Spider'a

Сегодня обнаружил свежую модификацию червя Dropper.X(Win32.HLLW.Autoruner.4360)

Основные симптомы:

Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ — дропперов.

При заражении червь делает exe-файлы по названию папок, хранящихся на флеш-носителе.

Самим папкам присваивается атрибут «скрытый».

Как и обычно , в случае таких червей формируется файлик Autorun.inf, который запускает тело червя

при активации сменного носителя (когда Вы вставляете флешку).

В папке C:\windows\system32 у меня создалась папка 42B8D4 и в ней файл 649FA9.exe

Ручное Лечение:

-удалить exe файлы совпадающие с именами папок

-удалить Autorun.inf

-вернуть атрибуты папкам

-проверить папку C:\windows\system32\ на наличие несистемных папок.

Автоматическое Лечение:

-скачать утилиту от Dr.Web — CureIT и проверить компьютер.

скачать с depositfiles.com

Вот список антивирусов, которые распознают его на момент написания статьи (virustotal.com):

Файл Video_.exe получен 2009.11.27 08:26:16 (UTC)
Антивирус	Версия	Обновление	Результат
a-squared	4.5.0.43	2009.11.27	Trojan.Win32.FlyStudio!IK
AhnLab-V3	5.0.0.2	2009.11.27	Win-Trojan/Peed.1408357
AntiVir	7.9.1.79	2009.11.27	TR/Dropper.Gen
Antiy-AVL	2.0.3.7	2009.11.27	—
Authentium	5.2.0.5	2009.11.26	W32/Nuj.A.gen!Eldorado
Avast	4.8.1351.0	2009.11.26	Win32:Trojan-gen
AVG	8.5.0.426	2009.11.26	—
BitDefender	7.2	2009.11.27	Dropped:Trojan.Peed.Gen
CAT-QuickHeal	10.00	2009.11.27	Win32.Trojan-Dropper.Flystud.ko.5.Pack
ClamAV	0.94.1	2009.11.27	—
Comodo	3053	2009.11.27	UnclassifiedMalware
DrWeb	5.0.0.12182	2009.11.27	Win32.HLLW.Autoruner.4360
eSafe	7.0.17.0	2009.11.26	Win32.TRDropper
eTrust-Vet	35.1.7145	2009.11.27	—
F-Prot	4.5.1.85	2009.11.26	W32/Nuj.A.gen!Eldorado
F-Secure	9.0.15370.0	2009.11.24	Dropped:Trojan.Peed.Gen
Fortinet	4.0.14.0	2009.11.27	PossibleThreat
GData	19	2009.11.27	Dropped:Trojan.Peed.Gen
Ikarus	T3.1.1.74.0	2009.11.27	Trojan.Win32.FlyStudio
Jiangmin	11.0.800	2009.11.27	—
K7AntiVirus	7.10.905	2009.11.25	Trojan.Win32.Malware.3
Kaspersky	7.0.0.125	2009.11.27	Trojan-Dropper.Win32.Flystud.yo
McAfee	5814	2009.11.26	W32/Autorun.worm.ev
McAfee+Artemis	5814	2009.11.26	W32/Autorun.worm.ev
McAfee-GW-Edition	6.8.5	2009.11.27	Heuristic.BehavesLike.Win32.Packed.I
Microsoft	1.5302	2009.11.27	Backdoor:Win32/FlyAgent.F
NOD32	4640	2009.11.26	—
Norman	6.03.02	2009.11.25	W32/Tibs.DJDM
nProtect	2009.1.8.0	2009.11.27	—
Panda	10.0.2.2	2009.11.26	Generic Worm
PCTools	7.0.3.5	2009.11.27	Net-Worm.SillyFDC
Prevx	3.0	2009.11.27	High Risk Worm
Rising	22.23.04.04	2009.11.27	Worm.Win32.Nodef.ar
Sophos	4.48.0	2009.11.27	Mal/EncPk-GF
Sunbelt	3.2.1858.2	2009.11.26	Trojan.Peed.Gen
Symantec	1.4.4.12	2009.11.27	W32.SillyFDC
TheHacker	6.5.0.2.079	2009.11.26	—
TrendMicro	9.100.0.1001	2009.11.27	WORM_AUTORUN.FRK
VBA32	3.12.12.0	2009.11.27	Trojan.Win32.Agent.bfnb
ViRobot	2009.11.27.2058	2009.11.27	—
VirusBuster	5.0.21.0	2009.11.26	—

