IT Security

...cel mai bun antivirus!

Antivirus Cloud

Vrei sa stii cum functioneaza un antivirus Cloud? Citeste totul despre Cloud Computing!

Antivirus USB

Scaneaza sistemul cu mai multi antivirusi folosind un stick USB bootabil.

Recomandari Antivirus

Cauti cel mai bun antivirus? Uite aici unul potrivit nevoilor tale!

Cel mai bun Firewall

Recomandari Firewall gratuit si bun. Tine intrusii la distanta!

Windows 7 USB

Instaleaza rapid Windows 7 folosind un stick USB bootabil.

Analiza unui virus de autorun: prokleta.exe, tospoj.exe

Articol scris de Gigi | 31.12.2010 | 1 comentarii
1
Share

Am cules de pe stickul USB al unui coleg un pachetel de virusi de autorun in urma cu ceva timp si azi am gasit timp pentru a-i analiza.
Fisierele au aceeasi iconita asemanatoare cu folderele pentru a pacali utilizatorul sa dea dublu click. De fapt fisierele au extensia .exe.

root:\kratakje\tospoj.exe
root:\kurcina\prokleta.exe

Virusi autorun stick USB


Presupun ca virusii circula impreuna si au acelasi autor.

Detectia pe VirusTotal
tospoj.exe - Win32.Palevo, Win32:AutoRun-BRS, Trojan.Win32.Rimecud, High Risk Cloaked Malware
prokleta.exe - Palevo, TR/Crypt.XPACK.Gen, Trojan.Rimecud.AA, Gen:Variant.Kazy


Ambele par variatii ale Palevo, virusul care se raspandea prin linkuri infectate pe Yahoo! Messenger.

Analiza

Din pacate virusul nu merge rulat in Sandboxie asa ca l-am analizat cu metoda clasica.

Fisiere create:
C:\Documents and Settings\Administrator\gsyzq.exe
C:\Documents and Settings\Administrator\Application Data\nsvb.exe
Registry creati:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\Documents and Settings\\Administrator\\Application Data\\nsvb.exe,explorer.exe,C:\\Documents and Settings\\Administrator\\gsyzq.exe"

[HKEY_USERS\S-1-5-21-448539723-2147066481-1801674531-500\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\Documents and Settings\\Administrator\\Application Data\\nsvb.exe,explorer.exe,C:\\Documents and Settings\\Administrator\\gsyzq.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"="C:\\Documents and Settings\\Administrator\\Application Data\\nsvb.exe"
Astfel ca virusul nu va aparea listat in Task Manager (pe care nu-l dezactiveaza). Ambele procese sunt injectate in Explorer.exe la pornirea Windows.
Am mai intalnit asta la unele variante de Palevo si Buzus vara aceasta.

Virusul este si un Trojan Downloader. Incearca sa descarce fisierul:
htttp://188.165.94.178/zmajovina/osamnest534.exe
Din pacate fisierul respectiv nu este disponibil pentru download. Ar fi fost interesant :)

Devirusare

1. Descarca Panda USB Vaccine si vaccineaza My Computer si stickurile USB conectate.


2. Descarca Removal.zip si extrage fisierul Removal.exe apoi executa-l.
Fisierul este format dintr-un fisier .bat si un fisier .reg compilate impreuna.
Virusul este inchis, sters, se repara registry si se sterg fisierele autorun.inf de pe discurile locale.

3. Descarca Malwarebytes Anti-Malware si salveaza-l pe Desktop.
Instaleaza-l si la sfarsit asigura-te ca ai bifat urmatoarele: Update Malwarebytes' Anti-Malware si Launch Malwarebytes' Anti-Malware. Apoi apasa Finish.
Dupa lansarea programului, selecteaza Perform full scan si apoi apasa pe Scan.
La terminarea scanarii apasa OK si apoi Show Results. Asigura-te ca e totul bifat si apoi apasa Remove Selected.


Malwarebytes Anti-Malware

 

Aboneaza-te prin e-mail pentru a primi articole noi!

 
Etichete: , , , ,

Un comentariu.

  1. Strontzy says:
    13 februarie 2011, 20:01

    Mersi pentru ajutor. Erau enervanti ca tot reapareau pe stick dupa format.

Lasa un comentariu: