Arvutifoorum VISTA
http://vista.getforum.org/

INF:AutoRun-gen3@bhv[Wrm]
http://vista.getforum.org/inf-autorun-gen3-bhv-t2272.html
1. leht 1-st

Autor:  tudiludi [ 08 Juul 2011, 15:53 ]
Teema pealkiri:  INF:AutoRun-gen3@bhv[Wrm]

Täna puutusin kokku taolise asjaga. Avast! teatab sellisest troojast siis, kui mälupulk (usb) ühendada arvutiga. Ning kui võtan mälupulga kausta lahti, siis kõik mälupulgal olevad kaustad on otseteed. Avasti logi:

Pilt

Ja mälupulga sisu:

Pilt

Kui käsuviipa tipin lihtsalt L:\dir, siis kaustu ma ei näe, aga kui L:\dir/ah, siis näen kaustu ja saan neisse sisenedagi. Kuid ma ei tea, mis kaust on 94728631:

Pilt

Malwarebytesiga tegin mälupulgale skänni ja programm pidas paljusid exe faile troojateks (kaustade sees), samas aga mitte kõiki. Vähemalt peaks mul mälupulgal exe faile palju rohkem olema.

Oletan, et kõik sai alguse sellest, et toppisin Jaanipäeva paiku sugulaste juures oma riistavara võõrasse riistavarasse. See nakatas kuidagi USB pulga. Mul esines see probleem ka sugulaste juurest, kui ühel hetkel kaustad muutusid otseteedeks, kuid oletasin, et mingi XP ja Win7 ühildamatus. Kuid täna, kui panin pulga ka oma lauaarvuti taha, siis Avast teatas viirusest ning mälupulgal olid kaustad jälle otseteedeks. Ja need otseteed ei viita mitte kuskile.

Need pealtnäha ohutud exe failid lasin ära kustutada, aga mis krdi moodi taastada kaustad ja nende sees olev sisu? Käsuviiba järgi peaksid olema kõik ikka olemas.

Mälupulga failisüsteem on NTFS.

Autor:  tudiludi [ 08 Juul 2011, 16:00 ]
Teema pealkiri:  Re: INF:AutoRun-gen3@bhv[Wrm]

Ja näiteks, kui tahan ära kustutada ntfs4dos kausta "otsetee" ja kopeerin kõvaketta pealt samanimelise kausta, siis Windows teatab, et selline kaust on juba olemas, kuid mina seda ei näe. Käsuviibas aga näitab kaustu, mitte otseteid.

Krdi müstika.

Autor:  alter [ 08 Juul 2011, 16:18 ]
Teema pealkiri:  Re: INF:AutoRun-gen3@bhv[Wrm]

Mystika jah, tuleb mälupulgalt kõik vajalik kõvakettale kopeerida ja NTFS failisüsteem üle formaatida igaks juhuks, et pahalane oleks kindlalt kadunud. Avast siis ei suutnud seda viirust täielikult eemaldada?

Autor:  tudiludi [ 08 Juul 2011, 16:28 ]
Teema pealkiri:  Re: INF:AutoRun-gen3@bhv[Wrm]

Nii, tundub, et probleem sai lahendatud. Uurisin Malwarebytesi logi lähemalt ja selgus, et nakatunud ei olnud mitte need exe failid, mis mul mälupulgal olid, vaid miski muu.

Nimelt kausta 94728631 sees olid mingid exe failid, millede nimed ühtisid nendega, mis algselt pidid olema kaustad. Näiteks üks leidudest: l:\94728631\openoffice.org 3.3 (et) installation files.exe (Trojan.Agent) -> Quarantined and deleted successfully. Tegelikult oli ühe kausta nimi "OpenOffice.org 3.3 (et) Installation Files".
Imelik.

Ja lisaks uurisin, mida tähendab /ah käsk. See näitab mingeid peidetud asju. Kuna käsuviip näitas, et mälupulgal on kaustad koos sisuga olemas, kuid mina seda ei näinud, siis oletasin, et viirus on need lihtsalt ära peitnud kuidagi. Ja sealt edasi taastasid peidetud andmed esimese ettejuhtuva taolise programmiga - USB Show -> http://ldc.mx/descargar.php?des=usbshow

P S! Kui nüüd üritan dir/ah käsuga leida asju mälupulgalt, siis enam ei näita midagi. Samas netist ei leia /ah kohta eriti midagi. :S

Autor:  alter [ 08 Juul 2011, 16:58 ]
Teema pealkiri:  Re: INF:AutoRun-gen3@bhv[Wrm]

Nimekiri kõigist varjatud exe failidest suuruse järgi: DIR /S /B /AH *.exe > C:\exefileslist.txt

http://www.wilderssecurity.com/showthread.php?t=261945

Autor:  tudiludi [ 08 Juul 2011, 17:02 ]
Teema pealkiri:  Re: INF:AutoRun-gen3@bhv[Wrm]

Need kaustad võisid olla märgistatud ka kui süsteemikaustad. Arvasin, et mul seadistatud kuvama nii peidetud, kui ka süsteemi kaustad, kuid selgus, et süsteemikaustad olid siiski peidetud.

Aga ma võtan selle tegevuse ette ka oma õe mälupulgaga, sest tema omal on täpselt sama jama. Võibolla uurin selle käigus veel midagi välja?

Autor:  valdur55 [ 08 Juul 2011, 17:03 ]
Teema pealkiri:  Re: INF:AutoRun-gen3@bhv[Wrm]

http://www.oitc.com/winnow/clamsigs/pages/table136.html
Siin on tabel, mis omab infot selle kohta, kuidas teised antivirused seda pahalast nimevatavad.

Autor:  tudiludi [ 08 Juul 2011, 21:49 ]
Teema pealkiri:  Re: INF:AutoRun-gen3@bhv[Wrm]

Asi sai selgeks. Mälupulgal on autorun.inf, mis kõik selle käivitab vist. Ning mälupulgal muudetakse kaustad süsteemikaustadeks. Seejärel luuakse mälupulgale kaust nimega 94728631 ja selle sees asuvad nakatunud exe failid, millede nimedeks on mälupulga juurkaustas olevate kaustade nimed. Ja exe faile on sama palju, kui palju on mälupulga juurkaustas kaustu.

Tollede exe failide maht on kõigil 59392 baiti. Ja need kaustade otseteed, mis tekivad kaustanimede asemele, need kas ei viita mitte kuhugi või pika mõtlemise peale avavad selle 94728631 nimelise kausta.

Avast tegi küll oma tööd. Iga kord, kui avasin 94728631 kausta, siis Avast pani selle kirstu. Kuna ma kõiki faile läbi ei lapanud ega käivitada ei üritanud, vaid panin Malwarebytesi kogu mälupulka skännima, siis Malwarebytes eemaldas kõik ära.

Viiruse eesmärk oli vist lihtsalt pahandust teha.

Autor:  valdur55 [ 09 Juul 2011, 08:44 ]
Teema pealkiri:  Re: INF:AutoRun-gen3@bhv[Wrm]

Autorun.inf toimimise võib üldse ära keelata....
Kohati selle toimimine lausa segab...

Autor:  tudiludi [ 09 Juul 2011, 17:31 ]
Teema pealkiri:  Re: INF:AutoRun-gen3@bhv[Wrm]

Probleem on lahendatud! Liigutasin lahendatud teemade hulka. :)

1. leht 1-st Kõik kellaajad on UTC + 2 tundi [ DST ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/