Новый зловред

[Shaulin 0]

Обнаружил чисто интуитивно зловреда ака Packed.Win32.Klone.bj (по версии KAV), который блокировал работу целого отдела (20 компьютеров). Отправил экземпляр на Symantec Security Response для анализа. Пока ничего.

Кирилл что делать?

[Pavel Polyanskiy 65]

Symantec обнаруживает его как W32SillyFDC, но

могут быть вариации, которые не добавлены в базы.

Если отправили сэмпл, то скоро будет "лекарство".

[Кирилл Керценбаум 671]

Shaulin отправляли по ссылке с указанием Support ID? Пришел номер тикета? Если пришел, звоните в Тех. Поддержку, указывайте этот тикет, инженер SSRC должен вам помочь

[MKR 0]

+1, в Symantec отправил

Антивирус Версия Обновление Результат

a-squared 4.5.0.24 2009.07.15 Packed.Win32.Klone!IK

AhnLab-V3 5.0.0.2 2009.07.15 -

AntiVir 7.9.0.215 2009.07.15 SPR/AutoIt.Gen

Antiy-AVL 2.0.3.7 2009.07.15 Packed/Win32.Klone.gen

Authentium 5.1.2.4 2009.07.15 W32/Worm.AMAI

Avast 4.8.1335.0 2009.07.14 -

AVG 8.5.0.387 2009.07.15 -

BitDefender 7.2 2009.07.15 -

CAT-QuickHeal 10.00 2009.07.15 Trojan.Agent.ATV

ClamAV 0.94.1 2009.07.15 Trojan.Autoit-72

Comodo 1659 2009.07.15 -

DrWeb 5.0.0.12182 2009.07.15 Win32.HLLW.Autoruner.based

eSafe 7.0.17.0 2009.07.14 Win32.SPRAutoIt

eTrust-Vet 31.6.6616 2009.07.15 -

F-Prot 4.4.4.56 2009.07.14 -

F-Secure 8.0.14470.0 2009.07.15 Packed.Win32.Klone.bj

Fortinet 3.120.0.0 2009.07.15 W32/Autorun.BJ!worm

GData 19 2009.07.15 -

Ikarus T3.1.1.64.0 2009.07.15 Packed.Win32.Klone

Jiangmin 11.0.706 2009.07.15 -

K7AntiVirus 7.10.792 2009.07.14 Packed.Win32.Klone.bj

Kaspersky 7.0.0.125 2009.07.15 Packed.Win32.Klone.bj

McAfee 5676 2009.07.14 W32/Autorun.worm.bz.gen

McAfee+Artemis 5676 2009.07.14 W32/Autorun.worm.bz.gen

McAfee-GW-Edition 6.8.5 2009.07.15 Riskware.AutoIt.Gen

Microsoft 1.4803 2009.07.15 Worm:AutoIt/Renocide.gen!C

NOD32 4245 2009.07.15 Win32/Packed.Autoit.Gen

Norman 6.01.09 2009.07.15 Smalltroj.PKPZ

nProtect 2009.1.8.0 2009.07.15 Trojan/W32.Klone.725416

Panda 10.0.0.14 2009.07.14 Trj/CI.A

PCTools 4.4.2.0 2009.07.14 -

Prevx 3.0 2009.07.15 High Risk Worm

Rising 21.38.22.00 2009.07.15 -

Sophos 4.43.0 2009.07.15 Mal/Generic-A

Sunbelt 3.2.1858.2 2009.07.15 -

Symantec 1.4.4.12 2009.07.15 -

TheHacker 6.3.4.3.367 2009.07.14 -

TrendMicro 8.950.0.1094 2009.07.15 -

VBA32 3.12.10.8 2009.07.15 Trojan.Autoit.FINT

ViRobot 2009.7.15.1837 2009.07.15 -

VirusBuster 4.6.5.0 2009.07.14 Trojan.Klone.BAA

[Андрей-001 1099]

Packed.Win32.Klone.bj клонирует самого себя на переносные носители:

Месторасположение:

- системный диск C:\WINDOWS\system32\csrcs.exe

- системный диск C:\owpboy.exe//PE_Patch.UPX//UPX - реализован в виде иконки-мониторчика

- прыг на флешку F:\sushvv.exe//PE_Patch.UPX//UPX

Паковка каждого - //PE_Patch.UPX//UPX

Благодатная среда обитания - сетевые группы госучреждений.

Недавно я обнаружил подобную колонию owpboyчиков в учреждении здравохранения.

Естественно у всех пользователей этой сети и дома такая же картина.

[MKR 0]

Выпущено обновление, определяется как W32.Harakit