[ESET] Ostrzeżenie przed wirusem Win32/Alman

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21399
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

[ESET] Ostrzeżenie przed wirusem Win32/Alman

Post09 lip 2013, 23:31

ESET ostrzega dzisiaj także przed wirusem Win32/Alman znanym też jako Win32/Alman.NAD lub
Virus.Win32.Alman.b (Kaspersky)
W32.Almanahe.B!inf (Symantec)
W32/Almanahe.c (McAfee)

Jest to szkodnik polimorficzny wykorzystujący wiele technik znanych dla rootkitów.

uruchamia się z folderu systemowego Windows. Startuje od pliku linkinfo.dll

Następnie zrzuca do folderu system\drivers pliki cdralw.sys i IsDrv122.sys

Dodaje się też do rejestru

Kod: Zaznacz cały

[HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­%variable%] "DisplayName" = "NVIDIA Compatible Windows Miniport Driver" "ImagePath" = "%system%\­drivers\­%variable%.sys"


gdzie jako variable pojawia się nvmini lub cdralw. Następnie już uruchomiony wirus szuka w sterownikach plików exe.

Nie rusza plików:

Kod: Zaznacz cały

    LOCAL SETTINGS\­TEMP\­
    \­QQ
    \­WINDOWS\­
    \­WINNT\­



Unika też plików:

Kod: Zaznacz cały

    asktao.exe
    au_unins_web.exe
    audition.exe
    autoupdate.exe
    ca.exe
    cabal.exe
    cabalmain.exe
    cabalmain9x.exe
    config.exe
    dbfsupdate.exe
    dk2.exe
    dragonraja.exe
    flyff.exe
    game.exe
    gc.exe
    hs.exe
    kartrider.exe
    main.exe
    maplestory.exe
    meteor.exe
    mhclient-connect.exe
    mjonline.exe
    mts.exe
    nbt-dragonraja2006.exe
    neuz.exe
    nmcosrv.exe
    nmservice.exe
    nsstarter.exe
    patcher.exe
    patchupdate.exe
    sealspeed.exe
    trojankiller.exe
    userpic.exe
    wb-service.exe
    woool.exe
    wooolcfg.exe
    xlqy2.exe
    xy2.exe
    xy2player.exe
    zfs.exe
    ztconfig.exe
    zuonline.exe
    launcher.exe
    repair.exe
    wow.exe
    zhengtu.exe
    大话西游.exe



Sam szkodnik dodaje się na koniec plików wykonywalnych. Próbuje się też skopiować do folderu głównego jako plik setup.exe a sam plim jest zdalnie uruchamiany.

Wykorzystuje też kodno Administrator z hasłami:

Kod: Zaznacz cały

    admin
    1
    111
    123
    aaa
    12345
    123456789
    654321
    !@#$
    asdf
    asdfgh
    !@#$%
    !@#$%^
    !@#$%^&
    !@#$%^&*
    !@#$%^&*(
    !@#$%^&*()
    qwer
    admin123
    love
    test123
    owner
    mypass123
    root
    letmein
    qwerty
    abc123
    password
    monkey
    password1



Przerywa też działanie programów

Kod: Zaznacz cały

    c0nime.exe
    cmdbcs.exe
    ctmontv.exe
    explorer.exe
    iexpl0re.exe
    iexpl0re.exe
    iexplore.exe
    internat.exe
    logo_1.exe
    logo1_.exe
    lsass.exe
    lying.exe
    msdccrt.exe
    msvce32.exe
    ncscv32.exe
    nvscv32.exe
    realschd.exe
    rpcs.exe
    run1132.exe
    rundl132.exe
    smss.exe
    spo0lsv.exe
    spoclsv.exe
    ssopure.exe
    svhost32.exe
    svch0st.exe
    sxs.exe
    sysbmw.exe
    sysload3.exe
    tempicon.exe
    upxdnd.exe
    wdfmgr32.exe
    wsvbs.exe



Na koniec je kasuje. Może też wyłączać komputery oraz ściągać i uruchamiać inne pliki z Internetu.

źródło: ESET
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

[ESET] Ostrzeżenie przed wirusem Win32/Alman

Post11 lip 2013, 00:29

Jeśli to się rozprzestrzeni to będzie z nim taki sam problem, jak choćby z Sality.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

autosuper

Użytkownik
Posty: 1
Rejestracja: 05 mar 2014, 21:55

[ESET] Ostrzeżenie przed wirusem Win32/Alman

Post05 mar 2014, 21:58

Zaifekowalem komputer tym wlasnie plikiem, macie jakies porady jak sie tego pozbyc?

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21399
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

[ESET] Ostrzeżenie przed wirusem Win32/Alman

Post05 mar 2014, 22:04

Daj logi z programu OTL w dziale bezpieczeństwo wskazując w temacie na Win32/Alman
Hotfix
Pozdrawiam, cosik_ktosik :)



  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości