Przed wirusami AutoRun ostrzega Kaspersky

Post29 cze 2013, 22:20

Firma Kaspersky na swym blogu securelist.pl ostrzega przed ponownym zmasowanym atakiem szkodników AutoRun. Do najpopularniejszych obecnie szkodników należy:

Worm.Java.AutoRun - jest to robak oparty na języku Java. Do komputera trafia w formie czterech plików:
1. Archiwum Javy o zmiennej nazwie. Plik lokalizuje się w folderze tymczasowym %TEMP%\jar_cache*.tmp.
2. Autorun.inf jest plikiem konfiguracyjnym zapewniającym autouruchamianie się szkodnika w momencie otwierania zainfekowanego nośnika zewnętrznego
3. Plik DLL będący biblioteką pomocniczą odpowiadającą za zadanie rozpowszechniania się . Plik o zmiennej nazwie trafia do folderu %TEMP%\hsperfdata_%USERNAME%\.
4. Java.exe jest to normalny plik preinstalowanej Javy. Dzięki niemu robak ładuje się do pamięci. W momencie infekcji kopiuje sobie ten plik do %ProgramFiles% do folderu tymczasowego użytkownika i otrzymuje nazwę związaną z procesem systemowym, np winlogon.exe

Po infekcji Worm.Java.AutoRun używa Javy do wypakowania DLL do folderu tymczasowego użytkownika do tego samego folderu ProgramFiles, gdzie daje mu zaufaną nazwę. Tak przygotowaną bibliotekę wstrzykuje do procesu stworzonego w celu rozprzestrzeniania robaka. Dodatkowo robak kontaktuje się ze swoim centrum kontroli co do nowych instrukcji.

Sam robak Worm.Java.AutoRun korzysta z zaciemniania Zelix KlassMaster. Sam robak należy do klasy polimorficznych.
Na tą chwilę nie notuje się tego szkodnika na terenie Polski jednak już za naszymi granicami atakuje aktywnie.

Worm.JS.AutoRun to drugi robak z serii AutoRun. Ten jednak robak wykorzystuje dodatkowo serwery FTP, strony do współdzielenia plików, foldery współdzielone, płyty CD/DVD oraz nośniki flash.

Rozmnażając się w katalogach dodaje się do autostartu. W momencie zakażenia sprawdza swoje środowisko w poszukiwaniu maszyn wirtualnych. Jeśli jest to zwykły komputer to zaczyna szukać narzędzi monitorujących i służących do ochrony komputera. W momencie ich znalezienia, sam kończy swoje działanie. Jeśli natomiast uda mu się zakazić komputer to pobiera instrukcje z sieci. Jego celem jest gromadzenie informacji o systemie, użytkowniku i zainstalowanych programach. Worm.JS.AutoRun korzysta także z szyfrowanego maskowania i może zmieniać swoją postać. W Polsce na razie nie rejestruje się większych infekcji. Gorzej jest u naszych sąsiadów.

Post30 cze 2013, 15:07

cosik_ktosik pisze:Firma Kaspersky na swym blogu securelist.pl ostrzega przed ponownym zmasowanym atakiem szkodników AutoRun. Do najpopularniejszych obecnie szkodników należy:

Worm.Java.AutoRun - jest to robak oparty na języku Java. Do komputera trafia w formie czterech plików:
1. Archiwum Javy o zmiennej nazwie. Plik lokalizuje się w folderze tymczasowym %TEMP%\jar_cache*.tmp.
2. Autorun.inf jest plikiem konfiguracyjnym zapewniającym autouruchamianie się szkodnika w momencie otwierania zainfekowanego nośnika zewnętrznego
3. Plik DLL będący biblioteką pomocniczą odpowiadającą za zadanie rozpowszechniania się . Plik o zmiennej nazwie trafia do folderu %TEMP%\hsperfdata_%USERNAME%\.
4. Java.exe jest to normalny plik preinstalowanej Javy. Dzięki niemu robak ładuje się do pamięci. W momencie infekcji kopiuje sobie ten plik do %ProgramFiles% do folderu tymczasowego użytkownika i otrzymuje nazwę związaną z procesem systemowym, np winlogon.exe

Po infekcji Worm.Java.AutoRun używa Javy do wypakowania DLL do folderu tymczasowego użytkownika do tego samego folderu ProgramFiles, gdzie daje mu zaufaną nazwę. Tak przygotowaną bibliotekę wstrzykuje do procesu stworzonego w celu rozprzestrzeniania robaka. Dodatkowo robak kontaktuje się ze swoim centrum kontroli co do nowych instrukcji.

Sam robak Worm.Java.AutoRun korzysta z zaciemniania Zelix KlassMaster. Sam robak należy do klasy polimorficznych.
Na tą chwilę nie notuje się tego szkodnika na terenie Polski jednak już za naszymi granicami atakuje aktywnie.

Worm.JS.AutoRun to drugi robak z serii AutoRun. Ten jednak robak wykorzystuje dodatkowo serwery FTP, strony do współdzielenia plików, foldery współdzielone, płyty CD/DVD oraz nośniki flash.

Rozmnażając się w katalogach dodaje się do autostartu. W momencie zakażenia sprawdza swoje środowisko w poszukiwaniu maszyn wirtualnych. Jeśli jest to zwykły komputer to zaczyna szukać narzędzi monitorujących i służących do ochrony komputera. W momencie ich znalezienia, sam kończy swoje działanie. Jeśli natomiast uda mu się zakazić komputer to pobiera instrukcje z sieci. Jego celem jest gromadzenie informacji o systemie, użytkowniku i zainstalowanych programach. Worm.JS.AutoRun korzysta także z szyfrowanego maskowania i może zmieniać swoją postać. W Polsce na razie nie rejestruje się większych infekcji. Gorzej jest u naszych sąsiadów.

Na obie postaci tego wirusa nadal skuteczność wykazuje Dostępne tylko dla zarejestrowanych użytkowników. Używamy Go z opcji Deletion (jeśli macie na pamięci przenośnej folder Muzyka lub Muza to przenieście Go na czas pracy z programem na dysk twardy).

Post30 cze 2013, 15:09

Tutaj Kaspersky też się chwalił, że jego produkty skutecznie je tępią i to w trybie zwykłym jak i wykrywania heurystycznego. Zagrożenie jest dla komputerów bez zabezpieczeń.

Post30 cze 2013, 15:13

cosik_ktosik pisze:Tutaj Kaspersky też się chwalił, że jego produkty skutecznie je tępią i to w trybie zwykłym jak i wykrywania heurystycznego. Zagrożenie jest dla komputerów bez zabezpieczeń.

KIS sobie radzi z tym w miarę. Z tym, że nie dopuszcza do zarażenia, jednak gdyż już ono nastąpi to sam program nie umie zwalczyć infekcji.

Post30 cze 2013, 18:46

To akurat chyba normalne i u innych też tak samo.

Post30 cze 2013, 23:35

cosik_ktosik pisze:To akurat chyba normalne i u innych też tak samo.

Comodo umie poradzić sobie z tym

.