Название: Win32.HLLP.Karud
Размер: 450 кб( написан на delphi )
Распространение:
локальная сеть. Вирус ищет расшаренные папки и заражает расположенные в них исполняемые файлы.
Действие на систему:
Заражает исполняемые файлы пристыковочным методом - создает файл, содержащий тело вируса + пораженную программу. В момент запуска такого файла управление получает вирус, который в свою очередь запускает программу. Для подобных манипуляций вирус активно использует папку Temp компьютера. В "хвосте" тела вируса размещается небольшой исполняемый файл, который обращается напрямую к диску через \Device\Harddisk0\Partition0 и может применяться для убиения MBR.
В процессе заражения вирус создает лог файл в папке Temp с именем ki.log со списком зараженных файлов.
Детект и лечение без сигнатур:
При включении протоколирования данных о чистых объектах AVZ детектирует его как Joiner:
Если запустить AVZ c параметрами
и просканировать зараженный файл, то в папку UNPACKED\EXE-Joiner\ будут извлечены "излеченные" файлы, т.к. от них будет отсечен вирусный код.
Вирус может создавать на диске файл drivers\mdvdrom.sys и dvdromX.sys.
Проявления:
1. В папке Temp в момент запуска появляются файлы вида svchost.exe<пробелы>XXXX, появляется файл ki.log
2. В памяти видны посторониие процессы
3. В XP возникают сообщения защиты системных файлов
4. В папке Drivers создается mdvdrom.sys размером 4 кб с "дисккиллером"
5. Многие программы после заражения могут работать некорректно, так как запускаются из папки Temp, а не из своих рабочих каталогов
Метод экспресс-диагностики: в теле вируса содержатся строки "durak", "drivers\mdvdrom.sys", "Device\Harddisk0\Partition0", по которым можно произвести поиск зараженных объектов.
Анализ "дисккиллера" mdvdrom.sys
Это драйвер, размер 4026 байта. Анализирует системное время, проверяя день и час. Если текущий час > 14 и текущий день в диапазоне 25..31, то он окрывает на запись \\Device\\Harddisk0\\Partition0 и пишет туда содержимое буфера размером 512 байт, заполняемого перед этим в цикле числами от 0 до 255. В результате подобной записи разрушается MBR.
Лечение:
щас DrWeb детектирует и лечит файлы, пораженные данным вирусом.
Насчёт других антивирей не знаю....
P.S. меня повеселило то что аффтар данного вируса зачем-то сделал создание лог-файла со списком зараженных файлов +)
да и ещё размер 450 кб...
Размер: 450 кб( написан на delphi )
Распространение:
локальная сеть. Вирус ищет расшаренные папки и заражает расположенные в них исполняемые файлы.
Действие на систему:
Заражает исполняемые файлы пристыковочным методом - создает файл, содержащий тело вируса + пораженную программу. В момент запуска такого файла управление получает вирус, который в свою очередь запускает программу. Для подобных манипуляций вирус активно использует папку Temp компьютера. В "хвосте" тела вируса размещается небольшой исполняемый файл, который обращается напрямую к диску через \Device\Harddisk0\Partition0 и может применяться для убиения MBR.
В процессе заражения вирус создает лог файл в папке Temp с именем ki.log со списком зараженных файлов.
Детект и лечение без сигнатур:
При включении протоколирования данных о чистых объектах AVZ детектирует его как Joiner:
Код:
2006-05-23\1\avz4\avz.txt/{EXE-Joiner}/.exe
Код:
avz.exe extract_archives=y unpack_archives=yВирус может создавать на диске файл drivers\mdvdrom.sys и dvdromX.sys.
Проявления:
1. В папке Temp в момент запуска появляются файлы вида svchost.exe<пробелы>XXXX, появляется файл ki.log
2. В памяти видны посторониие процессы
3. В XP возникают сообщения защиты системных файлов
4. В папке Drivers создается mdvdrom.sys размером 4 кб с "дисккиллером"
5. Многие программы после заражения могут работать некорректно, так как запускаются из папки Temp, а не из своих рабочих каталогов
Метод экспресс-диагностики: в теле вируса содержатся строки "durak", "drivers\mdvdrom.sys", "Device\Harddisk0\Partition0", по которым можно произвести поиск зараженных объектов.
Анализ "дисккиллера" mdvdrom.sys
Это драйвер, размер 4026 байта. Анализирует системное время, проверяя день и час. Если текущий час > 14 и текущий день в диапазоне 25..31, то он окрывает на запись \\Device\\Harddisk0\\Partition0 и пишет туда содержимое буфера размером 512 байт, заполняемого перед этим в цикле числами от 0 до 255. В результате подобной записи разрушается MBR.
Лечение:
щас DrWeb детектирует и лечит файлы, пораженные данным вирусом.
Насчёт других антивирей не знаю....
P.S. меня повеселило то что аффтар данного вируса зачем-то сделал создание лог-файла со списком зараженных файлов +)
впрочем название виря Karud(duraK) говорит само за себя, впрочем как и за автора =)
да и ещё размер 450 кб...