Новое чудо с флешки

Тиртханкар 2009 M06 13
3194
36
0
0

Как известно, большинство вирусов, распространяющихся через переносные устройства, "инфицируют" систему используя функцию автозапуска(при помощи autorun.inf). Конечно, если базы антивируса находятся...

Как известно, большинство вирусов, распространяющихся через переносные устройства, "инфицируют" систему используя функцию автозапуска(при помощи autorun.inf). Конечно, если базы антивируса находятся в актуальном состоянии и он настроен на real-time защиту, то вероятность заражения невысока, но бывают особые случаи. Именно по этому я всегда стараюсь отключать функцию автозапуска на доверенных мне системах.

Сегодня принесли флешку, которая не являясь исключением, содержала целый рассадник самых разных представителей вредоносного сообщества. В качестве эксперимента было решено потестить имеющиеся на борту ESET Smart Security 4.0.424.0 (сигнатуры от 12.06.2009) и AVZ 4.30 (обновлялся сегодня). Из 26 показавшихся мне подозрительными: ESET "убил" 23; AVZ "добил" ещё двоих. Но вот один остался нетронут. Вместе с autorun.inf. Отправляю файл obsuuk.exe на "virustotal" и в "Лабораторию Касперского", но результатом не доволен - вредоносный код не обнаружен. Открываю "Свойства" файла, без всякой надежды на получение дополнительной информации, во "Внутреннем имени" обнаруживаю значение "CSRCS.Exe", которое уж больно напоминает "csrss.exe". Размер файла - 889 263 байт, великовато для вируса. Эксперимент продолжается. Запускаю подозрительный файл. Не проходит и минуты, как файервол ESET'a успешно блокирует "Detected ICMP Flooding attack" от приложения "CSRCS.Exe" (жаль адресок не запомнил). Создаю правило-запрет. Бегло просматриваю жесткий диск на наличие новых файлов. В корневой директории появился "новенький" размером 0 байт со случайно сгенерированным названием и расширением. Подключаю артиллерию - AVZ, который указывает на то, что произведена модификация explorer.exe (на запуск "CSRCS.Exe") и что этот самый файл может работать с сетью. Удаляю с чисткой всех ссылок на этот файл в системе. Перезапуск. Ошибка "файл CSRCS.Exe не найден" при запуске. Забыл пофиксить explorer.exe. При помощи AVZ устраняем и эту проблему. Перезапуск. Проверка. Всё нормально. Отправляю файлы на анализ и в ESET и автору AVZ. Чуть позже ESET обнаруживает "проблемный" файл по адресу system32\drivers\vdcxmtc.sys, который успешно помещается в карантин.

Ещё одной победой больше:) Будьте бдительны:)

Оцените пост

0

Комментарии

0
обычно вообще все ексешные файлы на флешках не храню в корне, а если появляются шифт+дел :)
и достаточно обойти автозапуск, по простому проводником, и вирусы не запустяться. а с чужих флех мона и все подозрительное на пофиг удалять. ибо нехер
0
Если у тебя остался этот файл, кинь в меня его, пожалуйста.
0
Да запросто:) Куда?
0
Куда тебе угдобно. :)
Показать комментарии