;lbRdhnpGOsmGAIuDqxMFqRfhiIokdetbnUlltPynqPqErpCpnvwdKgtsvXjAoHV
[AutoRun]
;nWDGCPBLjv
open=vskjwg.exe
;xrCVPWvaox
shell\open\Command=vskjwg.exe
;UBxzqiWYHYMgWreOmvxclcJQRLHWIZUNIXNeY
shell\open\Default=1
;45F27A231FB0BAE1D81F012F0B31BEDF8FFB0FECB727D2C7BFC81571
;ABsMSoHWZyxwuyWZsygVrvCSPFMvIYkPXGJdhyTSPNFSrRuZPet
shell\explore\Command=vskjwg.exe
;sBbuKjWFcGgZRCvRBHcWjLlzJHHBTWxgbQPhrPmKQzybXyocaOMQ
если убрать весь мусор то получится вот такая инструкция Autorun.inf
[AutoRun]
open=vskjwg.exe
shell\open\Command=vskjwg.exe
shell\open\Default=1
shell\explore\Command=vskjwg.exe
При открытии флеш накопителя двойным щелчком (если не отключен автозапуск со сьемных носителей) открывается второе окно эксплорера, вместо того в котором открывали. Это говорит о том что сработал файл запуска вируса Autorun.inf и соответственно запустил сам вирус vskjwg.exe На разделы жестких дисков червь не копируется, так как в корне каждого раздела жесткого диска имеются файлы метки "khr" нулевого содержания. Далее червь копирует свою копию в директорию system32 под названием csrcs.exe с атрибутами скрытый системный, и файл запуска червя Autorun.inf также с атрибутами скрытый системный(одно не понятно какого сцуко хрена в папке system32 файл запуска Autorun.inf делает?) Далее этот засранец прописывается в реестр для успешного запуска вместе с операционной системой.
Запуск себе обеспечивает данный зверь в ветках реестра по адресам: HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe csrcs.exe т.е. запускается вместе с эксплорером, соответственно это значение нужно изменить на, просто Explorer.exe но только после лечения :) После того как мы найдем все вредоносные .EXE :) тогда начнем и реестр чистить :)
И второй ключ запуска HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, csrcs.exe
В процессах появляется новый процесс, "csrcs.exe" запущеный от текущей учетной записи, и очень созвучно похожий на системный процесс под названием "csrss.exe" Данный процесс на тестируемом компьютере (мать-i815 ЦП Celeron-800 Mhz :) ) загружает ЦП каждые 2 секунды от 30-75% мощности. Кстатии этот процесс, просто снимается в диспетчере задач и не запускается, соответственно до следуйщего перезапуска системы, но до следуйщего перезапуска он сцуко уже не доживет :) Также данный червячок, делает показ скрытых системных файлов невозможным, НО! если в настройках папки по адресу Сервис>Свойства папки>вкладка Вид>"ВКЛЮЧИТЬ ПОКАЗ СКРЫТЫХ СИСТЕМНЫХ ФАЙЛОВ" "ОТОБРАЖАТЬ СОДЕРЖИМОЕ СИСТЕМНЫХ ПАПОК" отжать галку "СКРЫВАТЬ ЗАЩИЩЕННЫЕ СИСТЕМНЫЕ ФАЙЛЫ" нажать "Применить" "ОК" и не выходя из этой папки или раздела диска, будут видны скрытые системные файлы , но как только Вы выходите из раздела или папки, настройки становятся обратно на запрет показа скрытых файлов. Считаю глупо, с помощью реестра можно было бы вообще запретить показ скрытых файлов при любых настройках, но статья не о том :)
Файл червя достаточно велик 420,518 kb. что возможно означает что он работает с сетью.
Так и окозалось :) При подключении к сети и выходе в интернет данный зверек начинает активно так подключаться по TCP к следуйщим IP и портам:
66.186.60.146 к порту 80
78.159.124.139 к порту 80
72.233.89.200 к порту 80
66.186.60.146 US UNITED STATES CALIFORNIA ORANGE VPLS INC. D/B/A KRYPT TECHNOLOGIE
78.159.124.139 RU RUSSIAN FEDERATION - - RUSTELEKOM LLC. OBSHESTVO S OGRANICHENNOJ OTVETSTVENNOSTJU RUSTELEKOM
72.233.89.200 US UNITED STATES TEXAS PLANO LAYERED TECHNOLOGIES INC
ЛЕЧЕНИЕ:
Отключаем восстановление системы!
Отключаем сеть! (выдергиваем сетевой кабель из карты)
Удаляем все точки восстановления системы.
Качаем с сайта Кассперского архив с файлом реестра, для отключения автозапуска с флешек Sality_RegKeys.zip В архиве вам нужен файл под названием Disable autorun.reg
нажимаем на него двойным кликом, и соглашаемся с внесением изменений в реестр системы, нажатием на кнопку ОК После этого обязательно перезагружаем систему!!!
Присоеденяем флешки к компьютеру, которые как Вы думаете могут быть заражены.
