Комментарии 63
Простите, но не вижу ничего «интересного» в данном вирусе.
[offtop] у Panda есть изумительная вещь — Panda USB Vaccine. Работает «на ура», ни одним вирусом пока еще не обходится (в виду малой распространенности, я думаю). Почему нет такой у вас?
[offtop] у Panda есть изумительная вещь — Panda USB Vaccine. Работает «на ура», ни одним вирусом пока еще не обходится (в виду малой распространенности, я думаю). Почему нет такой у вас?
Я к тому, что тут два стандартнейших и старейших приема заражения\распространения, и один публичный эксплоит
Сами типы заражения не новы, ново то, что все три в одном зловреде. autorun.inf как метод распространения не освоили только ленивые, инфектор+htm ЕМНИП только у семейства Virut. Довольно интересна комбинация макровируса и инфектора.
Короче, осталось заложить инфицирование MBR — и полный порядок :)
Хотя для Хабра ЛК могла припасти и более интересную новость, чай не дети тут пасутся. А то как Necurs — так на securlist… ;)
Короче, осталось заложить инфицирование MBR — и полный порядок :)
Хотя для Хабра ЛК могла припасти и более интересную новость, чай не дети тут пасутся. А то как Necurs — так на securlist… ;)
тоже давно её использую. При вставке новой флешке создаёт «битый» файл autorun.inf (такой, который потом затруднительно изменить). Проблема начинается, когда подключаю iPod. При попытке создать такой файл, USBVaccine.exe виснет.
Для своих флешек самый простой способ избежать заражения autorun.inf'ом — создать на диске структуру вида «DISK/autorun.inf/con». Пока еще никакой червяк из тех, что лезли на флешку, файл/папку «con» из-под Windows удалить не смог ;)
Я все таки Панде больше доверяю. Правда она достигает «вацинирования» путем извращений в FAT, но…
я на службе срочной так спасал =) Отличный способ, но только для своей флешки…
Свою флэшку лучше сразу выбрать с аппаратной защитой от записи, типа этой: tinyurl.com/3d9xolx
>>… создать на диске структуру вида «DISK/autorun.inf/con»
>> Пока еще никакой червяк из тех, что лезли на флешку, файл/папку «con» из-под Windows удалить не смог ;)
Грамотный вирус эту папку и не станет удалять. Он просто ПЕРЕИМЕНУЕТ саму папку autorun.inf в какой-нибудь recycler (не обращая внимания на ее содержимое), и сделает свое черное дело, разместив файл autorun.inf рядышком, (плюс еще забросит свой собственный зловредный код в эту же самую папку, чтобы не плодить еще одной папки).
>> Пока еще никакой червяк из тех, что лезли на флешку, файл/папку «con» из-под Windows удалить не смог ;)
Грамотный вирус эту папку и не станет удалять. Он просто ПЕРЕИМЕНУЕТ саму папку autorun.inf в какой-нибудь recycler (не обращая внимания на ее содержимое), и сделает свое черное дело, разместив файл autorun.inf рядышком, (плюс еще забросит свой собственный зловредный код в эту же самую папку, чтобы не плодить еще одной папки).
А как вам удалось из-под Windows создать con простыми средствами?
Задачей поста стояло не описание каждого отдельного способа заражения, которые уже известны, а описание зловреда, который использует сразу все три способа для своего заражения. Более того, учитывая, что все эти способы не новы, примечательно, что такой зловред вообще появился на свет. Это говорит о том, что малварщики используют не толкьо 0-day, а еще и всякие древние штуки.
[offtop]
Если уж на то пошло, Ariad получше USB Vaccine будет.
ни одним вирусом пока еще не обходитсяДа ладно. Обходится многими. Не такое уж хитрое дело. Да и способ это один из многих.
Если уж на то пошло, Ariad получше USB Vaccine будет.
А на фото автор?
Готов продать информацию об авторе за 1000WMZ.
Первая буква «K» :)?
Готов за 500WMZ продать информацию о человеке, который под воздействием паяльника (ещё пару долларов) расскажет вам всё об авторе.
да ладно? а со мной, с настоящим владельцем аккаунта, посоветоваться западло? :)
За возможность операций с локальной файловой системой из VBScript нужно убивать производителей браузеров (я догадываюсь каких именно)
НЛО прилетело и опубликовало эту надпись здесь
«В конец исполняемого файла добавляется дополнительная секция «.text» размером 172 Кб» Скучно, товарищи… добавление лишней секции — это ж палево какое… Autorun.inf тоже не впечатляет, не научились ничему у Rustock.*
Смело было поместить фото рядом со словами «Тройной инфектор» =)
Не хочу показаться старомодным или тролем, но давно на всех флешках, локальных дисках в Win-подобных системах, в корне диска создал папку которую назвал «Autorun.inf» и, тьфу-тьфу-тьфу, ни каких проблем с вирусами не было еще ни разу.
Есть вариант отключить выполнение autorun.inf со сменных, сетевых и жестких дисков. Тот же касперский при анализе системы предлагает сделать это
Чисто папки, даже с атрибутами хидден/ридонли не хватит в общем случае — в ней еще надо создать файл с некорректным именем типа LPT или что-то подобное (USB Disk Security ставит zhengbo. — с точкой на конце). Тогда зловред не сможет их удалить/записать свой.
