Форум АНТИЧАТ - Trojan.Win32.Autoit.fd

Цитата:

Сообщение от GlOFF

Также интересно... Нашел у себя в локалке, появляется в Share-папках но не пойму какой комп их туда бросает )

Аналогичная трабла, чем бы запалить запись в шару (Ip компа) , рассылку как я понял делает не постоянно, а раз в сутки. Вчера во всех шарах поубивали, сегодня снова разослал, после удаления из шары уже не шлёт...
P.S. Используется простой общий доступ к файлам и принтерам, без контроллера домена, AD и т.д.
пациент на VirusTotal
UP:
Начал тестить тварь в виртуалке, первая инфа:

1. Создаёт ключи реестра для своего автозапуска, в системе виден после запуска как процесс csrcs.exe запускаемый из System32.

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

"csrcs"="C:\WINNT\system32\csrcs.exe"

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe csrcs.exe"

Меняет настройки безопасности и устанавливает настройки плагинов IE

Код:

18.11.2008 12:03:27        Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение Hidden, данные 0x00000002 (2)).

18.11.2008 12:04:04        Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение Hidden, данные 0x00000002 (2)) разрешена.

18.11.2008 12:04:05        Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)).

18.11.2008 12:04:08        Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)) разрешена.

18.11.2008 12:05:43        Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация).

18.11.2008 12:05:57        Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена.

18.11.2008 12:05:57        Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация).

18.11.2008 12:05:59        Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена.

18.11.2008 12:09:47        Процесс C:\WINNT\Explorer.EXE (PID: 1212): подозрительное действие. Попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00).

18.11.2008 12:10:13        Процесс C:\WINNT\Explorer.EXE (PID: 1212): попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00) разрешена.

Пытается бороться с Антивирусом Касперского:

Цитата:

18.11.2008 12:56:31 Попытка процесса с PID 1092 получения доступа к процессу Антивирус Касперского с PID 1368 была заблокирована. Это результат срабатывания механизма самозащиты.

2. Далее использует стандартные комманды cmd:
- сначала пингует что-то (даже при откл. сетевом подключении, скорее всего пытается отстучаться).
- затем скорее всего пытается определить конфигурацию сети (c помощью ipconfig) - на данном этапе у меня был отключен сетевой адаптер - так что это только предположение из его дальнейших действий:
- поскольку класс подсети он не смог определить, стал тупо сканить по диапазону 127.0.0.2-127.0.0.255 (используя комманду net view)

продолжение следует...