Завершаем в ручную в диспетчере задач процесс csrcs.exe Иначе не даст себя удалить в папке \system32
Удаляем файлы csrcs.exe и Autorun.inf по адресу Windows\system32\
так как отображение скрытых системных файлов заблокировано, создаем RARовский архив например на рабочем столе, и открываем в нем папку system32 находим вышеуказанные файлы и в нем удаляем.
С того же архива заходим на каждый раздел жесткого диска и удаляем файлы под названием "khr"
Далее открываем с архива флешку, и смотрим ее на предмет зараженности.
Ищем и удаляем в корне флеш накопителя файл запуска вируса Autorun.inf
Ищем и удаляем в корне флеш накопителя файл наподобии vskjwg.exe (случайное имя.ехе)
Правим ключи реестра которые изменил червь:
HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на
HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe) далее
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, csrcs.exe
Удаляем в каталоге Run ключ запуска csrcs.exe
Если не почистить реестр, будут кумарить сообщения при старте системы что то типа "СИСТЕМЕ НЕ УДАЛОСЬ НАЙТИ ФАЙЛ CSRCS.EXE"
И последний штрих, восстанавливаем отображение скрытых и системных файлов:
Качаем утилиту AVZ 4.3
Запускаем ее, и далее идем по пути >файл>восстановление системы>ставим галочку на пункте №8 и нажимаем "Выполнить отмеченные операции" дожидаемся окончания выполнения задачи, закрываем программу.
Перезагружаем операционную систему.
Создаем новую точку восстановления системы.
Все система чиста!
Профилактика:
Просто скачайте и установите в систему и на флеш накопители мою последнюю версию комплексной защиты против вирусов типа Autoruner ЗДЕСЬ ЗДЕСЬ и ЗДЕСЬ
К слову данный троян, ломает зубы об мою защиту, атрибуты скрытый системный снимает с защитной папки Autorun.inf а вот удалить ее не может :) копирует на флешку только себя, но толку? Заразить он уже не сможет систему без файла запуска, он будет просто тихонечко лежать до ближайшего антивируса :)
Профилактика для скептиков ЗДЕСЬ :)
© Нестеров Игорь Владимирович 2009 год
Ха... Не плохо... :) Че за чайники :)))
ОтветитьУдалитьА чем пользовался при анализе системы?
Мои инструменты обычно AVZ, AVP Tool, Process Explorer и еще штуки 3, только не могу вспомнить щас названия. Ну а в более тяжелых ситуациях исследую систему через линукс, либо спец. дистры линукса для форензики заточенные.
Здравствуй Angel 2S2 :) Давно тебя не читал на страницах моего блога :)
ОтветитьУдалитьДа, меня удивило, что достаточно распостраненный червь имеет достаточно детское исполнение :)
При анализе использовал следующий набор:
1) Опыт
2) AVZ_4.3
3) Dr.Web Cureit!
4) regedit
5) архиватор RAR (для показа скрытых файлов)
6) Procmon
В тяжелых случаях использую Live CD
заточеный под конкретный случай, с нужным набором софта.
В общем у нас подход почти одинаковый :)
ОтветитьУдалитьНу, а опыт это естественно прежде всего :) Куда же без него, вот и не стал упоминать его ;)
На счет опыта был случай у меня такой:
Админ-коллега из Питера, новичок в компах еще тот, попросил пояснить как я с вирусами борюсь. Ну я уме рассказал все да более-менее подробно. Она меня в ответ еще и кучкой вопросов накрыл. Ответил. Через 3 дня узнаю, что он умудрился винду снести вычищая вирусы...
Вот и говорю, что без опыта никуда :)))
ЗЫЖ Ты в аську то хоть отвечай ;) а то я тебе уже раз 5 писал и ни слух ни духу...
To Angel 2S2
ОтветитьУдалитьЯ в асе почти каждый день, ну может на выходных не быть, а так каждый будний день :) Не знаю почему ты до меня не можешь достучаться, может не туда стучишь?? Мой номер 209-371 Давай на неделе, спишемся :)
А новичков коллег нужно учить :) так сказать подрастающее поколение :) Тебе хоть есть кому опыт передать :) а мне некому, вот блог смастерил :) когда есть время некоторые материалы выкладываю в нем :) Делюсь опытом со всеми :)
Да, я заметил, что ты почти каждый день в сети, в общем как и я. Просто когда писал ты не отвечал (может спам бот резал...). Но теперь списались, Ураааааа :)
ОтветитьУдалитьДа, новичков надо учить, с этим полностью согласен. Но те коллеги, что есть они все из других городов, не так то и просто их учить. А те знакомые компьютерщики, что в моем городе, почти все мои "ученики" (ну не полностью я их учил, но во много помогал разбираться и знаний набираться). Не редко бывает так: нужно совета попросить, да не у кого :)))
Вот кроме рапиды бы еще куда-нибудь файлик выложили..
ОтветитьУдалитьУважаемый Димка по вашей просьбе добавил вторую ссылку для скачивания комплексной защиты от вирусов типа Autoruner, на Letetbit.
ОтветитьУдалитьСодержание ваша порядком сложная ради новичка.
ОтветитьУдалить