Дополнительная информация
File size: 1408357 bytes
MD5…: f491d54f63e96a5f909f4d89d6e5d263
SHA1..: dd67e44eba2a8cfd35772738d8448798dc485aee
SHA256: a6a53baff634714aa23823552f5d98dac303da6db1f4389ff8df56f1a67e4a3e
ssdeep: 24576:QfnX71NYhE9uDF2VLqUdHe/RnoaGUbvM7tjXjNZTKQxTkC8TTQ//4Xvp6f o8n0Dn:Yhh+oLBdOho1UghDPuQSjTQ/wAQSb9k
PEiD..: —
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x12eb timedatestamp…..: 0x59bffa3 (Mon Dec 25 05:33:23 1972) machinetype…….: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x51ec 0x6000 7.03 837d6ed40c831e44ce0d9ab27a1a58eb .rdata 0x7000 0xa4a 0x1000 3.58 367b7ce38d0c4c17f01e370dc697df5b .data 0x8000 0x1f58 0x2000 4.58 11d6960117712bca4cabafc9e2dd5133 .data 0xa000 0x22000 0x22000 7.82 fe18a4a083b6022bc450f91cd1bff54e .rsrc 0x2c000 0x45b0 0x5000 3.49 cb7bfc04473ebc6eecd6a3144ad88188 ( 2 imports ) > KERNEL32.dll: GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateDirectoryA, GetTempPathA, ReadFile, SetFilePointer, CreateFileA, GetModuleFileNameA, GetStringTypeA, LCMapStringW, LCMapStringA, HeapAlloc, HeapFree, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, GetStringTypeW > USER32.dll: MessageBoxA, wsprintfA ( 0 exports )
RDS…: NSRL Reference Data Set —
pdfid.: —
trid..: Win32 Executable MS Visual C++ (generic) (62.9%) Win32 Executable Generic (14.2%) Win32 Dynamic Link Library (generic) (12.6%) Clipper DOS Executable (3.3%) Generic Win/DOS Executable (3.3%)
packers (Kaspersky): PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF, PE-Crypt.CF
sigcheck: publisher….: n/a copyright….: n/a product……: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments…..: n/a signers……: — signing date.: — verified…..: Unsigned
packers (Authentium): PE-Crypt.CF
<a href=’http://info.prevx.com/aboutprogramtext.asp?PX5=9B2B52566585B7297D9E15DC30ADBB00DFABAD00′ target=’_blank’>http://info.prevx.com/aboutprogramtext.asp?PX5=9B2B52566585B7297D9E15DC30ADBB00DFABAD00</a>
packers (F-Prot): PE-Crypt.CF

13 thoughts on “Свежий червь Dropper.X(Autorunner)”

лена:
3 марта 2010 в 0:22
спасибо за советы! я так разнервничалась… ведь на флешке столько ценного. спасибо огромное!
Ответить
spider:
3 марта 2010 в 9:43
Всегда рад помочь. Читайте обновления — я постараюсь выкладывать все самые свежие методы борьбы с вирусами.
Ответить
Слава:
14 февраля 2011 в 14:53
Спасибо!!))
Ответить
Паша:
28 мая 2012 в 2:14
вы главное золото на флешках не храните))
Ответить
bitaidona:
19 ноября 2024 в 14:24
Phillips DH, Hewer A, Osborne MR, et al can you buy priligy over the counter
Ответить
indicac~ao binance:
30 ноября 2024 в 3:10
Thanks for sharing. I read many of your blog posts, cool, your blog is very good.
Ответить
Cod Binance:
1 декабря 2024 в 3:02
Thank you for your sharing. I am worried that I lack creative ideas. It is your article that makes me full of hope. Thank you. But, I have a question, can you help me?
Ответить
100 USDT:
13 января 2025 в 8:10
I don’t think the title of your article matches the content lol. Just kidding, mainly because I had some doubts after reading the article.
Ответить
augmentin es 600 oral suspension:
25 января 2025 в 12:05
Chemicals that caused mitochondrial membrane potential MMP disruption were found to be the second group most commonly associated with the cytotoxicity kinetics grouping, specifically with two groups of chemicals chemicals that induced cytotoxic effects in all four assays or chemicals that active in the HEK293 glo assay only how much is augmentin
Ответить
Регистрирайте се, за да получите 100 USDT:
25 февраля 2025 в 5:01
Can you be more specific about the content of your article? After reading it, I still have some doubts. Hope you can help me.
Ответить
binance referral bonus:
14 марта 2025 в 14:39
Thank you for your sharing. I am worried that I lack creative ideas. It is your article that makes me full of hope. Thank you. But, I have a question, can you help me?
Ответить
Открыть учетную запись в binance:
20 марта 2025 в 15:51
Thank you for your sharing. I am worried that I lack creative ideas. It is your article that makes me full of hope. Thank you. But, I have a question, can you help me?
Ответить
创建Binance账户:
7 апреля 2025 в 13:59
Your article helped me a lot, is there any more related content? Thanks!
Ответить

13 thoughts on “Свежий червь Dropper.X(Autorunner)”

Добавить комментарий для Слава Отменить ответ