Радикальное решение проблем автозапуска

[Don't.Care.A.Fig 15]

Никакой, кроме того, что здесь раньше постили некоторые образцы вредоносов. Допустим, иногда нахожу что-то предположительно или заведомо вредоносное. Проверяю на вирустотал и там ноль-детект. Допустим, не зареген не на одном из форумов антивирусов и нетвремени/желания/лень региться и здесь не вхожу в закрытый исследовательский форум. Есть тема, откуда бы аттачи автоматом перемещались в закрытую зону?

Впрочем, мне все равно, т.к. никак не связан с malware research. Напротив, по идее, многие люди здесь должны быть заинтересованы в получении любых образцов вредоносных объектов, т.к. связаны с антивирусными компаниями.

P.S.

Заметил, что большинство антивирусов крайне плохо детектит IFrame (A, B, D, F ...) (это тот, что в веб-страницах живет).

Пример:

Файл ribalka_v.3.5ru__grabing_so_sputn получен 2008.09.18 19:19:50 (CET)

Результат: 5/36 (13.89%)

Форматированные Печать результатов

Антивирус Версия Обновление Результат

AhnLab-V3 2008.9.19.0 2008.09.18 -

AntiVir 7.8.1.34 2008.09.18 HTML/IFrame.ktf

Authentium 5.1.0.4 2008.09.18 -

Avast 4.8.1195.0 2008.09.18 -

AVG 8.0.0.161 2008.09.18 -

BitDefender 7.2 2008.09.18 -

CAT-QuickHeal 9.50 2008.09.17 -

ClamAV 0.93.1 2008.09.18 -

DrWeb 4.44.0.09170 2008.09.18 Trojan.Click.19624

eSafe 7.0.17.0 2008.09.18 JS.Agent.ke

eTrust-Vet 31.6.6091 2008.09.16 -

Ewido 4.0 2008.09.18 -

F-Prot 4.4.4.56 2008.09.18 -

F-Secure 8.0.14332.0 2008.09.18 -

Fortinet 3.113.0.0 2008.09.18 -

GData 19 2008.09.18 -

Ikarus T3.1.1.34.0 2008.09.18 Trojan.HTML.IFrame.f

K7AntiVirus 7.10.461 2008.09.18 -

Kaspersky 7.0.0.125 2008.09.18 -

McAfee 5386 2008.09.17 -

Microsoft 1.3903 2008.09.18 -

NOD32v2 3452 2008.09.18 -

Norman 5.80.02 2008.09.18 -

Panda 9.0.0.4 2008.09.18 -

PCTools 4.4.2.0 2008.09.18 -

Prevx1 V2 2008.09.18 -

Rising 20.62.32.00 2008.09.18 -

Sophos 4.33.0 2008.09.18 -

Sunbelt 3.1.1647.1 2008.09.18 -

Symantec 10 2008.09.18 -

TheHacker 6.3.0.9.086 2008.09.18 -

TrendMicro 8.700.0.1004 2008.09.18 -

VBA32 3.12.8.5 2008.09.18 -

ViRobot 2008.9.18.1381 2008.09.18 -

VirusBuster 4.5.11.0 2008.09.18 -

Webwasher-Gateway 6.6.2 2008.09.18 Script.IFrame.ktf

Дополнительная информация

File size: 8192 bytes

MD5...: 7a0a1d5c46152d48cef207c8a277c98f

SHA1..: 865e2c3c6d9581f771126cba12458ccb59e00034

SHA256: 6d8e8657966f7197060f06f8bac97264f8f0497b6e51b9a380b00d7f58936bf9

SHA512: 7cec1c9f8a441eaf17e2fb03478603135de35ecdece5b49ed74ce82ce784d930

2ad54b9d206aedf6528e61c1f13e6d28003e7555e7b6b0e11feec91556d0f5f1

PEiD..: -

TrID..: File type identification

HyperText Markup Language with DOCTYPE (80.6%)

HyperText Markup Language (19.3%)

PEInfo: -

[Don't.Care.A.Fig 15]

Сегодня у знакомого прибивал на двух домашних компах и флэшке:

Файл csrcs.exe получен 2009.08.17 23:12:48 (UTC)

Результат: 22/41 (53.66%)

