Winlock — как убрать вирус без антивируса

История начинается ….   неожиданно …

Все было как обычно — заходим на сайт — ищем нужный журнал. Ссылка ведет на весьма известный файлообменник fileshare.in.ua.

Качаем.

И.

Сюрприз :)

Рамка всем известного вируса вымогателя

Отставляем панику.
Мышка кроме рамки недоступна, но клавиатура работает.
Пуск - выполнить - cmd
Дальше команда списка процессов :
tasklist
или поэкранно :
tasklist | more
Видим нечто необычное :
0.3534388206875574.exe
Дальше команда снятия процесса :
taskkill /F /IM 0.3534388206875574.exe
Рамка пропала.
Но курсор все так же в области рамки.
Дальше я снял еще пару процессов, в том числе и :
taskkill /F /IM java.exe
Закрыл консоль (cmd).
Все встало на свои места.
Дальше стандартно. Сканер + антивирус.
Как ни странно антивирус (Microsoft Security Essentials) увидел эту «заразу» :


Но вот в чем вопрос : Почему он не пресек это на этапе загрузки ?
Дальше сканер :

Все. Очищаем остатки — перезагружаемся.
А все могло быть намного хуже. Например, если сразу перезагрузить компьютер — то вместо рабочего стола только рамка. Тогда только LiveCD и поиск тела и остатков вируса.
Мораль : не паникуйте раньше времени — иногда вирус можно убрать даже без помощи антивируса.

Новый ICQ вирус

Сам не получал такого, скорее всего из-за того, что пользуюсь не ICQ , а интернет пейджером Trillian.

Но из разных источников начала приходить информация, что от друзей и знакомых приходит входящий файл Snatch.exe.

Это якобы игрушка.

На самом деле это программа кейлоггер (keylogger) — Trojan.Win32.Snatch.

Будьте аккуратны и не принимайте файлы от незнакомых (а от знакомых обязательно проверяйте антивирусом).

После запуска этого файла, доступ к учетной записи ICQ блокируется, а теперь с Вашего номера пойдет рассылка этого файла по всему Вашему списку контактов.

Пароль к учетной записи так же придется восстанавливать через систему утерянных паролей.

3 свежих троянца

Вирусописатели, а так же их родители.

Пам пам , парам пам !

Публикую тройку свежих троянцев по версии securitylab :

1.Trojan.Win32. Zum

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на Visual Basic.
Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows под следующим именем:
%WinDir%\Systray32.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свою копию в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Systray32.exe»=»%WinDir%\Systray32.exe»

Деструктивная активность

При запуске троянец отбражает свое окно:

При наведении на него курсора мыши, троянец открывает в браузере установленном по умолчанию следующую ссылку:
http://www.fu***rld2000.de/

2.Trojan.Win32. Oficla.m

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.

Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\<rnd>.tmp
Где <rnd> — случайная цифра.

Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3079141585b787f8d1
Троянец запускает процесс «svchost.exe» и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:
http://fact***od.ru/microsoft/bb.php
На момент создания описания ссылка не работала.

Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.

Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем:
%System%\<rnd>.<rnd>
Где <rnd> — случайная последовательность букв латинского алфавита, например «rihd.pno».

Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe rundll32.exe %System%\<rnd>.<rnd>»

3.Trojan.JS. Fraud.ae

Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 8607 байт.

Деструктивная активность

Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файлах с именами «vaq1k90d2j.fff» и «wzx2j98d2j.fff». Данные файлы размещаются в корневом каталоге на сервере злоумышленника. Далее троянец прорисовывает в браузере окно «Проводника» и затем имитирует полное сканирование компьютера на наличие вредоносных файлов:

Троянец импортирует список строк, которые представляют собой полные пути к системным файлам и произвольные детекты вредоносных объектов, из стороннего файла-скрипта, который размещается на сервере злоумышленника. Далее лжеантивирус предлагает пользователю выполнить лечение зараженных объектов:

После нажатия на кнопки «Лечить все», «Включить защиту» – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платный номер «1350»


Если введенный код – меньше 6 символов, троянец выдает сообщение:

Если введенный код удовлетворяет всем условиям – вредонос осуществляет HTTP запрос по следующей ссылке:
http://<X>/enter.php?code=<введенный_код>
&checkcode=1&rand=<rnd2>
где X – доменное имя сервера злоумышленника, rnd2 – случайное число. На момент создания описания ссылка не работала.

