Страницы

TROJAN.WIN32.AUTOIT.dr (KASPERSKY) ОНЖЕ WIN32.HLLW.AUTORUNER.2691 (Dr.WEB) ИЛИ ОЧЕРЕДНОЙ CSRCS.EXE







Trojan.Win32.Autoit.dr (Kaspersky)

Win32.HLLW.Autoruner.2691 (DrWeb)
Win32/Autoit.DW (NOD32)
Вес 443 КБ (453 724 байт)
MD5 d2c895094e5fb3cca195ef1ac9d2465c
Упаковщик UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]


При запуске с инфицированной флешки червь копирует свои файлы в директорию System32\ с атрибутами скрытый системный:

csrcs.exe
autorun.inf

C:\Documents and Settings\All Users\Документы\

(random_name.exe) vupohn.exe

Метка вируса, файл нулевой длинны "khq" с атрибутами скрытый системный.


Запрещает отображение скрытых файлов.

Запуск с системой обеспечивает себе с помощью ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe csrcs.exe

Создает файлы метки в корне локальных дисков, файлы нулевой длинны (пустые) под названием "khq"

Расспостраняется по сети
посредством сканирования удаленных хостов и наличия на них открытого tcp\445 порта.














При присоеденении "чистого" USB Flash-накопителя, копирует свое тело и файл запуска (random_name.exe) vupohn.exe и Autorun.inf в корень USB-Flash

Инструкция автозапуска червя Autorun.inf:

************************************************************************

;mXpYfEQUwdKBttgvjkFhKvsULyX
[AutoRun]
;NPsmncvgzTJyRupJEokYetVlaBmeEqFypoIo
open=vupohn.exe
;CavACCePgwwWaWWInPpJDFpkOpOQg
shell\open\Command=vupohn.exe
;KFLJhzZFykRMxZXGlcTjHIOApFwYvJfaxALtYGd
shell\open\Default=1
;45F27A231FB5BAE1D81F01290841BED88E8F0F9AB727D2C7BFC81571
;sDCckNLMacnSONhKQrsbavhOKwnuBhBGhiMTgCJJqmCrccPlABXMiyRGJqRBZMxglSG
shell\explore\Command=vupohn.exe
;siGDcPSwxsgsaZIIrSEIFjCXfZqBcgluRCpFHwnFGCvKvEJnLePSlBtqMzobfWCDLAtyW

**********************************************************************

Если убрать мусор то получается вот такая инструкция автозапуска:

[AutoRun]
open=vupohn.exe
shell\open\Command=vupohn.exe
shell\open\Default=1
shell\explore\Command=vupohn.exe


ЛЕЧЕНИЕ:


1) Отключаем сеть! (выдергиваем сетевой кабель из карты)

2) Отключаем восстановление системы идем по пути ПУСК>СВОЙСТВА МОЙ КОМПЬЮТЕР>ВКЛАДКА ВОССТАНОВЛЕНИЕ СИСТЕМЫ>СТАВИМ ГАЛКУ НА "ОТКЛЮЧИТЬ ВОССТАНОВЛЕНИЕ СИСТЕМЫ НА ВСЕХ ДИСКАХ" нажимаем ОК

3) Завершаем в ручную в "Диспетчере задач" процесс "csrcs.exe" Иначе не даст себя удалить в папке \system32














4) Так как отображение скрытых файлов заблокированно червем, нужно это дело восстановить. Качаем AVZ 4.3

Запускаем ее, далее кликаем > файл>восстановление системы>ставим галочку на пункте №8 и нажимаем "Выполнить отмеченные операции" дожидаемся окончания выполнения задачи, закрываем программу.

Отображение скрытых файлов восстановлено.

5) Далее заходим в любую папку, кликаем сервис > свойства папки > вкладка "Вид" ставим галку на "Отображать содержимое системных папок" > убираем галку на "Скрывать защищенные системные файлы" > ставим галку на "Показывать скрытые файлы и папки" > убираем галку на "Скрывать расширения для зарегестрированных типов файлов" и нажимаем "ОК" Теперь мы видим срытые файлы и системные папки.

6) Идем по пути Пуск>Мой компьютер>Локальный диск С:\WINDOWS\system32\
Находим и удаляем файл червя csrcs.exe (не перепутайте с csrss.exe это системный файл!!)

















7) Удаляем все точки восстановления системы (Загружаемся из под Windows Live CD Качаем например Hiren's BootCD 9.8 в нем есть Windows Live CD При загрузке Hiren'sa его можно выбрать для запуска, на мой взгляд самый быстрый. После загрузки Windows Live CD заходим в корень каждого локального диска в папку "System Volume Information" и полностью удаляем содержимое папки)

8) Далее качаем файл реестра, для отключения автозапуска с флешек ЗДЕСЬ Нажимаем на него двойным кликом, и соглашаемся с внесением изменений в реестр системы нажатием на кнопку "ОК" После этого обязательно перезагружаем систему!!!

9) Присоединяем флешки к компьютеру, которые как Вы думаете могут быть заражены.

10) Открываем флешку, и смотрим ее на предмет зараженности.

Ищем и удаляем в корне флеш накопителя файл запуска вируса "Autorun.inf"

Ищем и удаляем в корне флеш накопителя файл наподобии "vupohn.exe" (случайное имя.ехе)

11) Заходим на каждый раздел жесткого диска и удаляем файлы под названием "khq"

12) Далее правим ключи реестра которые изменил червь:

HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на

HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe)

Если боитесь страшного слова "СИСТЕМНЫЙ РЕЕСТР" можете воспользоваться написанным мною скриптом, для восстановления изменений в реестре сделанных червем, скачать ЗДЕСЬ

Если не почистить реестр в ручную или не исправить ключ реестра с помощью скрипта то при каждом запуске Windows система будет выдавать сообщение






13) Включаем восстановление системы.

14) Перезагружаем операционную систему.

Все система чиста!

Профилактика:

Просто скачайте и установите в систему и на флеш накопители мою последнюю версию комплексной защиты против вирусов типа Autoruner ЗДЕСЬ

К слову данный червь, ломает зубы об мою защиту! атрибуты скрытый системный снимает с защитной папки Autorun.inf а вот удалить ее не может :) копирует на флешку только себя, но толку? Заразить он уже не сможет систему без файла запуска, он будет просто тихонечко лежать до ближайшего антивируса :)

Профилактика для скептиков относительно моей защиты ЗДЕСЬ :)

© Нестеров Игорь Владимирович 2009 год

Комментариев нет: