Мы столкнулись с проблемой вируса в нашей сети, но я не могу ее идентифицировать, поэтому мы не можем решить ее должным образом.
Симптомы заключаются в том, что вирус дублирует текстовый документ (.doc), создавая новый архив с тем же именем, но с расширением exe, и после этого вирус скрывает исходный файл.
Итак, когда пользователь нажимает на файл, он распространяется сам.
Symantec AV, похоже, может заблокировать его: каждый раз, когда вирус пытается сгенерировать exe, symantec блокирует его, но на этом этапе исходный файл уже был преобразован в скрытый, поэтому пользователь думает, что файл был удален.
Symantec идентифицирует его как простого троянского коня. Я уже запустил полную проверку, но ничего не нашел.
Я пытаюсь узнать название вируса, чтобы с ним бороться.
У кого-нибудь есть какая-то информация?
TIA,
Боб
Если одна антивирусная программа не справится с этой задачей, возьмите пару других и сканируйте с ними. Нет и, несомненно, никогда не будет ни одного продукта, который бы обнаруживал и удалял все вирусы / вредоносное ПО.
Столкнувшись с хитрым вирусом, я предпочитаю сканировать диск из другой работающей ОС. Либо добавьте этот привод в качестве второго привода на другой машине, либо используйте загрузочный компакт-диск с программным обеспечением AV на нем. Существует любое количество вирусов, от которых невозможно избавиться из работающей ОС.
Мы уже видели такое поведение в Virut и некоторых других вирусах, которые McAfee VirusScan классифицирует как Generic PWS.g.
Если вы можете получить «чистый» образец файла, вы можете загрузить его на веб-сайт, специализирующийся на сканировании образцов вирусов. Google должен предоставить список сайтов, которые это делают.
Я бы попробовал получить компакт-диск с liveboot для Linux и получить доступ к файлу таким образом, поскольку Linux не выполняет исполняемые файлы Windows (пока он не запускает WINE), а OpenOffice не должен поддерживать какие-либо необычные макросы в документах Office. Даже если это так, полезная нагрузка должна быть адекватно запутана соглашениями Linux, чтобы сделать ее невосприимчивой.
Затем я получаю файл, загружаю его на сайт, и это должно дать вам некоторое представление о том, с чем вы имеете дело.
Это не похоже на старые добрые времена, когда вирус был вирусом, был вирусом. Сегодня каждый производитель называет вирусы своими собственными обозначениями, и любое небольшое изменение внезапно превращается в новый вирус (мы ловим 18 миллиардов вирусов по сравнению с нашим конкурентом! Мы не упоминаем, что 17,9 миллиарда из них просто имеют другую опечатку!)
Если вы не знакомы с Linux, возможно, вам удастся найти кого-нибудь, у кого есть некоторый опыт работы с ним. Linux стал для нас настоящим подарком в решении подобных проблем; это как иметь тяжелый защитный костюм для обработки вредоносных программ, которые могут вывести из строя рабочую станцию Windows в случае «аварии» при попытке проанализировать ситуацию.
Локальный Macintosh также может обрабатывать документ таким образом, чтобы вы могли загрузить его в онлайн-сканер, если у вас не установлен встроенный эмулятор / виртуализатор Windows, который запускает виртуализированный сеанс Windows, щелкнув исполняемый файл, и если ваш документ использует какую-либо форму макроса и у вас установлен Office, я не знаю, попытается ли он запустить определенные макросы или нет. Опять же, его все равно должны смущать различия платформ ... если только у вас не интегрирован WINE или виртуализатор, так что вы случайно заразите свою виртуализированную среду.
Win32: AutoIt-CI
Вероятно, это название вируса, оно основано на некоторых предположениях, но, вероятно, это так.
Для таких вещей я люблю бегать HijackThis (http://free.antivirus.com/hijackthis/) на ПК. Это дает вам файл журнала, который дает подсказки относительно общих настроек, которые может были изменены. То есть может указывать на то, откуда происходит заражение ПК.
Файлы журнала можно проанализировать онлайн здесь (не принимайте этот анализ как 100% точный):
Многие форумы также смотрят логи HijackThis и дают хорошие советы.
Загрузочный компакт-диск с парой очень хороших утилит - Secured2k (доступен ниже).
http://community.mcafee.com/thread/6923
Этот загрузочный компакт-диск содержит редактор реестра и инструмент под названием "Автозапуск"из Sysinternal.
Autoruns показывает вам все возможные места автозагрузки в Windows. Я нахожу это полезным, когда вирус добавляет свой путь в раздел реестра, загружающий "Explorer.exe".