روش از بین بردن ویروس Win32/Serpip.A

Printable View

2012-07-12, 12:26 PM
mehdi_zx

روش از بین بردن ویروس Win32/Serpip.A

سلام در تاریخ 2012/7/10 یک ویروس منتظر شده به نام Win32/Serpip.A این ویروس خودشو به فایلهای exe می چسبانه و باعث میشه اون فایل انتی ویروس ویرئس بشناسش F:\kes8.1.0.831_wksfswin_en.exe - Win32/Serpip.A virus - cleaned - quarantined و فایل exe را quarantined ببره من تو سایت esat یک مطلب دیدم
[TABLE="class: header"]
[TR]
[TD][h=1]Threat Encyclopaedia[/h][/TD]
[TD="class: links"]Print this page[URL="http://www.eset.eu/buxus/generate_page.php?page_id=320&rp_id=40613"]Send[/URL][/TD]
[/TR]
[/TABLE]
[h=1]Win32/Serpip.A[/h]
[TABLE]
[TR]
[TD] [TABLE]
[TR]
[TD="width: 200"]Aliases:[/TD]
[TD]Worm.Win32.Fipp.a (Kaspersky), Virus:Win32/Morto.A (Microsoft), W32.Morto.B (Symantec), W32/Pift (McAfee) [/TD]
[/TR]
[TR]
[TD="width: 200"]Type of infiltration:[/TD]
[TD]Virus [/TD]
[/TR]
[TR]
[TD="width: 200"]Size:[/TD]
[TD]47 KB [/TD]
[/TR]
[TR]
[TD="width: 200"]Affected platforms:[/TD]
[TD]Microsoft Windows [/TD]
[/TR]
[TR]
[TD="width: 200"]Signature database version:[/TD]
[TD]7286 (20120710) [/TD]
[/TR]
[/TABLE]
[/TD]
[/TR]
[/TABLE]

[h=3]Short description[/h] Win32/Serpip.A is a file infector. [h=3]Installation[/h] When executed, the virus moves the following files (source, destination):
[LIST][*]%system%\wmicuclt.exe, %system%\wmicuclt[/LIST]

The virus creates copies of the following files (source, destination):
[LIST][*]%system%\wscript.exe, %system%\wmicuclt.exe[/LIST]

The virus modifies the following file:
[LIST][*]%system%\wmicuclt.exe[/LIST]

The virus writes the program code of the malware into the file.

The virus registers itself as a system service using the following name:
[LIST][*]Remote Access Connection Service (%system%\wmicuclt.exe)[/LIST]

The following Registry entries are created:
[LIST][*][HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
360rp]
"Start" = 4[*][HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
zhudongfangyu]
"Start" = 4[*][HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
ekrn]
"Start" = 4[/LIST]

The virus creates and runs a new thread with its own program code within the following processes:
[LIST][*]svchost.exe[/LIST]

[h=3]Executable file infection[/h] Win32/Serpip.A is a file infector.

The virus searches for executables with one of the following extensions:
[LIST][*].exe[/LIST]

Executables are infected by appending the code of the virus to the last section.

The size of the inserted code is 47 KB.

The host file is modified in a way that causes the virus to be executed prior to running the original code.

The virus inserts the following text/marker into the header of the infected executable files:
[LIST][*]PPIF[/LIST]

The marker is used to determine whether the file is already infected or not. [h=3]Spreading[/h] Win32/Serpip.A is a virus that spreads via shared folders.

The virus tries to copy itself into shared folders of machines on a local network.

The following usernames are used:
[LIST][*]administrator[*]admin[*]user[*]test[/LIST]

The following passwords are used:
[LIST][*]0[*]1[*]3[*]3.1415926[*]7[*]12[/LIST]

If it succeeds, the virus creates copies of the following files (source, destination):
[LIST][*]\\%hostname%\ADMIN$\system32\wscript.exe,
\\%hostname%\ADMIN$\system32\wmicuclt.exe[/LIST]

It infects the following files:
[LIST][*]\\%hostname%\ADMIN$\system32\wmicuclt.exe[/LIST]

The file is then remotely executed.

The virus registers itself as a system service using the following name:
[LIST][*]Remote Access Connection Service (wmicuclt.exe)[/LIST]

[h=3]Other information[/h] The virus connects to the following addresses:
[LIST][*]d.ppns.info[*].e.ppift.net.[*].e.ppift.com.[*].e.ppift.in.[/LIST]

The virus can download and execute a file from the Internet.

The virus may create and run a new thread with its own program code within any running process.

The virus may delete the following Registry entries:
[LIST][*][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run]
"V3 Session Process"
"MSC"
"F-Secure Manager"
"F-Secure TNB"
"a-squared"
"IKARUS-GuardX"
"ShStatEXE"
"Sophos AutoUpdate Monitor"
"AVP"
"AVG_TRAY"
"egui"
"360sd"
"360Tray"
"G Data AntiVirusTray Application"
"BDAgent"
"BitDefender Antiphishing Helper"
"avgnt"
"kxesc"
"Trend Micro Client Framework"
"RavTRAY"
"APVXDWIN"[*][HKEY_USERS\%variable%\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run]
"V3 Session Process"
"MSC"
"F-Secure Manager"
"F-Secure TNB"
"a-squared"
"IKARUS-GuardX"
"ShStatEXE"
"Sophos AutoUpdate Monitor"
"AVP"
"AVG_TRAY"
"egui"
"360sd"
"360Tray"
"G Data AntiVirusTray Application"
"BDAgent"
"BitDefender Antiphishing Helper"
"avgnt"
"kxesc"
"Trend Micro Client Framework"
"RavTRAY"
"APVXDWIN"[/LIST]

A string with variable content is used instead of %variable%.
ولی روش از بین بردنش ننوشته بود ممنون می شوم یکی راهنمای کنه برای از بین بردن این ویروس چی کار می شه کرد

[h=1][/h]
2012-07-12, 08:03 PM
mehdi_zx

دوستا یک کمک می کنند این ویروس جدیدا منتشر شده و به کلیه فایلهای exe میچسبه و باعث ازبین رفتن اون فایل می شه دوستان تو شبکه ای این ویروس نیفتاده از مدیران انجمن خواهشمند هستم برای از بین بردن این ویروس راه کاری ارعه بدن با تشکر
2012-07-12, 08:50 PM
th95

یکی از فایلهای آلوده شده رو فشرده کنید (با Winrar) رمز هم روش بذارید و اپلود کنید تا ما هم بررسی کنیم
2012-07-13, 06:00 PM
mehdi_zx

متاسفانه همون طور که شما گفتین دارم این کارو می کنم یک فایلی که از شرکت به خانه اوردم حجمش زیاده و قابل اپلود نیست ولی حتما این کار را م یکنم دقیقا این ویروس دونوع فعالیت داره یکی تمامی فایلهای exe را به عنوان ویروس می شناسه و می بره در قسمت قرطینه ولی اگر فایل از قرطینه خارج کنی فایل قابل درست هست ولی باز ویروسی هست و دومین مشکلی که تو شبکه به وجود اورده remote desktop غیر فعال می کنه هرچی تو فرم های و گوگل سرچ کردم مطلبی گیرم نیامد جز اونی که تو سایت esat گفته بود من برام مهم نیست فایل اجرای را به عنوان ویروس می شناسه می خواهم بدانم که جه طوری باید پاکش کرد از شبکه چون هر چی کار کنی تو شبکه با وجود این ویروس می شه دوباره کاری ممنون می شوم دوستان و اساتید بنده یک جستجوی در این مورد بکنند به ببیند روشی برای از بین بردن این ویروس هست
2012-07-15, 09:07 PM
mehdi_zx

[url=http://s3.picofile.com/file/7437855585/Firefox_Setup_13_0_1.rar.html]Firefox Setup 13.0.1[/url]
این مرورکر فایر فاکس هست که به این ویرس الوده شده پسورد فایل persian
2012-07-15, 11:14 PM
Hakimi

فایل کم حجم تر نداشتین؟!
یه فایل چند کیلوبایتی بذارین که بشه درست بررسی کرد.

تکمیل:
این هم یک ویروس است مانند بقیه ویروس ها و نکته خاصی ندارد. فقط Antivirus تان باید مناسب و به روز باشد تا بتواند آن را شناسایی و فایل های ویروسی را پاک کند. برای نمونه آنتی ویروس های محصول Microsoft به خوبی آن را می شناسند و ویروس را از فایل جدا کرده و حذف می کنند.
[url]http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Virus%3aWin32%2fMorto.A&threatid=2147658559[/url]
2012-07-16, 12:12 AM
elaheee

آنتی ویروس که اینو شناسائی میکنه !
کسپر و نورتون

برای پاک کردن به صورت دستی هم فایلهای رجیستری معرفی شده در سایت eset رو اپک کنید
سایتهایی که بهشون لاگین میکنه رو با آی پی لوکال به فایل هاست خودتون اضافه کنید
فایلهایی هم که ایجاد میکنه رو پاک کنید
2012-07-16, 08:23 AM
mehdi_zx

شناسایی می شه ولی قدرت از بین بردنش نداره یعنی اگر فایل Exe توسط این ویروس الوده بشه قدرت اینکه سالم کنه اون فایل ویروسی را نداره و قسمت سالم از قسمت الوده جدا کنه انتی ویرس اون فایل را به عنوان ویروس می شناسه و اون فایل دیگه قابل استفاده نیست و ریموت دسکتاب غیر فعال می کنه در کل به این اسونی از بین نمی ره
2012-07-16, 08:36 AM
Hakimi

همانطور که عرض کردم آنتی ویروس های محصول مایکروسافت مانند Security Essentials و Forefront Endpoint Protection قدرت پاکسازی فایل ویروسی را دارند.
2012-07-16, 10:03 AM
Star-x

[URL]http://free.avg.com/za-en/remove-serpip[/URL]
من که نتونستم وارد بشم، شما اگه تونستی خوش بحالت!