Основные признаки заражения вредоносными программами семейства Trojan-Spy.Win32.Zbot

1. В папках %windir%system32 и %AppData% появляются файлы (один или несколько):
   • ntos.exe
   • twex.exe
   • twext.exe
   • oembios.exe
   • sdra64.exe
   • lowsec\local.ds
   • lowsec\user.ds

     %windir%system32 и %AppData% это системные папки операционной системы Microsoft Windows. В зависимости от того, какая именно версия ОС установлена на вашем компьютере, путь к этим папкам меняется.
     Например, на ОС Windows Vista полные пути к этим папкам таковы: C:WindowsSystem32 и C:Users<имя_профиля>AppData. А на ОС Windows XP Professional — C:WINDOWSsystem32 и C:Documents and Settings<имя_профиля>Application Data.

2. Ссылки на указанные выше подозрительные файлы появляются в следующих ключах системного реестра:
   • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit
   • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Способы лечения зараженных систем

Лечение систем, зараженных вредоносными программами семейства Trojan-Spy.Win32.Zbot, производится с помощью утилиты ZbotKiller.exe. В ходе своей работы утилита:

• Проводит быстрое сканирование системы на наличие заражения.
• Находит и удаляет вредоносный код известных модификаций Trojan-Spy.Win32.Zbot, распространившийся в другие работающие на компьютере программы.
• Устраняет функциональность вредоносных программ, которая используется для сокрытия вредоносных файлов и процессов (rootkit).
• Удаляет вредоносные файлы и очищает системный реестр от активности троянских программ Trojan-Spy.Win32.Zbot.

Запуск утилиты ZbotKiller.exe можно производить непосредственно на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.

Локально:

1. Скачайте архив ZBotKiller_v2.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине.
2. Запустите файл ZbotKiller.exe.

   По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту ZbotKiller.exe с ключом -y.

3. Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения не требуется.

Источник : http://www.kaspersky.ru

Не так давно пользователи Windows столкнулись с целой эпидемией от вируса win32.kido.

Разные антивирусные компании определяют ее по-разному. Но в основном фигурирую 3 названия :

• win32.kido
• Win32.Worm.Downadup.Gen
• Conficker

В предыдущей статье я уже указывал основные симптомы этого вируса, среди которого падение Generic.host process и периодическое «отпадание» драйвера звука.

Хотелось бы обратить внимание на комплекс мер, предлагаемый пользователю — иначе все усилия будут просто бесполезны.

По заверениям от Microsoft третий СП закрывает дыру в уязвимости или же прдлагает наложить 3 обновления.

Но не тут то было. По описаниям деструктивной и другой деятельности новая версия червя не очень претерпела изменения, но как видимо уязвимости все же остались.

Дабы не разносить все по разным местам новые (и обновленные) утилиты  выложены в старой статье.

Вот что говорит об этом сайт Касперского :

Читать запись полностью »

Симптомы заражения в сети

1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
3. Часто вылетают звуковые драйвера.
4. Ошибка generic host process failed.
5. Блокировка адресов автоматических обновлений , антивирусов и microsoft.com

Краткое описание семейства Net-Worm.Win32.Kido.

1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<….>}RANDOM_NAME.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32zorizr.dll
3. Прописывает себя в сервисах — так же со случайным именем, состоящим из латинских букв, например knqdgsm.
4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
5. Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
   • http://www.getmyip.org
   • http://getmyip.co.uk
   • http://www.whatsmyipaddress.com
   • http://www.whatismyip.org
   • http://checkip.dyndns.org
   • http://schemas.xmlsoap.org/soap/envelope/
   • http://schemas.xmlsoap.org/soap/encoding/
   • http://schemas.xmlsoap.org/soap/envelope/
   • http://schemas.xmlsoap.org/soap/encoding/
   • http://trafficconverter.biz/4vir/antispyware/loadadv.exe
   • http://trafficconverter.biz
   • http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления

Удаление сетевого червя производится с помощью специальных утилит:

Утилита от ESET EConfickerRemover.

kidokiller_v31.

kidokiller_v333 (обновленная)

kkiller_v344 (обновленная)

Ключи для запуска утилиты KK.exe из командной строки:

Режим мониторинга потоков, заданий, сервисов.

Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме)

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:

kk.exe -r -y -l report.txt -v

А вот еще 2 утилитки

Скачать с depositfiles.com

Скачать с letitbit.net

Обновленные версии Утилиты от BitDefender :

Скачать с depositfiles

Скачать с letitbit.net

И еще утилита для Сетевого лечения:

Скачать с depositfiles

Скачать с letitbit.net

Лечит сразу несколько компьютеров в сети (требуется аутентификация)

Так же обновилось средство удаления вредоносного кода от самой Microsoft:

Скачать с depositfiles

Скачать с letitbit.net

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

• Установить патч, закрывающий уязвимость MS08-067. Линки на патчи ниже)
• Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому  — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
• Отключить автозапуск исполняемых файлов со съемных носителей.

Линки на патчи для разных ОС:

Windows XP:

Скачать с depositfiles.com

Скачать с letitbit.net

Windows XP x64 Edit:

windowsserver2003windowsxp-kb958644-x64-enu

Windows Vista:

windows60-kb958644-x86

Windows 2003 Server:

Скачать с depositfiles.com

Скачать с letitbit.net

После сканирования одной из утилит (или всемми для верности, но по идее хватит и любой из них) устанавиваем пачти из архива для Вашей ОС.

Удачи !!!

ЗЫ. От себя добавлю что на Windows Vista (SP1) и Windows 7(c WU)  эта гадость не пролезла.

ЗЫЫ. Утилиты обновлены от 14.04.09