При закрытии окна браузера, троянец выводит сообщение:

Подмена MAC-адресов

В последнее время все больше участились вирусные атаки подменяющие MAC-адреса.

Я долго не задавался целью поискать с какой же целью пишуться такие вирусы.

Сегодня пришло время восполнить и этот пробел.

Сначала немного теории :

Как работает интернет ?

На такой вопрос не так просто ответить. Как например открывается сайт mail.ru ?

Я не буду вдаваться слишком подробно в работу протокола TCP/IP, а обозначу основные моменты.

Пользователь набирает адрес в браузере (Opera, Mozilla Firefox, Internet Explorer и т.д) адрес (mail.ru), браузер в свою очередь  очередь  пытается определить какой IP адрес соответствует этому имени (служба , которая за это отвечает DNS — Domain Name Service), и отправляет DNS запрос, DNS сервер выдает что адресу mail.ru соответствуют IP-адреса :

217.69.128.45
217.69.128.41
217.69.128.42
217.69.128.43
217.69.128.44
Несколько адресов могут соответствовать одному имени (работают несколько серверов, для снижение нагрузки). После этого браузер получает данные и открывает пользователю страничку.

Вот тут остановимся на несколько минут — еще существует файл hosts в папке c:\windows\system32\drivers\etc\ — в нем записаны некоторые соответствия — это сделано для того, чтоб ускорить работу и не запрашивать у сервера имен уже достоверно известные адреса.

По-умолчанию там одна запись вида 127.0.0.1 localhost — что означает что локальной машине по-умолчанию соответствует IP-адрес 127.0.0.1.

Ранее я писал про вирусы , которые модифицируют этот файл и записывают туда фейковые адреса для известных ресурсов (mail.ru, vkontakte.ru, odnoklassniki.ru).

Для чего же все эти старания ?

Все очень просто — злоумышленник копирует полностью дизайн известного сайта, и вносит изменения в этот файл — адрес в строке адреса браузера выглядит, как настоящий, но IP адрес не тот , а адрес злоумышленника. Когда пользователь открывает страничку он не подозревает о подмене и вводит свои учетные данные (Логин/пароль), которые отправляются прямиком в лапы злодею :).

В случае подмены MAC адресов происходит то же самое. Вирус подменяет адрес шлюза (чаще адрес ДНС сервера) своим. И может раздавать пользователям неверные данные и пересылать их вместо популярных ресурсов на поддельные.

Как же бороться с такими вирусами ?

Дело в том, что чаще всего запрос инициируется с другой машины и пользователь у себя ничего не видит. Вируса на его компьютере тоже нет. И антивирус ничего не находит.

Во-первых   — поставьте атрибут «только чтение» на файл hosts  и регулярно просматривайте его содержимое на предмет наличия в нем посторонних записей.

Во-вторых — сделайте небольшой .bat файл и поместите его в автозагрузку.

Содержимое этого файла :

arp -d xxx.xxx.xxx.xxx
arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm

Где xxx.xxx.xxx.xxx IP-адрес Вашего шлюза (ДНС) провайдера
а mm-mm-mm-mm-mm-mm — это физический адрес (MAC-адрес) этого IP-адреса.

Правда существует и один недостаток — если у провайдера поменяется IP-адрес, сетевая карта или MAC-адрес — Вам нужно снова поправить этот файлик.

Разберем что же он делает :

arp -d xxx.xxx.xxx.xxx — удалит динамическую запись в arp-кеше.

arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm — добавит новую привязку статическую с заранее известным MAC адресом и сделает привязку — после этого вирус не сможет заставить Ваш компьютер воспринимать «чужие» адреса вместо положенных.

Да, чуть не забыл — как же узнать этот самый MAC адрес ?

В момент , когда все работает правильно и сбоев нет — выполните — Пуск- выполнить — cmd — Ок.