Антивирус Версия Обновление Результат

a-squared 4.5.0.24 2009.08.17 Packed.Win32.Klone!IK

AhnLab-V3 5.0.0.2 2009.08.17 -

AntiVir 7.9.1.1 2009.08.17 Worm/AutoIt.FY

Antiy-AVL 2.0.3.7 2009.08.17 -

Authentium 5.1.2.4 2009.08.17 -

Avast 4.8.1335.0 2009.08.17 -

AVG 8.5.0.406 2009.08.17 -

BitDefender 7.2 2009.08.17 Gen:Trojan.Heur.AutoIT.AmNfbibuTJjm

CAT-QuickHeal 10.00 2009.08.17 Trojan.AutoIt.gen

ClamAV 0.94.1 2009.08.17 Trojan.Autoit-72

Comodo 2005 2009.08.18 -

DrWeb 5.0.0.12182 2009.08.18 Win32.HLLW.Siggen.73

eSafe 7.0.17.0 2009.08.17 Suspicious File

eTrust-Vet 31.6.6681 2009.08.17 Win32/SillyAutorun.BNM

F-Prot 4.4.4.56 2009.08.16 -

F-Secure 8.0.14470.0 2009.08.18 Packed.Win32.Klone.bj

Fortinet 3.120.0.0 2009.08.17 -

GData 19 2009.08.18 Gen:Trojan.Heur.AutoIT.AmNfbibuTJjm

Ikarus T3.1.1.68.0 2009.08.17 Packed.Win32.Klone

Jiangmin 11.0.800 2009.08.17 Packed.Klone.ave

K7AntiVirus 7.10.820 2009.08.17 -

Kaspersky 7.0.0.125 2009.08.17 Packed.Win32.Klone.bj

McAfee 5712 2009.08.17 W32/Renocide.b

McAfee+Artemis 5712 2009.08.17 W32/Renocide.b

McAfee-GW-Edition 6.8.5 2009.08.17 Worm.AutoIt.FY

Microsoft 1.4903 2009.08.17 Worm:AutoIt/Renocide.gen!C

NOD32 4343 2009.08.17 Win32/Packed.Autoit.Gen

Norman 2009.08.17 -

nProtect 2009.1.8.0 2009.08.17 -

Panda 10.0.0.14 2009.08.17 -

PCTools 4.4.2.0 2009.08.17 -

Prevx 3.0 2009.08.18 Medium Risk Malware

Rising 21.43.04.00 2009.08.17 -

Sophos 4.44.0 2009.08.17 -

Sunbelt 3.2.1858.2 2009.08.17 -

Symantec 1.4.4.12 2009.08.18 W32.Harakit

TheHacker 6.3.4.3.383 2009.08.13 -

TrendMicro 8.950.0.1094 2009.08.17 -

VBA32 3.12.10.9 2009.08.18 Trojan.Autoit.FINT

ViRobot 2009.8.17.1887 2009.08.17 -

VirusBuster 4.6.5.0 2009.08.17 Trojan.Autoit.PA

Дополнительная информация

File size: 432244 bytes

MD5...: 66dbb2d0a57096dbc42358486718c206

SHA1..: 06484e199f16bf076b6c231c7f4316da954b70ad

SHA256: 01b8073f75d4c455caadcaa7fd8c8de1e62fda8509055660c030933bb50e83d3

ssdeep: 6144:R+nN0pEJitnhZA/8G6JDDYcXPlwpHejGumh5lJbA0FksD88888888888888

8888y:knNeEJwnhmX2DDYklwZT+tfRkj97u7

PEiD..: -

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: UPX compressed Win32 Executable (43.8%)

Win32 EXE Yoda's Crypter (38.1%)

Win32 Executable Generic (12.2%)

Generic Win/DOS Executable (2.8%)

DOS Executable Generic (2.8%)

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=9075FBD074E8092298E806AAD6EE4900CC4A9DFB' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=9075FBD074E8092298E806AAD6EE4900CC4A9DFB</a>

Файл autorun.inf получен 2009.08.17 23:50:04 (UTC)

Результат: 13/41 (31.71%)

