Суббота, 27.04.2024, 21:28
Приветствую Вас Гость | RSS
Меню сайта
Форма входа
Категории раздела
Мои статьи [122]
Сервисы [33]
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    • Статистика
    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    18.217.208.72

    Защита

    Главная Регистрация Вход

    Каталог статей

    Главная » Статьи » Мои статьи
    Internet Security вирус

    Internet Security вирус

    Принесли пол-часа назад домашний ноутбук с вирусом, который просит отправить СМС, чтобы якобы активировать копию некого Internet Security. Так и пишет большими буквами:

    Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере., а чуть ниже:

    Вы не зарегистрировали вашу копию Internet Security

    Дальше всякую чушь о лицензионном соглашении и предложение: Отправьте СМС с кодом K204114200 на номер 7373.

    Вот он "красавец” (сбросил наконец-то фотку с коммуникатора):

    вирус internet security обнаружил вредоносное по отправить смс

    Такой мне еще не попадался, так что буду смотреть можно ли от него излечить компьютер, так как переустанавливать систему очень не хочется, хотя это и быстрее будет :) Если, что выясню - отпишусь.

    Пока, загрузившись при помощи диска с WinPE, проверяю ноутбук последним CureIT. Нашелся троян, который носит называние Trojan.Winlock.715. Если учесть, что на сайте DrWeb последний старший номер подобного вируса - 592, то наверное и правда вирус "свеженький”.

    Чтобы проверка прошла быстрее рекомендую удалять файлы из каталогов:

    1
    2
    3
    4
    C:\Documents and Settings\Имя профиля\Local Settings\Temp
    C:\documents and settings\Имя профиля\Local Settings\Temporary Internet Files\Content.IE5
        (кроме index.dat - в нем хранится история посещений для IE)
    C:\Windows\Temp

    Добавлено 18:28

    Только, что закончил проверку. CureIT нашел несколько десятков вирусов. Загрузил Windows на ноутбуке. Пока сообщение не появляется. Запустил еще раз CureIT (до этого CureIT в системе не запускался, как и другие приложения). Завтра буду тестировать дальше.

    Пока предварительно могу сказать, что необходимо вставить флешку, на которой будет последний CureIT, в ноутбук, загрузиться с загрузочного диска с Windows (WinPE, BartPE). Удаляйте все временные файлы (ссылки выше) и запускайте проверку диска. Я использую свой загрузочный диск WinPE с 2005-го года и он еще ни разу меня не подводил. То есть он хоть и не новый, но зато 100%-но рабочий. Поэтому выложил его для скачивания и рекомендую скачать и записать себе его на будущее. Такой диск в будущем вам очень поможет (если у вас Windows XP, для Vista, Seven не использовал), если снова вдруг случится беда. Загружаясь с такого диска вы не даете вирусам активироваться и антивирус сможет его без проблем удалить.

    Добавлено 12.01.2010

    За ночь ничего не изменилось - вирус не обнаружен, программы запускаются и работают. Кроме антивируса. Как его разблокировать написал ЗДЕСЬ. Так, что пока все хорошо. Буду проверять дальше. Следите за развитием событий :)

    Не знаю последствия этого вируса или другого (как я писал там целый рассадник был), но были недоступны средства редактирования реестра и не запускался диспетчер задач. Исправляется это просто. Если у вас Windows XP Professional, то достаточно набрать в Пуск -> Выполнить команду gpedit.msc. Далее в открытом окне идем по меню: Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система. Выбрав последнее (Система), в правой части ищем Сделать недоступными средства редактирования реестра, делаем двойной щелчок, выбираем пункт "Отключена” и нажимаем Ок. После этого уже начинает запускаться regedit. В этом же окне групповой политики сразу отключил и автозапуск с носителей - Отключить автозапуск. Установить это свойство во Включен и выбрать "на всех дисководах”.

    Далее запустил regedit нашел пункт HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, в нем был параметр DisableTaskMgr. Необходимо либо удалить его или установить в ноль. После этого будет запускаться и диспетчер задач.

    Если у вас Windows XP Home, то gpedit.msc у вас не будет и нужно воспользоваться сторонним средством редактирования реестра или вручную как написано здесь.
    В двух словах, чтобы включить редактирование реестра нужно выполнить команду:

    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System” /v DisableRegistryTools /t REG_DWORD /d 0 /f

    Чтобы включить диспетчер задач нужно выполнить команду:

    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System” /v DisableTaskMgr /t REG_DWORD /d 0 /f

    Прошелся утилитой AVZ - тоже чисто.

