VirusHunter avertizează toți utilizatorii de PC despre Trojan.LittleWorm (aka Win32.Worm.Small) Detectarea Troian, care utilizează USB Flash Disk și Memory Card ca mijloc de propagare.
Unele definiții găsite în descriere.
Explorer - așa că în text voi numi Explorer "Explorer" Windows, care este folosit de majoritatea utilizatorilor pentru a lucra cu fișiere și foldere;
Rădăcina discului - toate fișierele din partea de jos a discului, excluzând toate folderele de pe acesta cu tot conținutul;
SNI - așa că voi abrevia sub textul "media amovibilă";
.rivename% - un simbol pentru numele unității în cazurile în care specificarea numelui său nu este semnificativă;
% windir% - directorul în care este instalat Windows.
2. Instalarea în sistem.
Programul Troian este scris în Microsoft Visual C + versiunea 6.0, are un format de fișier PE EXE (aplicație Windows). Fișierul are 24576 octeți în dimensiune. nici o utilitate de criptare sau de compresie nu a fost procesată. Performanța sa este acceptată numai în Windows 2K / XP sau în versiunile ulterioare ale acestui sistem de operare.
Principiul de funcționare se bazează pe un proprietăți pentru Windows troieni sunt în mod automat citiți și să urmați instrucțiunile din fișierele de o anumită dimensiune și cu anumite nume atunci când citirea datelor de la SNI, reprezentand discuri autorun pentru shell-ul Windows. Cu acești transportatori a lucrat majoritatea utilizatorilor prin introducerea, de exemplu, un joc sau un program de CD / DVD-ROM-ul în unitatea, pe ecran, puteți vedea automat fereastra grafica afișată cu meniu de instalare (listă de selecție tip de instalare de software, etc.). Autostart realizată prin citirea comenzilor de boot conținute în fișierul autorun.inf. situat în rădăcina CNI. Acest fișier conține un driver special de script cu referire la meniul de componente de pornire de pornire (această caracteristică este de obicei numit setup.exe. Install.exe sau Autorun.exe). La accesarea discului de pornire din meniul de sistem „My Computer“ (dublu-clic pe pictograma cu numele discului în lista toate conectate la un suport informatic) are loc prin intermediul autorun.inf dosar autorun setup.exe (sau install.exe. Or autorun. exe) și interfața sa de punere în aplicare (de exemplu, software-ul de pornire CD / DVD-ROM). După cum sa dovedit, acest principiu de pornire funcționează nu numai pentru unitatea CD / DVD-ROM, dar și pentru toate celelalte. Media, inclusiv dischete, flash drive-uri și partiții logice chiar de hard disk, în cazul în care rădăcinile lor sunt înregistrate autorun.inf. conținând comenzi corespunzătoare, cu referire la fișierul pe care doriți să-l ruleze automat.
Deci, Trojan.LittleWorm folosește metoda autorun prin dropper-ul de fișiere autorun.inf pentru a activa copia pe o mașină curată. SNI infectat conține următoarele fișiere-componente ale troianului:
.rivename% \ Recycled \ Driveinfo.exe - fișier copie al troianului (dimensiune 24576 octeți);
.rivename% \ Recycled \ voinfo.dll - un fișier inactiv (dimensiune 0 octeți) care nu are nicio destinație;
.rivename% \ autorun.inf - malware-dropper (dimensiune 87 octeți) utilizat pentru autorun Driveinfo.exe fără intervenția utilizatorului.
La conectarea SNI la computer care rulează Windows 2K / XP sau mai sus (dacă principiul lucrărilor Windows 2K unic greu de spus, și posibilitatea de a testa eu doar nu am avut), sistemul este, de obicei, în mod automat se deschide conținutul mass-media în fereastra Explorer. În cazul infectate Windows Media produce următorul meniu:
Pentru ca fișierul creat să fie gestionat la fiecare pornire ulterioară a sistemului, se adaugă următoarea intrare la secțiunea tastelor de pornire ale sistemului de registry:
După aceasta, Driveinfo.exe își încheie activitatea.
3. Infecția SNI.
Prima dată când reporniți controlul sistemului primește o copie a inetsrv.exe troian. care verifică numele și locația. Asigurându-vă că fișierul numele inetsrv.exe și tocmai în subdirectorul sistem de% windir% \ System32 \, troianul este încărcat în memorie și rămâne activă până la închiderea sistemului. El este absolut greu de remarcat și nu se manifestă atâta timp cât calculatorul nu este conectat la CNI. La schimbarea listei de unități de disc conectate (adică, atunci când un nou în acesta CNI) Trojan solicită sistemul utilizând funcțiile și tipul GetDriveType GetLogicalDriveStrings (CNI dispozitiv de tip ZIP-top box conectate prin COM- și LPT-porturi, și floppy și CD / DVD-drive sunt ignorate sunt de asemenea ignorate USB-dispozitive cum ar fi scanere, imprimante, etc.) și litera denumirii sub care acesta din urmă a fost adăugat în listă. După aceea, verifică cantitatea de spațiu liber pe CNI, și apoi scrie pentru toate componentele malware:
.rivename% \ Reciclat \ Driveinfo.exe
.rivename% \ Reciclare \ voinfo.dll
.rivename% \ autorun.inf
Uneori, un troian poate scrie eronat fișierele de mai sus pe oricare dintre unitățile logice ale mașinii.
