Yvision.kzYvision.kz
kk
Разное
Разное
399 767 постов40 подписчиков
Всяко-разно
0
13:02, 13 июня 2009

Новое чудо с флешки

Как известно, большинство вирусов, распространяющихся через переносные устройства, "инфицируют" систему используя функцию автозапуска(при помощи autorun.inf). Конечно, если базы антивируса находятся в актуальном состоянии и он настроен на real-time защиту, то вероятность заражения невысока, но бывают особые случаи. Именно по этому я всегда стараюсь отключать функцию автозапуска на доверенных мне системах.

Сегодня принесли флешку, которая не являясь исключением, содержала целый рассадник самых разных представителей вредоносного сообщества. В качестве эксперимента было решено потестить имеющиеся на борту ESET Smart Security 4.0.424.0 (сигнатуры от 12.06.2009) и AVZ 4.30 (обновлялся сегодня). Из 26 показавшихся мне подозрительными: ESET "убил" 23; AVZ "добил" ещё двоих. Но вот один остался нетронут. Вместе с autorun.inf. Отправляю файл obsuuk.exe на "virustotal" и в "Лабораторию Касперского", но результатом не доволен - вредоносный код не обнаружен. Открываю "Свойства" файла, без всякой надежды на получение дополнительной информации, во "Внутреннем имени" обнаруживаю значение "CSRCS.Exe", которое уж больно напоминает "csrss.exe". Размер файла - 889 263 байт, великовато для вируса. Эксперимент продолжается. Запускаю подозрительный файл. Не проходит и минуты, как файервол ESET'a успешно блокирует "Detected ICMP Flooding attack" от приложения "CSRCS.Exe" (жаль адресок не запомнил). Создаю правило-запрет. Бегло просматриваю жесткий диск на наличие новых файлов. В корневой директории появился "новенький" размером 0 байт со случайно сгенерированным названием и расширением. Подключаю артиллерию - AVZ, который указывает на то, что произведена модификация explorer.exe (на запуск "CSRCS.Exe") и что этот самый файл может работать с сетью. Удаляю с чисткой всех ссылок на этот файл в системе. Перезапуск. Ошибка "файл CSRCS.Exe не найден" при запуске. Забыл пофиксить explorer.exe. При помощи AVZ устраняем и эту проблему. Перезапуск. Проверка. Всё нормально. Отправляю файлы на анализ и в ESET и автору AVZ. Чуть позже ESET обнаруживает "проблемный" файл по адресу system32\drivers\vdcxmtc.sys, который успешно помещается в карантин.

Ещё одной победой больше:) Будьте бдительны:)

0