Winlock — как убрать вирус без антивируса

История начинается ….   неожиданно …

Все было как обычно — заходим на сайт — ищем нужный журнал. Ссылка ведет на весьма известный файлообменник fileshare.in.ua.

Качаем.

И.

Сюрприз :)

Рамка всем известного вируса вымогателя

Отставляем панику.
Мышка кроме рамки недоступна, но клавиатура работает.
Пуск - выполнить - cmd
Дальше команда списка процессов :
tasklist
или поэкранно :
tasklist | more
Видим нечто необычное :
0.3534388206875574.exe
Дальше команда снятия процесса :
taskkill /F /IM 0.3534388206875574.exe
Рамка пропала.
Но курсор все так же в области рамки.
Дальше я снял еще пару процессов, в том числе и :
taskkill /F /IM java.exe
Закрыл консоль (cmd).
Все встало на свои места.
Дальше стандартно. Сканер + антивирус.
Как ни странно антивирус (Microsoft Security Essentials) увидел эту «заразу» :


Но вот в чем вопрос : Почему он не пресек это на этапе загрузки ?
Дальше сканер :

Все. Очищаем остатки — перезагружаемся.
А все могло быть намного хуже. Например, если сразу перезагрузить компьютер — то вместо рабочего стола только рамка. Тогда только LiveCD и поиск тела и остатков вируса.
Мораль : не паникуйте раньше времени — иногда вирус можно убрать даже без помощи антивируса.

Новый ICQ вирус

Сам не получал такого, скорее всего из-за того, что пользуюсь не ICQ , а интернет пейджером Trillian.

Но из разных источников начала приходить информация, что от друзей и знакомых приходит входящий файл Snatch.exe.

Это якобы игрушка.

На самом деле это программа кейлоггер (keylogger) — Trojan.Win32.Snatch.

Будьте аккуратны и не принимайте файлы от незнакомых (а от знакомых обязательно проверяйте антивирусом).

После запуска этого файла, доступ к учетной записи ICQ блокируется, а теперь с Вашего номера пойдет рассылка этого файла по всему Вашему списку контактов.

Пароль к учетной записи так же придется восстанавливать через систему утерянных паролей.

3 свежих троянца

Вирусописатели, а так же их родители.

Пам пам , парам пам !

Публикую тройку свежих троянцев по версии securitylab :

1.Trojan.Win32. Zum

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на Visual Basic.
Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows под следующим именем:
%WinDir%\Systray32.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свою копию в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Systray32.exe»=»%WinDir%\Systray32.exe»

Деструктивная активность

При запуске троянец отбражает свое окно:

При наведении на него курсора мыши, троянец открывает в браузере установленном по умолчанию следующую ссылку:
http://www.fu***rld2000.de/

2.Trojan.Win32. Oficla.m

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.

Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\<rnd>.tmp
Где <rnd> — случайная цифра.

Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3079141585b787f8d1
Троянец запускает процесс «svchost.exe» и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:
http://fact***od.ru/microsoft/bb.php
На момент создания описания ссылка не работала.

Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.

Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем:
%System%\<rnd>.<rnd>
Где <rnd> — случайная последовательность букв латинского алфавита, например «rihd.pno».

Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe rundll32.exe %System%\<rnd>.<rnd>»

3.Trojan.JS. Fraud.ae

Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 8607 байт.

Деструктивная активность

Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файлах с именами «vaq1k90d2j.fff» и «wzx2j98d2j.fff». Данные файлы размещаются в корневом каталоге на сервере злоумышленника. Далее троянец прорисовывает в браузере окно «Проводника» и затем имитирует полное сканирование компьютера на наличие вредоносных файлов:

Троянец импортирует список строк, которые представляют собой полные пути к системным файлам и произвольные детекты вредоносных объектов, из стороннего файла-скрипта, который размещается на сервере злоумышленника. Далее лжеантивирус предлагает пользователю выполнить лечение зараженных объектов:

После нажатия на кнопки «Лечить все», «Включить защиту» – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платный номер «1350»


Если введенный код – меньше 6 символов, троянец выдает сообщение:

Если введенный код удовлетворяет всем условиям – вредонос осуществляет HTTP запрос по следующей ссылке:
http://<X>/enter.php?code=<введенный_код>
&checkcode=1&rand=<rnd2>
где X – доменное имя сервера злоумышленника, rnd2 – случайное число. На момент создания описания ссылка не работала.

При закрытии окна браузера, троянец выводит сообщение:

Новый зарядник от Energizer с вирусом ?

Прочитал интересную новость на Securitylab.ru в новом заряднике пальчиковых аккумуляторов от Energizer. Как сообщается в ПО, идущем в комплекте содержится вредоносный код троянца. Как всегда отличилась Windows — троянец работает только под этой ОС.  Зарядное устройство работает от USB порта и для его корректной работы требуемое ПО должно быть установлено.

Вредоносный код, присутствующий в устройстве, предназначен для операционной системы Windows и передается на компьютер вместе с управляющим ПО для отображения статуса зарядки аккумулятора. При попадании в компьютер, создается файл Arucer.dll, который привязывается к порту 7777 и принимает через него дальнейшие исполнительные файлы. Троян загружается при каждом включении ПК и остается активным даже когда зарядное устройство уже не подключено к компьютеру.US-Cert рекомендовала пользователям вручную удалить файл Arucer.dll из папки System32 и перегрузить компьютер. Сама Energizer также удалила управляющее ПО со своего сайта. В заявлении компании говорится, что в памяти заурядного устройства находится еще и версия управляющего ПО для Mac OS X. Она не содержит вредоносного программного обеспечения.

Думается мне антивирусы уже имеют в своей базе сигнатуры для этого троянца, но от этого жить становится не легче. В какую бытовую технику на этот раз будет внедрен вредоносный код ? В микроволновку с подключением по ethernet ?

Неплохой сайт elfmoney.ru, где можно купить кинары айон. Быстрая доставка. Удобный сервис.

Dropper.X(Autorunner) — обновление.

После отправки письма ESET’овцам утром, к вечеру результат не заставил себя ждать :

Снимок

Nod32 уже внес его в базу и успешно детектится.

Свежий червь Dropper.X(Autorunner)

Сегодня обнаружил свежую модификацию червя Dropper.X(Win32.HLLW.Autoruner.4360)

Основные симптомы:

Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ — дропперов.

При заражении червь делает exe-файлы по названию папок, хранящихся на флеш-носителе.

Самим папкам присваивается атрибут  «скрытый».

Как и обычно , в случае таких червей формируется файлик Autorun.inf, который запускает тело червя

при активации сменного носителя (когда Вы вставляете флешку).

В папке C:\windows\system32 у меня создалась папка 42B8D4 и в ней файл 649FA9.exe

Ручное Лечение:

-удалить exe файлы совпадающие с именами папок

-удалить Autorun.inf

-вернуть атрибуты папкам

-проверить папку C:\windows\system32\ на наличие несистемных папок.

Автоматическое Лечение:

-скачать утилиту от Dr.Web — CureIT и проверить компьютер.

скачать с depositfiles.com

Прочитать больше