Появится черное окошко. Наберите :

arp -a

Это выведет все адреса и МАК-адреса соседних компьютеров, которые общались с Вашим (в том числе и провайдеровские).

Вопросы можно задавать в комментариях к этой статье.

Antivirus Soft — лекарство или вирус ?

На днях увидел новое творение вирусописателей.

Изощренность которых похоже не имеет границ.

На чем основывались предыдущие версии различных Win-lock вирусов ? На том, что экран закрывал большой баннер, мешающий работе или просто окно блокировало все доступы к интернет.

Но как говорится — время не стоит на месте. И люди, увидев знакомую картину уже не спешат расставаться с кровно заработанными денежками и отсылать смс.

Нужен новый шаг и новый подход.

И новый антивирус.

Именно таким представляется наш новый «пациент».

И имеет соответствующее название — Antivirus Soft.

Как видно на скриншоте выше — все признаки борьбы с вирусами. И значек , похожий на Щит Windows. Только немного измененный. Прочитать больше

Советуем так же посмотреть:

дуэт Виттория

USB загрузка — 4 в 1

Продолжаем развивать тему загрузочного USB накопителя. Сегодня хочу представить Вам Уже готовый ISO образ загрузочной флешки.

Основой для данного образа послужила Linux система slax 6.1.2.

Итак что имеется «на борту»:

Меню загрузки:

  • KDE slax 6.1.2
  • Vesa mode slax 6.1.2
  • Text mode slax 6.1.2
  • PXE server на базе slax
  • Тест памяти memtest86
  • Acronis Image Home 2009
  • Dr. Web Live CD (обновки по 16.08.2009)
  • Avira Rescue Disk (обновки по 14.01.2010)
  • Kaspersky Rescue Disk (обновки по 16.05.2009)

Размер образа 480 Мб.

Скачать с depositfiles.com

Скачать с letitbit.net

Берем флешку объемом более 512 Мб, и записывем программой Unetbootin .

Чтобы обновить базы  — нужно перезалить соответствующие папки и файлы из более свежих дистрибутивов.

И немного подробнее о самой slax 6.1.2:

Прочитать больше

Windows Update

В последнее время стали задавать вопросы :

  • почему все заплатки стоят , а Конфикер все равно лезет ?
  • почему обновился, а антивирус находит вирус ?
  • убиваю вирус , а через некоторое время все начинается сначала ?
  • 3 сервис пак закрывает «дыру» в безопасности, но антивирус находит вирус ?
  • удалил вирус , поставил патчи, а звук все равдно «падает» ?
  • периодически появляется ошибка Windows Critical или Generic host process error  — даже если ничего не делаю, при этом патчи СП3 установлены ?

Эти и многие вопросы задаются неоднократно. Но и объяснить их так же несложно. Вирус Net-Worm.Win32.Kido.ip/Win32.Worm.Downadup.Gen/Conficker (это основные названия червя) полиморфный — т.е. постоянно изменяет свой код. И со времен первых патчей и заплаток прошло довольно много времени.

Чтобы не задумываться , что нас ждет завтра и какие разновидности данного червя предстоит увидеть — я рекомендую обновиться при помощи службы Windows Update.

Многие проблемы действительно снимаются. И не только те, что связаны непосредственно с действиями вируса.

Я выбрал все обновления безопасности , начиная по дате с момента выхода 3 сервис пака.

Скачать с Depositfiles.com

Скачать с letitbit.net

В архиве 28 обновлений. Многие из них требуют перезагрузки — не советовал бы откладывать. Обновляться 28 раз — довольно муторно — поэтому все-таки советую обновиться с Windows Uppdate, но если это по каким то причинам (:)) Вам не подходит, то воспользуйтесь архивом.

Обновленный preSP4 для WindowsXP :

Скачатьс depositfiles.com

Сетевые черви Net-Worm.Win32.Kido.ip/Win32.Worm.Downadup.Gen/Conficker

Не так давно пользователи Windows столкнулись с целой эпидемией от вируса win32.kido.

Разные антивирусные компании определяют ее по-разному. Но в основном фигурирую 3 названия :

  • win32.kido
  • Win32.Worm.Downadup.Gen
  • Conficker

В предыдущей статье я уже указывал основные симптомы этого вируса, среди которого падение Generic.host process и периодическое «отпадание» драйвера звука.

