W32/VBNA-X быстро распространяется через сети и съемные носители

INF icon SophosLabs ученые заметили значительное увеличение в распространении вредоносного мы называем W32/VBNA-X (среди других имен).

Несколько других производителей, в том числе McAfee (W32/Autorun.worm.aaeb) и Symantec (W32.ChangeUp), были оповещения своих клиентов, а также. В то время как основные компоненты этой вредоносной программы были вокруг в течение некоторого времени, она стала значительно более агрессивной в своей последней итерации.

Инфекция

W32/VBNA-X это червь, но и обладает характеристиками обычно встречаются в Trojan. Наиболее очевидный способ распространения, как представляется, с помощью файлов autorun.inf упал на съемные носители и сетевые ресурсы для записи.

Вы бы надеяться, эта техника не будет слишком эффективны на современных ПК, однако. Microsoft выпустила обновления для XP, 2003 и Vista, в феврале 2011 года отключить автозапуск на всех носителях в стороне от "блестящих дисков».

Он по-прежнему не плохая идея, чтобы отключить Autorun / автозапуска более полно, что довольно легко сделать в соответствии с Microsoft, инструкции , которые включают в себя "FixIt".

Большинство ПК будет игнорировать файлы autorun.inf в эти дни, так что люди должны быть нажав на вредоносной программы, но зачем?

Похоже, что коктейль из умных социальной инженерии, бедные настройки по умолчанию и пользователь неосторожности.

После создания файла autorun.inf для устаревших жертвы, он начинает перечислять все имена файлов и папок на запись акций и съемных устройств.

Например, скажем, ваш E: диск является сетевой ресурс с именем папки хозяйству и г и файлы с именем as.txt и Adobe.pdf.

Он будет устанавливать все это, чтобы иметь скрытый атрибут и установить ключ реестра для обеспечения скрытые файлы не отображаются.

Тогда она будет создавать копии называется Porn.exe, Sexy.exe, Passwords.exe и Secret.exe в дополнение к созданию собственных копий для каждого законного файлов и папок настоящего тома.

Дубликаты оригинальных файлов и папок будет иметь свой набор иконок на стандартный значок папки в Windows 7.

Скриншот доля инфицированных файлов

Результат

В этом скриншоте вы можете увидеть оригинальные папки в верхней указанием их Windows XP значки и клонировали / трояном числе с Windows 7 значки пониже.

Вредоносного кажется, предположить, что вы не отображаются расширения, который используется по умолчанию во всех версиях Windows.

Infected file share with extensions and hidden files shown Я могу легко видеть, как люди просматривают файл акции и USB-накопителей, может случайно нажать ту папку, особенно если реальные папок в скрытой.

Если мы покажем, расширений и просмотр всех скрытых файлов мы видим совсем другую картину.

В дополнение к оригинальным файлам и их самозванцами есть также файлы с именами .. ехе и … EXE. Вредоносного также известен написать нулю файл байт называется x.mpeg, хотя он этого не сделал в этом тесте экземпляр.

Вредоносная программа копирует себя в профиле пользователя, используя случайное имя файла и добавляет ключ реестра, чтобы начать загрузку вредоносного ПО.

Некоторые варианты, как известно, отключить Windows Update, чтобы предотвратить жертвы от получения патча или обновленных инструкций, которые могут отключить его.

W32/VBNA-X также полиморфные так SHA1 контрольные суммы различаются для некоторых файлов:

 30582368427f752b7b6da4485db456de915101b2 SHA1 для Porn.exe
7ff75f92c5461cc221cb3ab914592bd2a5db6e15 SHA1 для Sexy.exe
d71a89c085ffbb62f4e222fb2f42d7e2271e4642 SHA1 всех остальных 

Ключи реестра созданы:

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun%random% %UserProfile%%random% /%randomletter% - для сохранения

HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU NoAutoUpdate = 1 - Чтобы отключить обновления

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden = 0 - Для обеспечения скрытые элементы остаются скрытыми 

Вы заражены, теперь что происходит?

Эти образцы следует стандартная процедура для современных вредоносных программ. После загрузки W32/VBNA-X контакты командования и управления (C & C) сервер, чтобы получить инструкции для дальнейшей полезной нагрузки для загрузки.

Вредоносные попытки связаться C & Cs на порт 9003 использованием HTTP, хотя McAfee сообщила видя образцы подключения к порту 9004, а также.

Многие из имен DNS, размещенных в DDNS #. Доменного пространства ЕС, но весь список достаточно обширен. Администраторы, которые хотят следить за инфекциями, возможно, пожелают контролировать свои журналы брандмауэра для подключения к портам 900 [0-9].

После C & C серверов в контакт команды и URL передается обратно вредоносных поручив ему скачать полезную нагрузку имени google.exe который находится в каталоге профиля пользователя.

Случаях мы исследовали скачали банковских троянов принадлежащих Zeus / Zbot семьи, но часто может меняться в зависимости от времени суток и географического положения.

Совет

Помимо поддержания вашего антивирусного до даты Есть несколько вещей, которые вы можете сделать и можно смотреть.

  • Обеспечения автозапуска полностью отключены на всех операционные системы.

  • Убедитесь, что ваши стандартные образы ОС Windows и групповой политики настроен на отображение расширения файлов и скрытые файлы.
  • Ограничение права на запись в файл акции, чтобы разрешить доступ только там, где это абсолютно необходимо
  • Запрет на все исходящие соединения с неизвестным портам и услуг на ваш шлюз и клиент брандмауэра.
  • Убедитесь, поведенческие технологии обнаружения включена в вашем антивирусный продукт для обнаружения того схем вредоносных настойчивость и фальсификации обновления и антивирусные настройки.
Sophos Anti-Вирус на всех платформах обнаруживает и блокирует различные компоненты этой вредоносной программы следующим образом:

* W32/VBNA-X: Конкретные об обнаружении данного червя (варианты включают W32/VBNA-U, W32/VBNA-Z, W32-VBNA-AA и W32/VBNA-AB)
* Mal / SillyFDC-Z Generic обнаружения червя для файлов Autorun.inf (варианты включают Mal / Autorun-AX, W32/SillyFDC-IP и W32/AutoInf-DI)
* Troj / Тэпфер-E полезной нагрузки Trojan обнаружен в связи с этим вредоносных программ (варианты включают Troj / VB-GFM, W32/SillyFDC-IP и Mal / SillyFDC-Z)
* HIPS/RegMod-009 проактивного обнаружения и профилактики для регистрации изменений и упорство

* Клиенты, использующие Sophos Web Protection будет запрещен доступ областях, как известно, связаны с этой вредоносной программы

Я хотел бы выразить особую благодарность всей команде SophosLabs Ванкувере и, особенно, Майк Вуд, Питер Сабо и Savio Lau для проведения так много дополнительного времени, чтобы разделить эти детали с нашими читателями.