Антивирус Версия Обновление Результат

a-squared 4.5.0.24 2009.08.17 -

AhnLab-V3 5.0.0.2 2009.08.17 -

AntiVir 7.9.1.1 2009.08.17 -

Antiy-AVL 2.0.3.7 2009.08.17 -

Authentium 5.1.2.4 2009.08.17 IS/Autorun

Avast 4.8.1335.0 2009.08.17 -

AVG 8.5.0.406 2009.08.17 Worm/AutoRun

BitDefender 7.2 2009.08.17 Trojan.AutorunINF.Gen

CAT-QuickHeal 10.00 2009.08.17 -

ClamAV 0.94.1 2009.08.17 Worm.Autorun-1792

Comodo 2005 2009.08.18 -

DrWeb 5.0.0.12182 2009.08.18 -

eSafe 7.0.17.0 2009.08.17 -

eTrust-Vet 31.6.6681 2009.08.17 -

F-Prot 4.4.4.56 2009.08.16 IS/Autorun

F-Secure 8.0.14470.0 2009.08.18 -

Fortinet 3.120.0.0 2009.08.17 -

GData 19 2009.08.18 Trojan.AutorunINF.Gen

Ikarus T3.1.1.68.0 2009.08.18 -

Jiangmin 11.0.800 2009.08.17 -

K7AntiVirus 7.10.820 2009.08.17 -

Kaspersky 7.0.0.125 2009.08.18 -

McAfee 5712 2009.08.17 Generic!atr.b

McAfee+Artemis 5712 2009.08.17 Generic!atr.b

McAfee-GW-Edition 6.8.5 2009.08.17 -

Microsoft 1.4903 2009.08.17 -

NOD32 4343 2009.08.17 Win32/Tifaut.C

Norman 6.01.09 2009.08.17 -

nProtect 2009.1.8.0 2009.08.17 -

Panda 10.0.0.14 2009.08.17 W32/Harakit.D.worm

PCTools 4.4.2.0 2009.08.17 -

Prevx 3.0 2009.08.18 -

Rising 21.43.04.00 2009.08.17 -

Sophos 4.44.0 2009.08.18 Mal/AutoInf-B

Sunbelt 3.2.1858.2 2009.08.17 INF.Autorun (v)

Symantec 1.4.4.12 2009.08.18 -

TheHacker 6.3.4.3.383 2009.08.13 -

TrendMicro 8.950.0.1094 2009.08.17 Mal_Otorun1

VBA32 3.12.10.9 2009.08.18 -

ViRobot 2009.8.17.1887 2009.08.17 -

VirusBuster 4.6.5.0 2009.08.17 -

Дополнительная информация

File size: 815 bytes

MD5...: 4fad14ecf2c5b85825e42bff70b468d2

SHA1..: 3f49de6926e601e3e91be6510f8b07d27f22145f

SHA256: e787a0260c333586e652537e537e5908a97d9dc557b1a0ee60aa5a2a9b8cb754

ssdeep: 24:pJkpvdHUu9IQ9myhi3z7vxzx2vQAjmNJ0cwaQ5QAdyvy:76OwIQ9fhuz7vNxo

Qv70vLQ5vy

PEiD..: -

TrID..: File type identification

Unknown!

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set

-

У него на обоих компах стоял Avast. Также a-squared free не мог ничего сделать, писал: снимите защиту от записи.

Поэтому я удалил Avast и установил другой антивирус, который грохнул этого червя почти мгновенно.

Если червь кому-либо нужен, могу выложить.

[Андрей-001 1099]

Файл csrcs.exe очень часто встречается. Всегда на своём излюбленном месте - в автозагрузке и системной директории.

Для того, чтобы с ним справиться продукты защиты должны иметь полный доступ к ядру для получения полномочий на выгрузку это файла из памяти и удаления из автозагрузки.

У бесплатного a-squared free (который тоже надо обновлять) нет возможности выгрузить csrcs.exe, но зато есть у HiJackFree от a-squared, который не нуждается в установке. И тем более весь инструментарий есть у a-squared Anti-Malware, бесплатного на 30 дней.

[Андрей-001 1099]

В новой версии утилиты klwk от ЛК есть неплохое лекарство от этой флешечной и AutoRun-болезни.

Что-то давно не обновляется эта утилита. Год уже прошёл.

[Don't.Care.A.Fig 15]

Пару дней назад прибил у знакомого на двух компах и mp3-плэйере.