Тем временем элита (а также и андеграунд) продолжает нести правду (истену) в массы. За чтением нового постенга был замечен вирусный аналитик компании ЛК, Вячеслав Русаков (фотограмма по гиперссылке) redodepts.livejournal.com/3253.html
А у вас все аналитики ходят в костюмах и галстуках?
Это можно здесь посмотреть. Вроде как большинство в casual разной степени smart, включая Евгения Касперского. Однако представляется, что борьба за дресс-код там таки ведется: на паре аналитиков присутствуют пиджаки и галстуки, которые отлично смотрятся только вне образа данных аналитиков, явное выпадение из их стиля.
Сергей Голованов:
Денис Масленников:
Сергей Голованов:
Денис Масленников:
если антивирус не умеет создавать FLASH/autorun.inf/con на всех свежевставленных флешках,
то это ненастоящий антивирус, так как прививку он не делает заранее ;)
то это ненастоящий антивирус, так как прививку он не делает заранее ;)
А зачем отключать авторан? Он уже отключен обновлениями MS для XP-Vista и изначально для Seven.
И? Ждём расшифровку смысла картинки.
Похоже на какой-то план, постройки или деревни. Кто по-китайски разумеет?
Похоже на какой-то план, постройки или деревни. Кто по-китайски разумеет?
Всегда первым делом после установки Windows добавляю в реестр ключ:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Самое простое и эффективное решение.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Самое простое и эффективное решение.
Сегодня почтенный технический директор компании где я работаю, словил необычного winlock…
Только проходит инициализация BIOS и сразу выкидываеться окно о том что ваш компютер заблокирован и так далее с просьбой перевести 500руб на БИЛАЙН 89688432642.
Необычность была в том что он спокойно попал на компьютер с Антивирус Касперского 6.0 для Windows Workstations MP4 где базы от 17 мая 2011 г. 9:18:00.
При этом политика сразу ловит и убивает без всякого вопроса все подозрительные вирусы)
Этот вирус всего то менял запись загрузчика на свою, открывая взору вот такую картинку:
ow.ly/i/bG1d/original
Сперва машина попала моим чудо ребятам которые с WinPe прошерстили реестр на предмет ошметков от winlock
Они проверили систему полностью, последними средствами от Kaspersky и DrWeb
Что то конечно было найдено и удалено, но проблемы это не решило. На форуме Kaspersky посоветовали сканировать систему программой uVS, и даже сбросить BIOS…
Решение было найдено случайно, я просто загрузился в консоли восстановления windows
и сделал fixboot и fixmbr
Система после перезагрузки радостно ушла в синий экран, что полечилось загрузкой последней удачной конфигурации windows. День работы отдела, 20 минут моих поисков в интернетах по номеру телефона.
Кажется новый штамм всеми давно любимого winlock
Что дальше? будет заражен BIOS?
Только проходит инициализация BIOS и сразу выкидываеться окно о том что ваш компютер заблокирован и так далее с просьбой перевести 500руб на БИЛАЙН 89688432642.
Необычность была в том что он спокойно попал на компьютер с Антивирус Касперского 6.0 для Windows Workstations MP4 где базы от 17 мая 2011 г. 9:18:00.
При этом политика сразу ловит и убивает без всякого вопроса все подозрительные вирусы)
Этот вирус всего то менял запись загрузчика на свою, открывая взору вот такую картинку:
ow.ly/i/bG1d/original
Сперва машина попала моим чудо ребятам которые с WinPe прошерстили реестр на предмет ошметков от winlock
Они проверили систему полностью, последними средствами от Kaspersky и DrWeb
Что то конечно было найдено и удалено, но проблемы это не решило. На форуме Kaspersky посоветовали сканировать систему программой uVS, и даже сбросить BIOS…
Решение было найдено случайно, я просто загрузился в консоли восстановления windows
и сделал fixboot и fixmbr
Система после перезагрузки радостно ушла в синий экран, что полечилось загрузкой последней удачной конфигурации windows. День работы отдела, 20 минут моих поисков в интернетах по номеру телефона.
Кажется новый штамм всеми давно любимого winlock
Что дальше? будет заражен BIOS?
Да, винлок жутко заразная зараза. И не случайно, на нём его распространители миллионы зарабатывают. И продолжаться это будет пока ими не займутся правоохранители.
Блокер, заражающий MBR, встречается нам уже не впервые. Это не новый «штамм», просто новая модификация. Заражение BIOS`а — дело крайне непростое. Вряд ли вирусописатели этим займутся, так как соотношение прибыль/затраченное_время окажется невысоким. Кстати, скоро мы выпустим очередной пост с десяткой самых необычных блокеров, там будет представлена одна из модификаций описанного вами зловреда.
А чем штам отличается от модификации?
Штамм (от нем. Stammen, буквально — происходить) — чистая культура вирусов, бактерий, других микроорганизмов или культура клеток, изолированная в определённое время и в определенном месте
Штамм (от нем. Stammen, буквально — происходить) — чистая культура вирусов, бактерий, других микроорганизмов или культура клеток, изолированная в определённое время и в определенном месте
Злоумышленники пишут «блокеры» и зарабатывают миллионы. Антивирусные «лаборатории» борются со злоумышленниками и зарабатывают миллионы. Какая отлаженная система однако…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Тройной инфектор