->

понедельник, 5 сентября 2011 г.

Новости из свежего рассадника...

Совершенно недавно я опубликовал адрес сайта, с которого удалось достать совершенно свежий вирус (Свежий рассадник).
Рассмотрим подробнее, что за сюрприз готовил нам этот сайт...

Сайт заражен вирусом, который очень даже не опознавался он-лайн сканерами на момент его обнаружения.

Интересный нюанс: онлайн сканер Касперского уверенно отчитался что вирусов нет, и проверено 143 килобайта,  но количество проверенных файлов значилось как "0". Интересно, чего же тогда он проверял?
Ну да бог с ним, с кем не бывает. Не критичная залепуха.
Ладно, это все лирика., ближе к делу.
Вирус который сидит на сайте скромен и тих. Он не будет вешать баннеры и требовать деньги напрямую. Он работает по схеме подмены адресов в файле hosts.
Вирус создает в папке "C:\Documents and Settings\"пользователь"\Application Data" скрытый файл lsass.exe, который начнет работать после перезагрузки.
Загружаться вирус будет при помощи известного метода дописывания параметра "userinit" в ветке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
У меня было так:
Userinit"="C:\\WINDOWS\\system32\\userinit.exe, C:\\Documents and Settings\\Admin\\Application Data\\lsass.exe"
После перезагрузки вирус создает в той же папке, в которой находится сам, текстовый файл "timing.txt" с текстом "11".
По мере  работы не допскает открытия эксплорером следующих папок:
C:\Documents and Settings\"пользователь"\Application Data\
C:\Program Files\Common Files\
При открытии этих папок окно эксплорера просто закрывается.
Также невозможно запустить пункт главного меню "Выполнить".
В самом файле вируса прописана ссылка на файл "u.txt", который должен создаваться в папке
"C:\Program Files\Common Files\". Уменя он так ничего и не создал, но старательно закрывает папку, но проверить стоит.
В ходе работы вируса идет дописка файла hosts в папке "C:\WINDOWS\system32\drivers\etc"
Текст дописки:
31.214.145.157 http://www.vkontakte.ru/                 
31.214.145.157 http://www.vk.com/                          
31.214.145.157 vkontakte.ru                                   
31.214.145.157 vk.com                                            
31.214.145.157 http://www.odnoklassniki.ru/                                                     
31.214.145.157 odnoklassniki.ru        
127.0.0.1 downloads.kaspersky-labs.com                 
127.0.0.1 downloads0.kaspersky-labs.com                    
...
27.0.0.1 downloads10.kaspersky-labs.com
127.0.0.1 dnl-geo.kaspersky-labs.com                                                             
127.0.0.1 dnl-00.geo.kaspersky.com       
...
127.0.0.1 dnl-20.geo.kaspersky.com
По тексту выходит, что опять производится подмена адреса и перенаправление на фальшивый сайт одноклассников или вконтакте, где предлагается пройти валидацию аккаунта.


Свойства файла вируса:
описание "Brainy Talon"
авторские права "muse achy 1998-2007" (просроченный походу :)) )
внутреннее имя "Ark Wily Coral All"
исходное имя файла "Easy.exe"
название продукта "Marlin Opals Sun Zulu Ninja"
производитель "Runes Gnome Merry"

Лечится все просто:
Закрываем через диспетчер задач (alt+ctrl+del) лишний процесс lsass.exe (главное не ошибиться, их в диспетчере задач будет 2). Но даже в случае ошибки можно повторить попытку, благо диспетчер задач не блокируется.
После удаления процесса находим файл вируса в папке Application Data. Удаляем вместе с файлом timing.txt.
Чистим реестр. Стираем в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon у параметра userinit всё лишнее. Оставляем только ссылку такого вида:
Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
На всякий случай проверяем наличие в папке "C:\Program Files\Common Files\" файла "u.txt".
Стираем лишние записи в файле hosts (открыть при помощи блокнота).
Перезагружаемся и провеяем еще раз записи в файле hosts (на всякий пожарный ;) ).

По недавно полученным сведениям, вирус модифицировался и отслеживает данные, вводимые в поисковиках и действует соответственно. Например: при вводе слова "реестр" закрывает браузер (IE, Opera, Firefox и т.д.).

P.S.  Файлы вирусов отправлены в лаборатории, ждем апдейта чтоли (если конечно вирус до сих пор не внесли в базу).
Ну вот, хотел чего нить полезное написать, а получилось как всегда...

P.P.S. Получено сообщение "Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении." Угроза: Trojan.Hosts.4561

Тем, у кого сложности с определением и закрытием вирусного процесса lsass.exe - читайте здесь: Еще один любитель hosts. - это ваш случай.
Автор: Unknown на 08:11
Ярлыки:

21 комментарий:

  1. Анонимный14 сентября 2011 г. в 02:12

    через диспетчер не закрывается.. и следовательно через тотал командер тоже не удаляется тварь)

    ОтветитьУдалить
  2. Unknown15 сентября 2011 г. в 07:40

    Возможно вы не тот экземпляр lsass.exe закрываете. Я ж написал, есть официально запущенный системный процсс с таким же именем.
    Удалить, кстати, можно при помощи программы unlocker (смотрите страницу "софт").
    Похоже придется для наглядности описать еще программу process hacker, в которой расположение процесса lsass.exe может быть более наглядным. И еще, ИЗВИНИТЕ что так долго не отвечал. Уезжал...

