This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

W32/VBNA-X быстро распространяется через сети и съемные носители

Filed Under: Botnet, Featured, Malware, SophosLabs, Windows

INF icon SophosLabs ученые заметили значительное увеличение в распространении вредоносного мы называем W32/VBNA-X (среди других имен).

Несколько других производителей, в том числе McAfee (W32/Autorun.worm.aaeb) и Symantec (W32.ChangeUp), были оповещения своих клиентов, а также. В то время как основные компоненты этой вредоносной программы были вокруг в течение некоторого времени, она стала значительно более агрессивной в своей последней итерации.

Инфекция

W32/VBNA-X это червь, но и обладает характеристиками обычно встречаются в Trojan. Наиболее очевидный способ распространения, как представляется, с помощью файлов autorun.inf упал на съемные носители и сетевые ресурсы для записи.

Вы бы надеяться, эта техника не будет слишком эффективны на современных ПК, однако. Microsoft выпустила обновления для XP, 2003 и Vista, в феврале 2011 года отключить автозапуск на всех носителях в стороне от "блестящих дисков».

Он по-прежнему не плохая идея, чтобы отключить Autorun / автозапуска более полно, что довольно легко сделать в соответствии с Microsoft, инструкции , которые включают в себя "FixIt".

Большинство ПК будет игнорировать файлы autorun.inf в эти дни, так что люди должны быть нажав на вредоносной программы, но зачем?

Похоже, что коктейль из умных социальной инженерии, бедные настройки по умолчанию и пользователь неосторожности.

После создания файла autorun.inf для устаревших жертвы, он начинает перечислять все имена файлов и папок на запись акций и съемных устройств.

Например, скажем, ваш E: диск является сетевой ресурс с именем папки хозяйству и г и файлы с именем as.txt и Adobe.pdf.

Он будет устанавливать все это, чтобы иметь скрытый атрибут и установить ключ реестра для обеспечения скрытые файлы не отображаются.

Тогда она будет создавать копии называется Porn.exe, Sexy.exe, Passwords.exe и Secret.exe в дополнение к созданию собственных копий для каждого законного файлов и папок настоящего тома.

Дубликаты оригинальных файлов и папок будет иметь свой набор иконок на стандартный значок папки в Windows 7.

Скриншот доля инфицированных файлов

Результат

В этом скриншоте вы можете увидеть оригинальные папки в верхней указанием их Windows XP значки и клонировали / трояном числе с Windows 7 значки пониже.

Вредоносного кажется, предположить, что вы не отображаются расширения, который используется по умолчанию во всех версиях Windows.

Infected file share with extensions and hidden files shown Я могу легко видеть, как люди просматривают файл акции и USB-накопителей, может случайно нажать ту папку, особенно если реальные папок в скрытой.

Если мы покажем, расширений и просмотр всех скрытых файлов мы видим совсем другую картину.

В дополнение к оригинальным файлам и их самозванцами есть также файлы с именами .. ехе и ... EXE. Вредоносного также известен написать нулю файл байт называется x.mpeg, хотя он этого не сделал в этом тесте экземпляр.

Вредоносная программа копирует себя в профиле пользователя, используя случайное имя файла и добавляет ключ реестра, чтобы начать загрузку вредоносного ПО.

Некоторые варианты, как известно, отключить Windows Update, чтобы предотвратить жертвы от получения патча или обновленных инструкций, которые могут отключить его.

W32/VBNA-X также полиморфные так SHA1 контрольные суммы различаются для некоторых файлов:

 30582368427f752b7b6da4485db456de915101b2 SHA1 для Porn.exe
7ff75f92c5461cc221cb3ab914592bd2a5db6e15 SHA1 для Sexy.exe
d71a89c085ffbb62f4e222fb2f42d7e2271e4642 SHA1 всех остальных 

Ключи реестра созданы:

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun%random% %UserProfile%%random% /%randomletter% - для сохранения

HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU NoAutoUpdate = 1 - Чтобы отключить обновления

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden = 0 - Для обеспечения скрытые элементы остаются скрытыми 

Вы заражены, теперь что происходит?

Эти образцы следует стандартная процедура для современных вредоносных программ. После загрузки W32/VBNA-X контакты командования и управления (C & C) сервер, чтобы получить инструкции для дальнейшей полезной нагрузки для загрузки.

Вредоносные попытки связаться C & Cs на порт 9003 использованием HTTP, хотя McAfee сообщила видя образцы подключения к порту 9004, а также.

Многие из имен DNS, размещенных в DDNS #. Доменного пространства ЕС, но весь список достаточно обширен. Администраторы, которые хотят следить за инфекциями, возможно, пожелают контролировать свои журналы брандмауэра для подключения к портам 900 [0-9].

После C & C серверов в контакт команды и URL передается обратно вредоносных поручив ему скачать полезную нагрузку имени google.exe который находится в каталоге профиля пользователя.

Случаях мы исследовали скачали банковских троянов принадлежащих Zeus / Zbot семьи, но часто может меняться в зависимости от времени суток и географического положения.

Совет

Помимо поддержания вашего антивирусного до даты Есть несколько вещей, которые вы можете сделать и можно смотреть.

  • Обеспечения автозапуска полностью отключены на всех операционные системы.

  • Убедитесь, что ваши стандартные образы ОС Windows и групповой политики настроен на отображение расширения файлов и скрытые файлы.
  • Ограничение права на запись в файл акции, чтобы разрешить доступ только там, где это абсолютно необходимо
  • Запрет на все исходящие соединения с неизвестным портам и услуг на ваш шлюз и клиент брандмауэра.
  • Убедитесь, поведенческие технологии обнаружения включена в вашем антивирусный продукт для обнаружения того схем вредоносных настойчивость и фальсификации обновления и антивирусные настройки.
Sophos Anti-Вирус на всех платформах обнаруживает и блокирует различные компоненты этой вредоносной программы следующим образом:

* W32/VBNA-X: Конкретные об обнаружении данного червя (варианты включают W32/VBNA-U, W32/VBNA-Z, W32-VBNA-AA и W32/VBNA-AB)
* Mal / SillyFDC-Z Generic обнаружения червя для файлов Autorun.inf (варианты включают Mal / Autorun-AX, W32/SillyFDC-IP и W32/AutoInf-DI)
* Troj / Тэпфер-E полезной нагрузки Trojan обнаружен в связи с этим вредоносных программ (варианты включают Troj / VB-GFM, W32/SillyFDC-IP и Mal / SillyFDC-Z)
* HIPS/RegMod-009 проактивного обнаружения и профилактики для регистрации изменений и упорство

* Клиенты, использующие Sophos Web Protection будет запрещен доступ областях, как известно, связаны с этой вредоносной программы

Я хотел бы выразить особую благодарность всей команде SophosLabs Ванкувере и, особенно, Майк Вуд, Питер Сабо и Savio Lau для проведения так много дополнительного времени, чтобы разделить эти детали с нашими читателями.


You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.