Хотелось бы обратить внимание на комплекс мер, предлагаемый пользователю — иначе все усилия будут просто бесполезны.

По заверениям от Microsoft третий СП закрывает дыру в уязвимости или же прдлагает наложить 3 обновления.

Но не тут то было. По описаниям деструктивной и другой деятельности новая версия червя не очень претерпела изменения, но как видимо уязвимости все же остались.

Дабы не разносить все по разным местам новые (и обновленные) утилиты  выложены в старой статье.

Вот что говорит об этом сайт Касперского : Прочитать больше

Сетевые черви Net-Worm.Win32.Kido/Conficker.AA(win32/Conficker.AE)

Симптомы заражения в сети

  1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  3. Часто вылетают звуковые драйвера.
  4. Ошибка generic host process failed.
  5. Блокировка адресов автоматических обновлений , антивирусов и microsoft.com

Краткое описание семейства Net-Worm.Win32.Kido.

  1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<….>}RANDOM_NAME.vmx
  2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32zorizr.dll
  3. Прописывает себя в сервисах — так же со случайным именем, состоящим из латинских букв, например knqdgsm.
  4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
  5. Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
    • http://www.getmyip.org
    • http://getmyip.co.uk
    • http://www.whatsmyipaddress.com
    • http://www.whatismyip.org
    • http://checkip.dyndns.org
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://trafficconverter.biz/4vir/antispyware/loadadv.exe
    • http://trafficconverter.biz
    • http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления

Удаление сетевого червя производится с помощью специальных утилит:

Утилита от ESET EConfickerRemover.

kidokiller_v31.

kidokiller_v333 (обновленная)

kkiller_v344 (обновленная)

Ключи для запуска утилиты KK.exe из командной строки:

Параметр

Описание

-p <путь для сканирования>

Cканировать определённый каталог.

-f

Cканировать жёсткие диски.

-n

Cканировать сетевые диски.

-r

Cканировать flash-накопители.

-y

Не ждать нажатия любой клавиши.

s

«Тихий» режим (без чёрного окна консоли).

-l <имя файла>

Запись информации в лог-файл.

-v

Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)

z

Восстановление служб

· Background Intelligent Transfer Service (BITS),

· Windows Automatic Update Service (wuauserv),

· Error Reporting Service (ERSvc/WerSvc)

Восстановление возможности показа скрытых и системных файлов.

a

Отключение автозапуска со всех носителей.

m

Режим мониторинга потоков, заданий, сервисов.

-j

Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме)

-help

Получение дополнительной информации об утилите.

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:

kk.exe -r -y -l report.txt -v

А вот еще 2 утилитки

Скачать с depositfiles.com

Скачать с letitbit.net

Обновленные версии Утилиты от BitDefender :

Скачать с depositfiles

Скачать с letitbit.net

И еще утилита для Сетевого лечения:

Скачать с depositfiles

Скачать с letitbit.net

Лечит сразу несколько компьютеров в сети (требуется аутентификация)

Так же обновилось средство удаления вредоносного кода от самой Microsoft:

Скачать с depositfiles

Скачать с letitbit.net

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

  • Установить патч, закрывающий уязвимость MS08-067. Линки на патчи ниже)
  • Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому  — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
  • Отключить автозапуск исполняемых файлов со съемных носителей.

Линки на патчи для разных ОС:

Windows XP:

Скачать с depositfiles.com

Скачать с letitbit.net

Windows XP x64 Edit:

windowsserver2003windowsxp-kb958644-x64-enu

Windows Vista:

windows60-kb958644-x86

Windows 2003 Server:

Скачать с depositfiles.com

Скачать с letitbit.net

После сканирования одной из утилит (или всемми для верности, но по идее хватит и любой из них) устанавиваем пачти из архива для Вашей ОС.

Удачи !!!

ЗЫ. От себя добавлю что на Windows Vista (SP1) и Windows 7(c WU)  эта гадость не пролезла.

ЗЫЫ. Утилиты обновлены от 14.04.09