Încercările repetate de a scrie fișiere sunt efectuate la fiecare 30 de secunde. Astfel, în cazul în care înregistrarea pe SNI blocat (de exemplu, o unitate flash, cu ajutorul jumper-blocare), troianul intercepteaza sistemul tip de răspuns returnat
nu se poate deschide sau crea afară
Cu toate acestea, acest test funcționează corect numai dacă dispozitivul este protejat la scriere este conectat la un port USB de mare viteză (USB 2.0). Când vă conectați la un port USB lent, care este în arhitectura sa, fie din cauza necunoscute suport USB 2.0 nu are suport pentru citirea rapidă a datelor de la controlul mass-media nu se execută și malware crede în mod greșit că dispozitivul este deschis pentru scris și încearcă să-l infecteze. Ca rezultat, sistemul afișează un mesaj despre tipul de eroare
. iar troianul încearcă cu încăpățânare să copieze fișierele pe acest dispozitiv.
Dacă utilizatorul încearcă să dezactiveze SNI în timp ce malware-ul îl infectează, sistemul afișează următorul mesaj:
4. Altele.
In corpul troianului nici o secțiune cu pictograma fișierului de inițializare și secțiunea de informații, care sunt de obicei înregistrate versiune fișier de date de dezvoltator sale, etc. În schimb, troianul conține un fragment de cod mic cu un șir de text în formă binară:
De asemenea, în timpul activității sale, troianul poate procesa mesajele returnate de sistem
08060a0clo9k
și
nu se poate deschide în fișier
numirea pe care nu o cunosc.
În plus, codul troian conține intrări pentru crearea propriilor copii sub următoarele nume în următoarele dosare:
.rivename% \ Reciclat \ Driveinfo.sdc
% windir% \ System32 \ Driveinfo.exe
% windir% \ System32 \ Driveinfo.log
Cu toate acestea, aceste fișiere nu sunt create niciodată.
5. Detectarea și îndepărtarea troianului de la mașină și de la SNI.
În momentul acestei descrieri, Trojan.LittleWorm și componenta auxiliară pe care o creează sunt detectate de antivirus după cum urmează:
Kaspersky Anti-Virus pentru serverele Windows:
fișierul Driveinfo.exe (inetsrv.exe): Worm.Win32.Small.i
fișierul autorun.inf. Worm.Win32.Small.i
Antivirus DrWeb:
fișierul Driveinfo.exe (inetsrv.exe): Win32.HLLW.Autoruner
fișierul autorun.inf. Win32.HLLW.Autoruner
BitDefender Professional Antivirus:
fișierul Driveinfo.exe (inetsrv.exe): Win32.Worm.Small.G
fișierul autorun.inf. Win32.Worm.Small.Q
Pentru a elimina troianul și a remedia problema blocării mediilor dezinfectate incorect când le accesați prin intermediul Explorer, vă recomandăm să faceți următoarele:
- când se detectează un fișier rău intenționat% windir% \ System32 \ inetsrv.exe. dezactivați procesul inetsrv.exe din memorie. utilizând Manager de activități;
- activați afișarea fișierelor și a folderelor ascunse / sistem atunci când lucrați în Explorer, pentru care puteți utiliza utilitarul de la dispozitivul special. set de la VirusHunter'a, care poate fi descărcat aici. Înainte de a utiliza utilitarul, vă recomandăm să citiți manualul de utilizare livrat împreună cu kitul;
- verificați toate tipurile de SNI pe care le utilizați mai sus pentru fișiere
.rivename% \ Reciclat \ Driveinfo.exe
.rivename% \ Reciclare \ voinfo.dll
.rivename% \ autorun.inf
și dacă este găsit, eliminați-le. Când faceți această procedură prin Windows Explorer, nu încercați să deschideți conținutul DNS utilizând meniul "My Computer" cu un dublu clic pe mouse-ul - aceasta va începe o copie a troianului conținut în SNI. Deplasați cursorul mouse-ului peste pictograma cu litera SNI, faceți clic dreapta și selectați "Explorer", după care puteți continua în siguranță eliminarea fișierelor rău intenționate;
- ștergeți manual fișierul% windir% \ System32 \ inetsrv.exe.
Când ștergeți fișierele rău intenționate, este important să nu lăsați driverele de fișiere autorun.inf pe SNR. deoarece în caz contrar, când încercați să deschideți SNI prin meniul "My Computer", accesul la datele de pe acesta va fi blocat de sistem și unul dintre următoarele mesaje va apărea pe ecran:
sau o fereastră cu acest meniu:
Intrarea în cheile de registru create de troian nu afectează funcționarea sistemului, deci nu îl puteți șterge.
Având în vedere pericolul potențial ca sistemul neautorizat să citească date din fișierele autorun.inf rău intenționate. pentru utilizatorii de Windows XP a fost dezvoltat un utilitar special. descărcarea din fluxurile de date ale memoriei de sistem asociate cu citirea și executarea instrucțiunilor din fișierele autorun.inf. Utilitatea a fost adăugată la spets. un set de la VirusHunter, care poate fi descărcat aici. Înainte de a utiliza utilitarul, vă recomandăm să citiți manualul de utilizare livrat împreună cu kitul, deoarece performanța acestuia depinde de anumite condiții de sistem.