    Ну вот и все. Работоспособность операционной системы Windows XP на ноутбуке - полностью восстановлена. Пришлось еще немного почистить реестр. Сначала утилитой CCleaner, а затем руками, так как, например, параметр UserInit ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, программа почему-то пропустила. У меня там был дописан исполняемый файл C:\Windows\system32\sdra64.exe, который является вирусом. Удалил руками запись C:\Windows\system32\sdra64.exe из параметра UserInit. Необходимо было сделать двойной щелчок по параметру UserInit, и в открывшемся окне редактирования параметра удалить запись о вирусе так чтобы осталось следующее: C:\WINDOWS\system32\userinit.exe,.

    Так как остались скриншоты найденных вирусов, то можно было бы посмотреть не осталось ли чего лишнего в реестре, но времени нет, да и ноутбук пора возвращать. Вечером постараюсь выложить здесь имена файлов которые нашел CureIT и каталоги в которых они размещались.

    Всем спасибо за внимание. Если будут вопросы - задавайте. По возможности - буду отвечать.

    Как и обещал - ФАЙЛЫ которые были определены как новый вирус.

    В дополнение к выше написанному выложил видео-ролик как удалить вирус при помощи диска WinPE и CureIT.

    Также рекомендую к прочтению как записать диск iso и как сделать образ операционной системы, чтобы можно было быстро ее восстановить в случае нарушения работоспособности.

    Рекомендую также прочесть статью (видео инструкцию) о том как создать загрузочную флешку на основе диска WinPE. Выручает когда нет CD-привода (например в нетбуке).

    Добавлено 20.01.2010
    Выложил видео инструкцию как восстановить реестр Windows XP с помощью диска WinPE. После восстановления реестра вирус не должен активироваться и должен работать запуск всех программ. После этого обязательная чистка временных каталогов и проверка системы антивирусом.

    Тем, чья система не заражена рекомендую прочесть Сохраняем копию реестра Windows XP.


    Вирус Internet Security - есть контакт

    Наконец, мне посчастливилось - один из посетителе прислал мне ссылку на файла, который 100% оказался носителем модификации вируса Internet Security (не бойтесь - это ссылка на статью о вирусе). Это оказался обычный exe файла по видом крэка к одной из программ. Вирус активируется при запуске файла. Причем сам файл exe тут же удаляет. Вирусу Internet Security необходима для полной активации - перезагрузка системы. До перезагрузки он блокирует запуск редактора реестра, и диспетчера задач, но программы (AVZ, браузер с полным доступом к интернету) запускаются и, что важно, еще не удалены точки восстановления.
    После перезагрузки вирус Internet Security уже не дает запускать приложения, а при попытке зайти в проводник - вирус Internet Security завершает работу операционной системы. Баннера не было. Возможно потому, что перезагрузку я делал без подключения системы к интернету и вирусу не удалось скачать дополнительные файлы. После перезагрузки точек восстановления, а соответственно и файлов реестра в системе уже нет.

    Из хороших новостей, то что восстановление реестра как описано здесь полностью восстанавливает работоспособность операционной системы, вопрос только в том есть ли у вас эти копии. Еще раз рекомендую, сохранить их в альтернативное место, когда восстановите работоспособность компьютера.

    Что еще успел заметить - после восстановления реестра AVZ не находит подозрительных объектов. До перезагрузки AVZ находил три файла с двоеточием в имени (предположительно это тело вируса).

    К сожалению вчера было уже поздно, поэтому это то что за 10 минут удалось посмотреть. Завтра будут уже исследовать более подробно и дополнять эту статью. Так, что заходите - думаю получиться раскопать, что-то интересное. Главное, что один из способов заражения уже ясен - исполняемые файлы, которые мы сами и запускаем.

    Сообщите пожалуйста, друзьям, знакомым, кто не заразился этим вирусом, чтобы воздержались сейчас от установки всякого рода крэков и подозрительного ПО в целом (в том числе игрушек). И пусть обязательно сделают копию реестра. Это поможет быстрее вернуть работоспособность системы после заражения вирусом Internet Security.

