W32/VBNA-X быстро распространяется через сети и съемные носители

SophosLabs ученые заметили значительное увеличение в распространении вредоносного мы называем W32/VBNA-X (среди других имен).

Несколько других производителей, в том числе McAfee (W32/Autorun.worm.aaeb) и Symantec (W32.ChangeUp), были оповещения своих клиентов, а также. В то время как основные компоненты этой вредоносной программы были вокруг в течение некоторого времени, она стала значительно более агрессивной в своей последней итерации.

Инфекция

W32/VBNA-X это червь, но и обладает характеристиками обычно встречаются в Trojan. Наиболее очевидный способ распространения, как представляется, с помощью файлов autorun.inf упал на съемные носители и сетевые ресурсы для записи.

Вы бы надеяться, эта техника не будет слишком эффективны на современных ПК, однако. Microsoft выпустила обновления для XP, 2003 и Vista, в феврале 2011 года отключить автозапуск на всех носителях в стороне от "блестящих дисков».

Он по-прежнему не плохая идея, чтобы отключить Autorun / автозапуска более полно, что довольно легко сделать в соответствии с Microsoft, инструкции , которые включают в себя "FixIt".

Большинство ПК будет игнорировать файлы autorun.inf в эти дни, так что люди должны быть нажав на вредоносной программы, но зачем?

Похоже, что коктейль из умных социальной инженерии, бедные настройки по умолчанию и пользователь неосторожности.

После создания файла autorun.inf для устаревших жертвы, он начинает перечислять все имена файлов и папок на запись акций и съемных устройств.

Например, скажем, ваш E: диск является сетевой ресурс с именем папки хозяйству и г и файлы с именем as.txt и Adobe.pdf.

Он будет устанавливать все это, чтобы иметь скрытый атрибут и установить ключ реестра для обеспечения скрытые файлы не отображаются.

Тогда она будет создавать копии называется Porn.exe, Sexy.exe, Passwords.exe и Secret.exe в дополнение к созданию собственных копий для каждого законного файлов и папок настоящего тома.

Дубликаты оригинальных файлов и папок будет иметь свой набор иконок на стандартный значок папки в Windows 7.

Результат

В этом скриншоте вы можете увидеть оригинальные папки в верхней указанием их Windows XP значки и клонировали / трояном числе с Windows 7 значки пониже.

Вредоносного кажется, предположить, что вы не отображаются расширения, который используется по умолчанию во всех версиях Windows.

Я могу легко видеть, как люди просматривают файл акции и USB-накопителей, может случайно нажать ту папку, особенно если реальные папок в скрытой.

Если мы покажем, расширений и просмотр всех скрытых файлов мы видим совсем другую картину.

В дополнение к оригинальным файлам и их самозванцами есть также файлы с именами .. ехе и ... EXE. Вредоносного также известен написать нулю файл байт называется x.mpeg, хотя он этого не сделал в этом тесте экземпляр.

Вредоносная программа копирует себя в профиле пользователя, используя случайное имя файла и добавляет ключ реестра, чтобы начать загрузку вредоносного ПО.

Некоторые варианты, как известно, отключить Windows Update, чтобы предотвратить жертвы от получения патча или обновленных инструкций, которые могут отключить его.

 30582368427f752b7b6da4485db456de915101b2 SHA1 для Porn.exe
7ff75f92c5461cc221cb3ab914592bd2a5db6e15 SHA1 для Sexy.exe
d71a89c085ffbb62f4e222fb2f42d7e2271e4642 SHA1 всех остальных 

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun%random% %UserProfile%%random% /%randomletter% - для сохранения

HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU NoAutoUpdate = 1 - Чтобы отключить обновления

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden = 0 - Для обеспечения скрытые элементы остаются скрытыми 

Вы заражены, теперь что происходит?

Эти образцы следует стандартная процедура для современных вредоносных программ. После загрузки W32/VBNA-X контакты командования и управления (C & C) сервер, чтобы получить инструкции для дальнейшей полезной нагрузки для загрузки.

Вредоносные попытки связаться C & Cs на порт 9003 использованием HTTP, хотя McAfee сообщила видя образцы подключения к порту 9004, а также.

Многие из имен DNS, размещенных в DDNS #. Доменного пространства ЕС, но весь список достаточно обширен. Администраторы, которые хотят следить за инфекциями, возможно, пожелают контролировать свои журналы брандмауэра для подключения к портам 900 [0-9].

После C & C серверов в контакт команды и URL передается обратно вредоносных поручив ему скачать полезную нагрузку имени google.exe который находится в каталоге профиля пользователя.

Случаях мы исследовали скачали банковских троянов принадлежащих Zeus / Zbot семьи, но часто может меняться в зависимости от времени суток и географического положения.

Совет

Помимо поддержания вашего антивирусного до даты Есть несколько вещей, которые вы можете сделать и можно смотреть.

• Обеспечения автозапуска полностью отключены на всех операционные системы.

• Убедитесь, что ваши стандартные образы ОС Windows и групповой политики настроен на отображение расширения файлов и скрытые файлы.
• Ограничение права на запись в файл акции, чтобы разрешить доступ только там, где это абсолютно необходимо
• Запрет на все исходящие соединения с неизвестным портам и услуг на ваш шлюз и клиент брандмауэра.
• Убедитесь, поведенческие технологии обнаружения включена в вашем антивирусный продукт для обнаружения того схем вредоносных настойчивость и фальсификации обновления и антивирусные настройки.

Я хотел бы выразить особую благодарность всей команде SophosLabs Ванкувере и, особенно, Майк Вуд, Питер Сабо и Savio Lau для проведения так много дополнительного времени, чтобы разделить эти детали с нашими читателями.