Вы используете устаревший браузер!

Страница может отображаться некорректно.

ДЕТЕКТивы

ДЕТЕКТивы

  • добавить в избранное
    Добавить в закладки

Dr.Web-многостаночник

Прочитали: 1255 Комментариев: 47 Рейтинг: 61

Честно признаемся: лечить некомпьютерное оборудование нам доводится редко. В основном мы имеем дело с обычными ПК и мобильными гаджетами. Но иногда к нам на анализ приходят редкости – например, недавно была история со станком. А точнее, с установленным на нем ПО.

Пришел китайский станок лазерной резки. На борту ОС Windows 7.

Вставили гарантированно чистую от вирусов флешку, для копирования файлов программ со станка, принесли на рабочий ПК, получили оповещение о вирусе:

Worm.Siggen.12242 (Инфицирован) и все файлы на флешке исчезли, появился скрытый раздел. Также со станком шло ПО, на usb носителе, при попытке скопировать с него файлы дистрибутивов получили множество детектов, см. вложение.

Хорошо уже то, что на рабочих компьютерах был установлен наш корпоративный антивирус: он-то и выявил проблему.

Dr.Web-у попалась богатая коллекция, одним Worm.Siggen.12242 дело не ограничилось. Кстати, Worm – это червь, так что злоумышленник мог рассчитывать на заражение всей клиентской сети. А может и нет – просто китайский бардак.

Наша техническая поддержка сразу запросила отчет со станции и образцы вредоносного ПО на анализ:

Почему и какие файлы удалились нужно смотреть в логах со станции. Без сэмпла файла и логов мы к сожалению ничего не можем Вам сказать.

Можете собрать логи утилитой и прикрепить отчет к запросу.

Файл был перемещен в карантин – и это хорошо, так как оттуда его можно извлечь для изучения. Пользователь опасался это делать, но наш специалист его обнадежил:

Все, что Вы извлечете из карантина, по умолчанию сразу ничем не удалится. Просто извлекаете и сразу пакуете файл в архив, можно с паролем. Архив присылаете нам, файл можете после этого сразу удалить.

Естественно, извлекать нужно осторожно и только на станции без возможности запуска файла.

Анализ выявил чудесное – опять древний вирус!

Похоже это не ложное срабатывание, а старый вирус, который создает ярлыки вместо папок и скрывается файлы. Сейчас такое уже редко встречается. Судя по всему все файлы на флешке сейчас просто скрыты.

Включите в настройках отображения папок в проводнике отображение скрытых и системных файлов. Или через ком. сроку от имени администратора дайте команду

attrib -s -h -a -r E:\* /s /d

Она должна вернуть все атрибуты файлов на место.

Если флешка до этого точно была чистая, то очевидно этот вирус был записан в момент перемещения файлов со станка, а значит заражен сам станок, возможно еще с завода.

В первую очередь, если это возможно необходимо просканировать сам станок утилитой CureIt и обезвредить все найденные угрозы.

После этого пользователю были выданы ссылки на специальные утилиты Dr.Web, позволяющие выявить и пролечить проблемные места.

Кстати, параллельно клиент связался с поставщиком в Китае.

Поддержка китайцев на уровне: «это не вирус, просто отключите свой антивирус и работайте спокойно».

Что тут скажешь 😊

Вирус на станке был выявлен:

Система на станке безусловно инфицирована BackDoor.Andromeda.178.

Удаление этого файла не нанесет ущерба системе. Принесет пользу. Ну совсем на всякий случай вы можете сделать предварительно резервную копию этого файла.

Воздействие вируса на подключаемые "флэшки", состоит в записи на них вирусной программы (Worm.Siggen.12242; заражение носителя).

Кроме того вирус создает на "флэшке" каталог, у которого в качестве имени используется символ "пробел" (юникодный символ "non-breaking space"), в который вирус переносит все содержимое флэшки от корня.

Таким образом, данные не уничтожены, и даже никак не затронуты.

Все их можно найти в этом специальном каталоге.

Тот же Total Commander должен позволить увидеть и открыть эту папку, если в настройках включить отображение скрытых и системных папок/файлов.

Дальнейшее исследование станка показало, что вредоносный софт не просто там присутствовал, а заразил нужную для работы программу.

Курейт считает зараженными exe основной программы (на скриншоте выделено, находятся на диске D). Если он его удалит, у нас вместо лазерной установки груда железа.

По счастью, это был вирус, а не троян. Поэтому удаление вредоносного кода оказалось возможным (напоминаем, что отличие вирусов от троянов – в том, что в случае вирусов вредоносный код можно попытаться удалить из файла).

#антивирус #бэкап #ВКИ

Dr.Web рекомендует

  1. Старые вирусы не умирают – скорее исчезнут те системы, на которых они запускаются. Но до этого еще далеко.
  2. На компьютерах сети должен быть установлен корпоративный антивирус, в том числе отслеживающий статистику заражений. Мало ли кто и куда флешку вставит!
  3. Купили компьютер – проверьте антивирусом.
  4. «Железо» сейчас дешевое, и полноценную ОС, позволяющую запустить любой троян, можно найти в чем угодно, от принтера до унитаза.
  5. Действие по умолчанию с подозрительным объектом – в карантин. Иначе анализ файла будет невозможен.
  6. Перед лечением важных систем делайте бэкап.
  7. Верить поставщикам на слово, увы, нельзя.
  8. При возникновении проблем, подобных описанным в выпуске, обращайтесь к нам.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей