Daxa-számítógépes vírusok
A VirusHunter figyelmezteti a PC-felhasználókat a Trojan.LittleWorm (más néven Win32.Worm.Small) trójai detektálásról, amely USB Flash Disk-ot és kártya memóriát használ a továbbításának eszközeként.
Néhány definíció megtalálható a leírásban.
Explorer - a szövegben hívom az Explorer-t a Windows Explorer-nek, amelyet a legtöbb felhasználó használ fájlok és mappák kezelésére;
A lemez gyökere - a lemez alján lévő összes fájl, kivéve az összes mappát az összes tartalmával;
SNI - ezért a "cserélhető adathordozó" szövegrészben rövidíteni fogom;
.visszaállítása% - a meghajtó nevének szimbóluma azokban az esetekben, amikor a nevének meghatározása nem jelentős;
% windir% - könyvtár, amelyben a Windows telepítve van.
2. Telepítés a rendszerbe.
A trójai program Microsoft Visual C + 6.0 verzióban van, PE EXE fájlformátumú (Windows alkalmazás). A fájl 24576 bájt méretű. nincs kript vagy tömörítési segédprogram feldolgozása. Teljesítményét csak az operációs rendszer Windows 2K / XP vagy újabb verziói támogatják.
A működés elve alapul Windows trójai tulajdonságai automatikusan olvassa el és kövesse az utasításokat a fájlokat egy bizonyos méretű és bizonyos nevek olvasásakor adatokat a SNI, ami autorun lemezek a Windows shell. Ezekkel hordozók dolgozott a felhasználók többsége behelyezésével, például egy játék vagy program CD / DVD-t a meghajtóba, a képernyőn látható automatikusan a megjelenített grafikus ablak telepítési menü (a választható szoftver telepítés típusát, stb.) Az automatikus indítás az autorun.inf fájlban lévő indító parancsok olvasásával történik. a gyökér SNI-ben található. Ez a fájl tartalmaz egy speciális script vezető, utalva a kiindulási komponens boot menüben (ez a funkció általában az úgynevezett setup.exe. Install.exe vagy autorun.exe). Amikor belép a boot lemezt a rendszer menüben a „Sajátgép” (dupla kattintással az ikonra a lemez nevét a listán az összes csatlakoztatott számítógépes adathordozó) keresztül történik autorun.inf autorun setup.exe fájlt (vagy install.exe. Or autorun. exe) és annak végrehajtását (azaz a szoftver CD / DVD interfészének automatikus leengedését). Mint kiderült, ez az elv működik indításkor nem csak CD / DVD-ROM meghajtó, hanem az összes többi. Media beleértve floppy lemezek, flash meghajtók és még a logikai partíciók a merevlemezen, ha a gyökerek rögzítik autorun.inf fájlt. amely tartalmazza a megfelelő parancsokat egy olyan hivatkozással, amelyre a végrehajtandó futtatáshoz automatikusan el akar indulni.
Tehát a Trojan.LittleWorm az autorun metódust használja az autorun.inf fájl-dropper segítségével, hogy aktiválja a másolatot egy tiszta gépen. A fertőzött SNI a következő fájlokat tartalmazza: a trójai:
.újrahasznosított% \ Újrahasznosított \ Driveinfo.exe - a Trójai másolata (24576 bájt méretű);
.reivename% \ Újrahasznosított \ voinfo.dll - egy dummy fájl (0 bájt méretű), amelynek nincs rendeltetési helye;
.visszaállítása% \ autorun.inf - rosszindulatú file-dropper (méret: 87 bájt), amely a Driveinfo.exe fájlrendszerhez a felhasználói beavatkozás nélkül használható.
Amikor csatlakoztatja az SNI a számítógép Windows 2K / XP vagy újabb (akár az elv működik a Windows 2K egyedülállóan nehéz megmondani, és a lehetőséget, hogy teszteljék, hogy én csak nem volt), akkor a rendszer általában automatikusan megnyitja a tartalmát a média az Explorer ablakot. A fertőzött adathordozók esetében a Windows a következő menüpontot jeleníti meg:
Annak érdekében, hogy a létrehozott fájlt a rendszer minden egyes későbbi indításakor kezeljék, a rendszer a rendszerleíró adatbázis indító kulcsainak szakaszához hozzáadja a következő bejegyzést:
Ezután a Driveinfo.exe befejezi munkáját.
3. SNI fertőzés.
A rendszer első újraindításakor a menedzsment megkapja az inetsrv.exe trójai egyik példányát. amely ellenőrzi annak nevét és helyét. Ügyelve arra, hogy a név inetsrv.exe fájlt, és éppen ebben a rendszerben alkönyvtárához% Windir% \ System32 \, a trójai betöltődik a memóriába, és aktív marad, amíg a rendszer leállítása. Teljesen feltűnésmentes, és nem jeleníti meg jelenlétét, amíg a számítógép nem kapcsolódik az SNI-hez. Ha megváltoztatja a listáját csatlakoztatott lemezmeghajtók (azaz, amikor egy új ott CNI) trójai figyelmezteti a rendszert a funkciók és GetDriveType GetLogicalDriveStrings típusú CNI (készülék típus ZIP-top boxok keresztül csatlakoztatott COM- és LPT-portok, és floppy és CD / DVD-meghajtók figyelmen kívül is figyelmen kívül hagyja az USB-eszközök, például szkennerek, nyomtatók, stb), és a levelet a nevet, amely alatt az utóbbi adunk a listához. Ezután ellenőrizzük az SNI szabad helyének mennyiségét, majd az összes rosszindulatú összetevőt megírjuk:
.Újrahasznosított \ Driveinfo.exe fájl újrahasznosítása
.reivename% \ Újrahasznosított \ voinfo.dll
.újraértelmezett% \ autorun.inf
Néha a trójai tévesen írhatják fel a fenti fájlokat a gép bármelyik logikai meghajtójára.
