Pull to refresh

Comments 63

Простите, но не вижу ничего «интересного» в данном вирусе.

[offtop] у Panda есть изумительная вещь — Panda USB Vaccine. Работает «на ура», ни одним вирусом пока еще не обходится (в виду малой распространенности, я думаю). Почему нет такой у вас?
Я к тому, что тут два стандартнейших и старейших приема заражения\распространения, и один публичный эксплоит
Сами типы заражения не новы, ново то, что все три в одном зловреде. autorun.inf как метод распространения не освоили только ленивые, инфектор+htm ЕМНИП только у семейства Virut. Довольно интересна комбинация макровируса и инфектора.

Короче, осталось заложить инфицирование MBR — и полный порядок :)

Хотя для Хабра ЛК могла припасти и более интересную новость, чай не дети тут пасутся. А то как Necurs — так на securlist… ;)
Вы забыли про внедрение кода в bios и фирмварь HDD. ;-)
Такое было давно и в Win.CIH. Вы знаете актуальную заразу с таким функционалом?
Win.CIH не внедрял свой код в BIOS и не трогал прошивку HDD.
зато легенда жива до сих пор :-)
Я знаю, и я не о том. Он хоть как-то взаимодействовал с BIOS. Весьма был бы признателен, если бы всё-таки мне предоставили пример вредоноса, который сейчас хоть как-то взаимодействует с BIOS, я уже не говорю о внедрении кода.
тоже давно её использую. При вставке новой флешке создаёт «битый» файл autorun.inf (такой, который потом затруднительно изменить). Проблема начинается, когда подключаю iPod. При попытке создать такой файл, USBVaccine.exe виснет.
Она вроде создает файл с ключом типа VolumeID… вобщем она аттрибуты файла уровня fat трогает
Для своих флешек самый простой способ избежать заражения autorun.inf'ом — создать на диске структуру вида «DISK/autorun.inf/con». Пока еще никакой червяк из тех, что лезли на флешку, файл/папку «con» из-под Windows удалить не смог ;)
Я все таки Панде больше доверяю. Правда она достигает «вацинирования» путем извращений в FAT, но…
Да, извращения с FAT должны быть понадежнее, хотя, если целенаправленно подойти, то и для них можно найти «противовакцину». А способ с «con» очень удобен, если под рукой есть только bash/cmd.exe, а «делать что-то надо».
На NTFS можно использовать права доступа.
Для NTFS там своя разработка в статусе beta. Я так понимаю, снимают все пермишены с файла
я на службе срочной так спасал =) Отличный способ, но только для своей флешки…
>>… создать на диске структуру вида «DISK/autorun.inf/con»
>> Пока еще никакой червяк из тех, что лезли на флешку, файл/папку «con» из-под Windows удалить не смог ;)

Грамотный вирус эту папку и не станет удалять. Он просто ПЕРЕИМЕНУЕТ саму папку autorun.inf в какой-нибудь recycler (не обращая внимания на ее содержимое), и сделает свое черное дело, разместив файл autorun.inf рядышком, (плюс еще забросит свой собственный зловредный код в эту же самую папку, чтобы не плодить еще одной папки).
Да, вариант. Сколько, оказывается, безграмотности в вирусописании. Ни разу такого не попалось, все обламывались на удалении.
А как вам удалось из-под Windows создать con простыми средствами?
Есть такая хитрая команда:

mkdir \\.\X:\autorun.inf\con

где X — буква флешкиного раздела.
а чтобы убрать есть:
rmdir \\.\X:\autorun.inf\con

Я в том посте имел в виду, что кто знает про \\.\ — тот авторанов не ловит :)
Задачей поста стояло не описание каждого отдельного способа заражения, которые уже известны, а описание зловреда, который использует сразу все три способа для своего заражения. Более того, учитывая, что все эти способы не новы, примечательно, что такой зловред вообще появился на свет. Это говорит о том, что малварщики используют не толкьо 0-day, а еще и всякие древние штуки.
[offtop]
ни одним вирусом пока еще не обходится
Да ладно. Обходится многими. Не такое уж хитрое дело. Да и способ это один из многих.