    Продолжение завтра…

    Добавлено 29.01.2010
    К большому моему сожалению, CureIT определяет данный вирус не как Trojan.Winlocker, а как Trojan.Packed.19647 :( Даже не знаю имеет ли смысл продолжать его исследовать… Хотя ведет себя очень похоже. Только баннер не появляется и CMC не просит. В любом случае пока выкладываю отчет программы Process Monitor в котором показано какие ключи реестра менял вирус Trojan.Packed.19647. Будет полезно принять это к сведению, чтобы обратить внимание на них при ручной чистке. Когда копии реестра нет. Еще раз подчеркиваю это ключи, которые меняет вирус определяемый CureIT как Trojan.Packed.19647. Если нужен в более читабельном формате, пишите на почту вышлю csv-файл.

    Operation Path Result Detail
    RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
    RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 86 70 1E C7 F0 6C 4D 14 52 89 52 A0 A2 C3 01 2D
    RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore NAME NOT FOUND Desired Access: All Access
    RegCreateKey HKLM\SOFTWARE SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKLM\SOFTWARE\Policies SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKLM\SOFTWARE\Policies\Microsoft SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore SUCCESS Desired Access: All Access
    RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig SUCCESS Type: REG_DWORD, Length: 4, Data: 1
    RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR SUCCESS Type: REG_DWORD, Length: 4, Data: 1
    RegCreateKey HKLM\SOFTWARE\TrendMicro\HijackThis NAME NOT FOUND Desired Access: All Access
    RegCreateKey HKLM\SOFTWARE SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKLM\SOFTWARE\TrendMicro SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKLM\SOFTWARE\TrendMicro\HijackThis SUCCESS Desired Access: All Access
    RegSetValue HKLM\SOFTWARE\TrendMicro\HijackThis\Ignore1 SUCCESS Type: REG_SZ, Length: 126, Data: O20 - AppInit_DLLs: C:\DOCUME~1\admin\LOCALS~1\Temp\ifcrdz.dll
    RegSetValue HKLM\SOFTWARE\TrendMicro\HijackThis\IgnoreNum SUCCESS Type: REG_SZ, Length: 4, Data: 1
    RegSetValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden SUCCESS Type: REG_DWORD, Length: 4, Data: 0
    RegCreateKey HKCU\Software SUCCESS Desired Access: All Access
    RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
    RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 50 E6 B6 90 76 59 6F F2 2B BE 00 42 77 C6 7F 15
    RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
    RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 57 FC 10 45 6A 92 54 FB F5 7C E8 97 A0 D6 F6 CF
    RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
    RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 7F 85 20 AF 60 E7 D7 70 6D 23 12 A0 3C E6 00 F8
    RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
    RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: B0 BD 8F 72 12 C8 D1 8F F7 50 0C 86 0D 66 4E DD
    RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
    RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 7D 81 E0 79 D5 E2 5E 57 CE 51 66 30 5A 44 F3 16
    RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
    RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 3D 3F EF 79 DF 29 2E D3 1F C5 5E 76 76 2D 30 D6
    RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired Access: Set Value
    RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 01 32 88 0B E8 CC 30 5E 17 EC BA 1F 81 00 D1 99
    RegSetValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SUCCESS Type: REG_SZ, Length: 88, Data: C:\WINDOWS\Help\colormgt.chm:HxhXBEoxL73LED
    RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System NAME NOT FOUND Desired Access: All Access
    RegCreateKey HKCU\Software SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKCU\Software\Microsoft SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKCU\Software\Microsoft\Windows SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Policies SUCCESS Desired Access: Maximum Allowed
    RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System SUCCESS Desired Access: All Access
    RegSetValue HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools SUCCESS Type: REG_DWORD, Length: 4, Data: 1
    RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore SUCCESS Desired Access: All Access
    RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig SUCCESS Type: REG_DWORD, Length: 4, Data: 1
    RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR SUCCESS Type: REG_DWORD, Length: 4, Data: 1
    RegSetValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden SUCCESS Type: REG_DWORD, Length: 4, Data: 0
    RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths SUCCESS Desired Access: All Access
    RegDeleteKey HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33} SUCCESS
    RegCreateKey HKLM\Software\ODBC\ODBC.INI SUCCESS Desired Access: All Access
    RegSetValue HKLM\SOFTWARE\ODBC\ODBC.INI\(Default) SUCCESS Type: REG_SZ, Length: 30, Data: hw4Xe6plkWKUoD




    Источник: http://igorka.com.ua/2010-01-11/internet-security-virus/
    Категория: Мои статьи | Добавил: Chaika (26.06.2010)
    Просмотров: 1524 | Рейтинг: 0.0/0
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Copyright MyCorp © 2024