A fájlok ismételt megpróbálására 30 másodpercenként kerül sor. Ebben az esetben, ha az SNI-rekord blokkolva van (például egy flash meghajtón, blokkoló jumper használatával), akkor a trójai elfogja a rendszer típus által visszaküldött választ
nem tudja megnyitni vagy létrehozni a fájlokat
Ez a csekk csak akkor működik megfelelően, ha az írásvédett eszköz egy nagysebességű USB-porthoz (USB 2.0) csatlakozik. Amikor csatlakozik egy lassú USB-port, amely az építészet vagy azért, mert ismeretlen USB 2.0 nem támogatja a gyors olvasási adatoknak a média-ellenőrző nem fut és a rosszindulatú tévesen azt feltételezi, hogy a készülék nyitva írásra és próbálják megfertőzni. Ennek eredményeképpen a rendszer egy hibaüzenetet jelenít meg az űrlapon
. és a trójai makacsul megpróbálja másolni a fájlokat erre a készülékre.
Ha a felhasználó megpróbálja letiltani az SNI-t, amíg a rosszindulatú program megfertőzte az utóbbit, a rendszer a következő üzenetet jeleníti meg:
4. Egyéb.
A trójai szervezetében nincs szekció ikonral a fájl inicializálásához, valamint egy olyan információrészhez is, amelyben a fájlverzióról, a fejlesztőről stb. Ehelyett a trójai egy kis kódrészletet tartalmaz, szöveges karakterlánc formájában, bináris formában:
Munkája során a trójai képes feldolgozni a rendszer által visszaküldött üzeneteket
08060a0clo9k
és
nem lehet megnyitni a fájlt
amelynek kinevezését nem tudom.
Ezenkívül a trójai kód tartalmazza a saját példányok létrehozásához szükséges bejegyzéseket a következő mappák alatt:
.Újrahasznosított \ Driveinfo.sdc
% windir% \ System32 \ Driveinfo.exe
% windir% \ System32 \ Driveinfo.log
Ezeket a fájlokat azonban soha nem hozták létre.
5. A trójai észlelése és eltávolítása a gépből és az SNI-ből.
A leírás idején a Trojan.LittleWorm és az általa létrehozott segédkomponenseket a víruskereső észleli az alábbiak szerint:
A Kaspersky Anti-Virus for Windows szerverek:
fájl Driveinfo.exe (inetsrv.exe): Worm.Win32.Small.i
fájl autorun.inf. Worm.Win32.Small.i
Antivirus DrWeb:
fájl Driveinfo.exe (inetsrv.exe): Win32.HLLW.Autoruner
fájl autorun.inf. Win32.HLLW.Autoruner
BitDefender Professional Antivirus:
fájl Driveinfo.exe (inetsrv.exe): Win32.Worm.Small.G
fájl autorun.inf. Win32.Worm.Small.Q
A trójai eltávolításához és a helytelenül fertőtlenített médiumok blokkolásának problémájához való javításakor javasoljuk, hogy tegye a következőket:
- ha rosszindulatú fájlt észlelnek% windir% \ System32 \ inetsrv.exe. állítsa le az inetsrv.exe folyamatot a memóriából. a Feladatkezelő használatával;
- kapcsolja be a rejtett / rendszerfájlok és mappák megjelenítését az Explorer-ben végzett munkában, amelyhez a speciális segédprogramot használhatja. amit a VirusHunter'a állít be, amely itt letölthető. A segédprogram használata előtt javaslom, hogy olvassa el a készlethez mellékelt felhasználói kézikönyvet;
- ellenőrizze az összes fent használt SNI típust a fájlokhoz
.Újrahasznosított \ Driveinfo.exe fájl újrahasznosítása
.reivename% \ Újrahasznosított \ voinfo.dll
.újraértelmezett% \ autorun.inf
és ha megtalálható, távolítsa el őket. Amikor ezt az eljárást végzi a Windows Intézőben, ne próbálja meg megnyitni a DNS tartalmát a "Sajátgép" menüből az egér dupla kattintásával - ez elindítja az SNI-ben található trójai másolatát. Csak helyezze az egérmutatót az ikonra az SNI név betűjével, kattintson jobb gombbal, és válassza ki az "Explorer" parancsot, miután biztonságosan elindíthatja a rosszindulatú fájlok eltávolítását;
- kézzel törölje a% windir% \ System32 \ inetsrv.exe fájlt.
A rosszindulatú fájlok törlésekor fontos, hogy ne hagyja az autorun.inf fájl-cseppentőt az SNR-ről. mert ellenkező esetben, amikor a "Sajátgép" menüben megpróbálja megnyitni az SNI-t, az adatokhoz való hozzáférést a rendszer blokkolja, és az alábbi üzenetek egyike jelenik meg a képernyőn:
vagy egy ablak ezzel a menüvel:
A trójai által létrehozott rendszerleíró kulcsok bejegyzése nem befolyásolja a rendszer működését, így nem törölheti azt.
Figyelembe véve azt a potenciális veszélyt, hogy az illetéktelen rendszer az autorun.inf rosszindulatú fájlokról adatokat olvas. a Windows XP felhasználók számára egy speciális segédprogramot fejlesztettek ki. a rendszermemória adatfolyamaiból történő kirakodás az autorun.inf fájlok utasításainak leolvasásával és végrehajtásával kapcsolatosan. A segédprogram hozzáadva a spetshez. a VirusHunter-ből, amely itt letölthető. A segédprogram használata előtt javaslom, hogy olvassa el a készlethez mellékelt felhasználói kézikönyvet, mivel teljesítménye bizonyos rendszertől függ.