Если уж на то пошло, Ariad получше USB Vaccine будет.
1) Какими обходится, предъявите
2) Что такое Araid?
тройной инфектор
Готов за 500WMZ продать информацию о человеке, который под воздействием паяльника (ещё пару долларов) расскажет вам всё об авторе.
готов за 250WMZ продать информацию о человеке, который под воздействием паяльника (еще пару долларов) расскажет вам о человеке, который под воздействием паяльника (новый не обязателен) расскажет всё об авторе
да ладно? а со мной, с настоящим владельцем аккаунта, посоветоваться западло? :)
За возможность операций с локальной файловой системой из VBScript нужно убивать производителей браузеров (я догадываюсь каких именно)
> кококо
Простите что вы сказали?
UFO landed and left these words here
Вспоминается только double penetration
«В конец исполняемого файла добавляется дополнительная секция «.text» размером 172 Кб» Скучно, товарищи… добавление лишней секции — это ж палево какое… Autorun.inf тоже не впечатляет, не научились ничему у Rustock.*
Смело было поместить фото рядом со словами «Тройной инфектор» =)
Не хочу показаться старомодным или тролем, но давно на всех флешках, локальных дисках в Win-подобных системах, в корне диска создал папку которую назвал «Autorun.inf» и, тьфу-тьфу-тьфу, ни каких проблем с вирусами не было еще ни разу.
Есть вариант отключить выполнение autorun.inf со сменных, сетевых и жестких дисков. Тот же касперский при анализе системы предлагает сделать это
Чисто папки, даже с атрибутами хидден/ридонли не хватит в общем случае — в ней еще надо создать файл с некорректным именем типа LPT или что-то подобное (USB Disk Security ставит zhengbo. — с точкой на конце). Тогда зловред не сможет их удалить/записать свой.
Тем временем элита (а также и андеграунд) продолжает нести правду (истену) в массы. За чтением нового постенга был замечен вирусный аналитик компании ЛК, Вячеслав Русаков (фотограмма по гиперссылке) redodepts.livejournal.com/3253.html
А у вас все аналитики ходят в костюмах и галстуках?
Это можно здесь посмотреть. Вроде как большинство в casual разной степени smart, включая Евгения Касперского. Однако представляется, что борьба за дресс-код там таки ведется: на паре аналитиков присутствуют пиджаки и галстуки, которые отлично смотрятся только вне образа данных аналитиков, явное выпадение из их стиля.

Сергей Голованов:


Денис Масленников:
если антивирус не умеет создавать FLASH/autorun.inf/con на всех свежевставленных флешках,
то это ненастоящий антивирус, так как прививку он не делает заранее ;)
А зачем отключать авторан? Он уже отключен обновлениями MS для XP-Vista и изначально для Seven.
И? Ждём расшифровку смысла картинки.
Похоже на какой-то план, постройки или деревни. Кто по-китайски разумеет?
В файле расписано прохождение Final Fantasy 10, полностью переводить? :)
Всегда первым делом после установки Windows добавляю в реестр ключ:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Самое простое и эффективное решение.
Сегодня почтенный технический директор компании где я работаю, словил необычного winlock…
Только проходит инициализация BIOS и сразу выкидываеться окно о том что ваш компютер заблокирован и так далее с просьбой перевести 500руб на БИЛАЙН 89688432642.

Необычность была в том что он спокойно попал на компьютер с Антивирус Касперского 6.0 для Windows Workstations MP4 где базы от 17 мая 2011 г. 9:18:00.
При этом политика сразу ловит и убивает без всякого вопроса все подозрительные вирусы)
Этот вирус всего то менял запись загрузчика на свою, открывая взору вот такую картинку:
ow.ly/i/bG1d/original

Сперва машина попала моим чудо ребятам которые с WinPe прошерстили реестр на предмет ошметков от winlock
Они проверили систему полностью, последними средствами от Kaspersky и DrWeb
Что то конечно было найдено и удалено, но проблемы это не решило. На форуме Kaspersky посоветовали сканировать систему программой uVS, и даже сбросить BIOS…
Решение было найдено случайно, я просто загрузился в консоли восстановления windows
и сделал fixboot и fixmbr
Система после перезагрузки радостно ушла в синий экран, что полечилось загрузкой последней удачной конфигурации windows. День работы отдела, 20 минут моих поисков в интернетах по номеру телефона.
Кажется новый штамм всеми давно любимого winlock
Что дальше? будет заражен BIOS?
Да, винлок жутко заразная зараза. И не случайно, на нём его распространители миллионы зарабатывают. И продолжаться это будет пока ими не займутся правоохранители.
Блокер, заражающий MBR, встречается нам уже не впервые. Это не новый «штамм», просто новая модификация. Заражение BIOS`а — дело крайне непростое. Вряд ли вирусописатели этим займутся, так как соотношение прибыль/затраченное_время окажется невысоким. Кстати, скоро мы выпустим очередной пост с десяткой самых необычных блокеров, там будет представлена одна из модификаций описанного вами зловреда.
А чем штам отличается от модификации?
Штамм (от нем. Stammen, буквально — происходить) — чистая культура вирусов, бактерий, других микроорганизмов или культура клеток, изолированная в определённое время и в определенном месте
Спасибо за уточнение, значит, я вас неправильно понял. Но смысл моего сообщения вам, надеюсь, понятен. Не стоит бояться заражения BIOS`а: поделки, подобные этой, у нас на примете, и даже если они получат распространение, очень скоро будут искорены.
если честно это был немного сарказм)) но очень не радует что система win вместе со всеми своими антивирусами, так просто допустила серое ПО к таблице загрузки( система порочна в корне увы
Злоумышленники пишут «блокеры» и зарабатывают миллионы. Антивирусные «лаборатории» борются со злоумышленниками и зарабатывают миллионы. Какая отлаженная система однако…
Only those users with full accounts are able to leave comments. Log in, please.