Файл autorun.inf получен 2009.12.10 05:10:31 (UTC)

Результат: 12/41 (29.27%)

Антивирус Версия Обновление Результат

a-squared 4.5.0.43 2009.12.10 Trojan.Win32.AutoRun!IK

AhnLab-V3 5.0.0.2 2009.12.10 -

AntiVir 7.9.1.102 2009.12.09 -

Antiy-AVL 2.0.3.7 2009.12.10 Trojan/Win32.AutoRun

Authentium 5.2.0.5 2009.12.02 -

Avast 4.8.1351.0 2009.12.09 -

AVG 8.5.0.426 2009.12.09 -

BitDefender 7.2 2009.12.10 Trojan.Autorun.AOH

CAT-QuickHeal 10.00 2009.12.10 -

ClamAV 0.94.1 2009.12.09 -

Comodo 3103 2009.12.01 -

DrWeb 5.0.0.12182 2009.12.10 -

eSafe 7.0.17.0 2009.12.09 -

eTrust-Vet 35.1.7167 2009.12.09 -

F-Prot 4.5.1.85 2009.12.09 -

F-Secure 9.0.15370.0 2009.12.07 -

Fortinet 4.0.14.0 2009.12.10 -

GData 19 2009.12.10 Trojan.Autorun.AOH

Ikarus T3.1.1.74.0 2009.12.10 Trojan.Win32.AutoRun

Jiangmin 13.0.900 2009.12.02 -

K7AntiVirus 7.10.916 2009.12.09 -

Kaspersky 7.0.0.125 2009.12.10 Trojan.Win32.AutoRun.mk

McAfee 5827 2009.12.09 -

McAfee+Artemis 5827 2009.12.09 -

McAfee-GW-Edition 6.8.5 2009.12.10 -

Microsoft 1.5302 2009.12.09 Worm:Win32/Rimecud!inf

NOD32 4674 2009.12.09 Win32/Peerfrag.DR

Norman 6.03.02 2009.12.09 INI/AutoRun.CZN

nProtect 2009.1.8.0 2009.12.10 -

Panda 10.0.2.2 2009.12.09 W32/P2PWorm.DS.worm

PCTools 7.0.3.5 2009.12.10 -

Prevx 3.0 2009.12.10 -

Rising 22.25.03.01 2009.12.10 -

Sophos 4.48.0 2009.12.10 W32/Autorun-AUM

Sunbelt 3.2.1858.2 2009.12.10 -

Symantec 1.4.4.12 2009.12.10 -

TheHacker 6.5.0.2.088 2009.12.07 -

TrendMicro 9.100.0.1001 2009.12.10 TROJ_AUTORUN.FUX

VBA32 3.12.12.0 2009.12.10 -

ViRobot 2009.12.10.2080 2009.12.10 -

VirusBuster 5.0.21.0 2009.12.09 -

Дополнительная информация

File size: 474 bytes

MD5...: 687337bc4d81187c506dcdab5e81b586

SHA1..: 2d41161319280345c26f4760a68659b96ce3738d

SHA256: 75e363cedb81b501894e27881595ee85c0867bf307195aa93e43f231b23e14fe

ssdeep: 12:FFhYiSWkUNHaLPDqLxhwQB9SO5xv0fXzi95mznwi9ViT:FF+iSt3jDYCaxv0f

R5g

PEiD..: -

PEInfo: -

RDS...: NSRL Reference Data Set

-

pdfid.: -

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

trid..: Unknown!

Файл malena.exe получен 2009.12.10 05:26:57 (UTC)

Результат: 19/41 (46.35%)

Антивирус Версия Обновление Результат

a-squared 4.5.0.43 2009.12.10 -

AhnLab-V3 5.0.0.2 2009.12.10 -

AntiVir 7.9.1.102 2009.12.09 Worm/Rimecud.A.32

Antiy-AVL 2.0.3.7 2009.12.10 -

Authentium 5.2.0.5 2009.12.02 -

Avast 4.8.1351.0 2009.12.09 Win32:Malware-gen

AVG 8.5.0.426 2009.12.09 SHeur2.BVKR

BitDefender 7.2 2009.12.10 -

CAT-QuickHeal 10.00 2009.12.10 Win32.Worm.Rimecud.A.4

ClamAV 0.94.1 2009.12.10 -

Comodo 3103 2009.12.01 Heur.Suspicious

DrWeb 5.0.0.12182 2009.12.10 Trojan.Packed.688

eSafe 7.0.17.0 2009.12.09 Win32.WormRimecud.A

eTrust-Vet 35.1.7167 2009.12.09 -

F-Prot 4.5.1.85 2009.12.09 -

F-Secure 9.0.15370.0 2009.12.07 -

Fortinet 4.0.14.0 2009.12.10 -

GData 19 2009.12.10 Win32:Malware-gen

Ikarus T3.1.1.74.0 2009.12.10 -

Jiangmin 13.0.900 2009.12.02 -

K7AntiVirus 7.10.916 2009.12.09 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.12.10 -

