This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

W32/VBNA-X迅速蔓延,通过网络和可移动介质

Filed Under: Botnet, Featured, Malware, SophosLabs, Windows

INF icon Sophos实验室的研究人员已经发现恶意软件传播的一个显着增加,我们称之为W32/VBNA-X(在其它的名称)。

其他几个供应商,包括McAfee(W32/Autorun.worm.aaeb)和赛门铁克(W32.ChangeUp),已提醒他们的客户。虽然已经有一段时间了这种恶意软件的基本组成部分,它已经成为更积极的在其最新的迭代。

感染

W32/VBNA-X是一个蠕虫病毒,但也表现出典型的特征发现中了木马。出现及其蔓延的最显而易见的方法是通过使用滴在可移动介质和可写的网络共享的autorun.inf文件。

您希望这种技术不会太有效了今天的个人电脑,虽然。微软在2011年2月发布的更新XP,2003和Vista 禁用自动运行的所有媒体上,除了“闪闪发亮的圆盘。”

它仍然是禁用自动运行/自动播放完全不是一个坏主意,这是很容易做到根据微软的说明 ,其中包括“FIXIT。”

大部分的电脑将忽略autorun.inf文件,这些天,所以人们必须要点击的恶意软件本身,而是为什么呢?

这似乎是一个聪明的社会工程,可怜的默认设置和用户的疏忽鸡尾酒。

未打补丁的受害者创建autorun.inf文件后,就开始列举写的股份及可移动设备上的所有文件和文件夹的名称。

举例来说,假设您的E:驱动器是一个网络共享文件夹名为悠乐和R和文件名为as.txt和Adobe.pdf的。

将所有这些设置具有隐藏属性,并设置一个注册表项,以确保不显示隐藏文件。

然后,它会创建自己的副本,除了创建副本卷上的每一个合法的文件和文件夹目前Porn.exe,Sexy.exe,Passwords.exe和Secret.exe。

原始文件夹和文件的副本将有自己的图标设置为Windows 7中的标准文件夹图标。

的感染文件共享的屏幕快照

导致

在这个截图中,你可以看到在上面展示他们的Windows XP的图标和克隆/ trojan了与Windows 7的图标低的原始文件夹。

该恶意软件似乎假设,你是不显示扩展名,这是在所有版本的Windows的默认。

Infected file share with extensions and hidden files shown我可以很容易地看到人们如何浏览文件共享和USB驱动器可能会不小心点击了错误的文件夹,尤其是当真正的文件夹设置为隐藏。

如果我们表现出的扩展和查看所有隐藏的文件,我们看到了一个非常不同的画面。

除了原来的文件和冒名顶替,也有.. exe和EXE文件。也被称为恶意软件编写一个零字节称为x.mpeg的文件的,虽然它没有这样做,在这个测试实例。

将自身复制到用户的配置文件,使用一个随机文件名的恶意软件,并添加注册表项,在开机时启动的恶意软件。

一些变体被称​​为禁用Windows Update接收补丁或更新的说明,可以禁用它,以防止受害人。

W32/VBNA-X也是多态,所以SHA1校验不同的一些文件:

 30582368427f752b7b6da4485db456de915101b2 SHA1 Porn.exe
7ff75f92c5461cc221cb3ab914592bd2a5db6e15 SHA1 Sexy.exe
d71a89c085ffbb62f4e222fb2f42d7e2271e4642 SHA1所有的休息

创建注册表项:

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun%random% %UserProfile%%random% /%randomletter% -对于持久性

HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU NoAutoUpdate = 1 -要禁用的更新

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden = 0 -隐藏的项目要确保留隐患

你被感染了,现在发生了什么?

这些样品按照标准作业程序的恶意软件。一旦加载W32/VBNA-X接触的命令与控制(C&C)服务器接收指令,为进一步有效载荷下载。

该恶意软件试图与C&CS在端口9003上使用HTTP,虽然McAfee已经看到样品,以及连接到端口9004。

许多的DNS名称是托管在DDNS#。eu域名空间,但整个列表是相当广泛的。管理员希望监视的感染的人可能要监视他们的防火墙日志​​,端口900连接到[0-9]。

一旦接触C&C服务器命令和指示它来下载一个的有效载荷名为google.exe这是放置在用户配置文件目录的恶意软件URL传递。

下载的情况下,我们调查的银行木马属于宙斯/ ZBOT家庭的,但可以经常改变的基础上的一天的时间或地理位置。

忠告

除了保持您的防病毒,有几件事情可以做,并可以观看。

  • 确保完全禁用自动运行在所有的Windows操作系统。

  • 请确保您的标准的Windows映像和组策略被配置为显示文件扩展名和隐藏文件。
  • 限制写权限的文件共享,允许访问只有在绝对必要
  • 阻止所有出站连接到未知的端口和服务对您的网关和客户端防火墙。
  • 确保行为检测技术使您的防病毒产品检测和恶意软件的持久性计划篡改更新和防病毒设置。
Sophos反病毒所有平台上的检测并阻止该恶意软件的各个组成部分如下:

* W32/VBNA-X:这种蠕虫病毒的特异性检测(的变种包括W32/VBNA-U,W32/VBNA-Z,W32-VBNA-AA和W32/VBNA-AB的的)
*的玛/ SillyFDC-Z通用Autorun.inf文件(变体包括玛/自动运行-AX,W32/SillyFDC-IP和W32/AutoInf-DI的蠕虫检测)
* Troj / Tepfer的-E有关该恶意软件检测到木马的有效载荷(变种包括Troj / VB-GFM,W32/SillyFDC-IP和Mal / SillyFDC-Z)
* HIPS/RegMod-009注册表修改和持久性的主动检测和预防

*客户将被禁止使用Sophos网络保护访问能够参与该恶意软件的域

我想特别感谢你SophosLabs的温哥华到整个团队,尤其是迈克·伍德,彼得·绍博和萨维奥刘花如此多的额外时间与我们的读者分享这些细节。


You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.