    ОтветитьУдалить
  3. Анонимный4 октября 2011 г. в 06:59

    оба исасс не закрываются
    пишет критический системный процес...
    что делать как жить боюсь перезагружаться ибо заблочит всё вообще

    ОтветитьУдалить
  4. Unknown4 октября 2011 г. в 07:34

    Рекомендую для закрытия процесса использовать бесплатную утилиту process hacker (текущая версия - 2). Выложу в софт, могу скинуть, но можно и нагуглить. В программе отлично видно какой процесс кем запущен (системой или пользователем). Выделено цветом и группировкой. В случае обычного диспетчера задач windows необходимо смотреть столбец "имя пользователя". Для системного процесса имя пользователя будет "System".

    ОтветитьУдалить
  5. Анонимный5 октября 2011 г. в 07:29

    спасибо, дружище, очень сильно помогла статья. За***ал это Form1, если честно, а антивирусы его не видят в упор. нах бабки за это люди платят, я ваще хз. В общем, огромное спасибо!

    ОтветитьУдалить
  6. Unknown7 октября 2011 г. в 10:26

    Очень рад что оказался полезным. А насчет антивирусов.. Именно по той причине, что платные антивирусники пропускают свежие вирусы ничуть не хуже чем бесплатные, использую именно бесплатные антивирусы.

    ОтветитьУдалить
  7. Анонимный9 октября 2011 г. в 01:32

    а если один,,lsass.exe восемьдесет рас посмотрел ,точно нету.Если только он не подругому называеться

    ОтветитьУдалить
  8. Unknown9 октября 2011 г. в 03:27

    В других модификациях вирус может маскироваться под любой системный процесс. Даже в написании названия есть минимум 2 варианта: первая буква i (заглавная) или буква L (маленькая). Это на тот случай, если поиск в реестре делаете.

    ОтветитьУдалить
  9. Анонимный11 октября 2011 г. в 03:56

    как я могу ещё его вычислить на I тоже нет,а lsass.exe один он его не завершает.спасибо за помощь.

    ОтветитьУдалить
  10. Unknown11 октября 2011 г. в 08:18

    хм, давай снова и поподробнее на майл viru.vir@yandex.ru

    ОтветитьУдалить
  11. Анонимный28 октября 2011 г. в 09:04

    допишите еще кое что ) вдруг кому то поможет при поиске .

    В ЛЮБОМ БРАУЗЕРЕ если писать слово "реестр" браузер кроется нафиг . вообще прикольно сделали этот вирус ...обнаружил это когда пытался писать в гугле " неработаете реестр"

    ОтветитьУдалить
  12. Unknown28 октября 2011 г. в 19:29

    Спасибо за информацию, дополнил.

    ОтветитьУдалить
  13. STUD45.RU16 ноября 2011 г. в 04:03

    Спасибо огромное тебе, добрый человек!

    ОтветитьУдалить
  14. Unknown16 ноября 2011 г. в 04:44

    Да не за что! Хорошо что полезной оказалась инфа...

    ОтветитьУдалить
  15. Анонимный16 ноября 2011 г. в 21:33

    Через деспетчер не закрывается (крит сис процесс)
    Через avast не находит D:
    Пробывал Process Hacker 1 из 2 процессов lsass закрываю,когда же закрываю второй появляется таймер на аварийную перезагрузку системы

    ОтветитьУдалить
  16. Unknown17 ноября 2011 г. в 07:05

    Всё верно! Вы должны закрыть только 1 (один) процесс. Один процесс вирусный, и еще один - системный, после закрытия которого происходит перезагрузка. Закройте тот, после которого не перезагружается система - это и есть вирус. Дальше все как обычно, чистка реестра, удаление файла вируса....

    ОтветитьУдалить
  17. Анонимный21 ноября 2011 г. в 01:48

    у меня два процесса, но при закрытии любого из них пишет "критический процесс" и мол нельзя закрыть и все такое...что делать то?

    ОтветитьУдалить
  18. Unknown21 ноября 2011 г. в 03:33

    В диспетчере задач проще всего определить лишний процесс по имени пользователя. Также можно воспользоваться утилитами сторонних разработчков. Например программой "Process Hacker 2". В ней еще и цветом выделено, какие процессы системные, какие нет.
    Еще лучше сделать следующее: найдите файл процесса в папке Application data, заархивируйте с паролем и пришлите мне на майл viru.vir@yandex.ru (и пароль тоже). Отвечу лично Вам в тот же день и выложу сюда дополнительную инфу.

    ОтветитьУдалить
  19. Unknown22 ноября 2011 г. в 20:41

    У кого такие же проблемы с закрытием лишнего lsass.exe - читайте здесь http://imho-karma.blogspot.com/2011/11/hosts.html - это ваш случай.

    ОтветитьУдалить
  20. giperboloid28 ноября 2011 г. в 07:55

    Здравствуйте. У меня проблема следующего характера: при закрытии вирусного процесса lsass.exe выскакивает "синий экран смерти" и комп тут же перезагружается. Мне может что-нибудь помочь?

    ОтветитьУдалить
  21. giperboloid28 ноября 2011 г. в 08:17

    Прошу прощения, написал раньше времени. Попробовал выключить в безопасном режиме - всё получилось.
    Огромное спасибо за статью! Очень помогло!

    ОтветитьУдалить

Подписаться на: Комментарии к сообщению (Atom)