McAfee 5827 2009.12.09 W32/Rimecud

McAfee+Artemis 5827 2009.12.09 W32/Rimecud

McAfee-GW-Edition 6.8.5 2009.12.10 Worm.Rimecud.A.32

Microsoft 1.5302 2009.12.09 Worm:Win32/Rimecud.A

NOD32 4674 2009.12.09 a variant of Win32/Peerfrag.FG

Norman 6.03.02 2009.12.09 -

nProtect 2009.1.8.0 2009.12.10 -

Panda 10.0.2.2 2009.12.09 W32/Rimecud.L

PCTools 7.0.3.5 2009.12.10 -

Prevx 3.0 2009.12.10 Medium Risk Malware

Rising 22.25.03.03 2009.12.10 -

Sophos 4.48.0 2009.12.10 Mal/EncPk-MX

Sunbelt 3.2.1858.2 2009.12.10 Trojan.Win32.Generic!BT

Symantec 1.4.4.12 2009.12.10 -

TheHacker 6.5.0.2.088 2009.12.07 -

TrendMicro 9.100.0.1001 2009.12.10 -

VBA32 3.12.12.0 2009.12.10 -

ViRobot 2009.12.10.2080 2009.12.10 -

VirusBuster 5.0.21.0 2009.12.09 Worm.Rimecud.AMR

Дополнительная информация

File size: 136192 bytes

MD5...: 39d06d96349bca337e1724904a4480fc

SHA1..: 9b51c109a19ddc15a369bb37841a9e939214b797

SHA256: ece576f12be88f15f698372ef32d92b5064d5d601a9b1ed18552145107921b35

ssdeep: 3072:deTUdcyN/ScBpwP7IAyfE0i/KDmgURgssYu5h:deguyQcvwMNZjeBlE

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x1a5b

timedatestamp.....: 0x490be6b3 (Sat Nov 01 05:18:43 2008)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x92fb 0x9400 7.82 15bfb8ae558cd716287200d7ad94b1a1

.rdata 0xb000 0x431 0x600 3.79 15a4e04c62563856b8b6d8f5dbdaf1ed

.data 0xc000 0x12b0b 0x12c00 7.64 5ef12cb3c17b19422ee7ff7d4c073d5c

.rsrc 0x1f000 0x22000 0x4a00 5.15 7bb82585b298f1e6bea1dccd27ab48d6

( 4 imports )

> kernel32.dll: ExitProcess, FreeLibrary, GetExitCodeThread, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetSystemTime, IsDebuggerPresent, LoadLibraryA, LocalAlloc, MulDiv, ReadFile, VirtualAlloc, VirtualFree

> user32.dll: CreatePopupMenu, DrawTextA, GetActiveWindow, GetParent, GetWindow, GetWindowLongA, ScreenToClient, SetFocus, SystemParametersInfoA

> gdi32.dll: CreateCompatibleDC, CreateHalftonePalette, CreateSolidBrush, GetBrushOrgEx, GetEnhMetaFileHeader, SetMapMode, SetTextColor

> shell32.dll: SHChangeNotify, SHCreateDirectoryExW, SHGetDiskFreeSpaceExW, SHGetFileInfoW, SHGetPathFromIDListA

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

sigcheck:

publisher....: Macrovision Corporation

copyright....: Copyright © 2007 Macrovision Corporation

product......: InstallShield

description..: Setup.exe

original name: Setup.exe

internal name: Setup

file version.: 14.0.162

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

trid..: Win32 Executable Generic (38.3%)

Win32 Dynamic Link Library (generic) (34.1%)

Win16/32 Executable Delphi generic (9.3%)

Generic Win/DOS Executable (9.0%)

DOS Executable Generic (9.0%)

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8F4802FC00871EE614C2023391A5D8008581EE10' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8F4802FC00871EE614C2023391A5D8008581EE10</a>

[TANUKI 240]

Кстати, а почему никто не заметил, что в 7-ке автозапуск отключен по-умолчанию?

[UIT 103]

Я не обратил внимания когда отключал все и вся

[Umnik 997]

TANUKI

А зачем замечать то, что было известно еще до релиза 7-ки?