Совершенно недавно я опубликовал адрес сайта, с которого удалось достать совершенно свежий вирус (Свежий рассадник).
Рассмотрим подробнее, что за сюрприз готовил нам этот сайт...
Сайт заражен вирусом, который очень даже не опознавался он-лайн сканерами на момент его обнаружения.
Ну да бог с ним, с кем не бывает. Не критичная залепуха.
Ладно, это все лирика., ближе к делу.
Вирус который сидит на сайте скромен и тих. Он не будет вешать баннеры и требовать деньги напрямую. Он работает по схеме подмены адресов в файле hosts.
Вирус создает в папке "C:\Documents and Settings\"пользователь"\Application Data" скрытый файл lsass.exe, который начнет работать после перезагрузки.
Загружаться вирус будет при помощи известного метода дописывания параметра "userinit" в ветке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
У меня было так:
Userinit"="C:\\WINDOWS\\system32\\userinit.exe, C:\\Documents and Settings\\Admin\\Application Data\\lsass.exe"
После перезагрузки вирус создает в той же папке, в которой находится сам, текстовый файл "timing.txt" с текстом "11".По мере работы не допскает открытия эксплорером следующих папок:
C:\Documents and Settings\"пользователь"\Application Data\
C:\Program Files\Common Files\
При открытии этих папок окно эксплорера просто закрывается.
Также невозможно запустить пункт главного меню "Выполнить".
В самом файле вируса прописана ссылка на файл "u.txt", который должен создаваться в папке
"C:\Program Files\Common Files\". Уменя он так ничего и не создал, но старательно закрывает папку, но проверить стоит.
В ходе работы вируса идет дописка файла hosts в папке "C:\WINDOWS\system32\drivers\etc"
Текст дописки:
31.214.145.157 http://www.vkontakte.ru/
31.214.145.157 http://www.vk.com/
31.214.145.157 vkontakte.ru
31.214.145.157 vk.com
31.214.145.157 http://www.odnoklassniki.ru/
31.214.145.157 odnoklassniki.ru
127.0.0.1 downloads.kaspersky-labs.com
127.0.0.1 downloads0.kaspersky-labs.com
...
27.0.0.1 downloads10.kaspersky-labs.com
127.0.0.1 dnl-geo.kaspersky-labs.com
127.0.0.1 dnl-00.geo.kaspersky.com
...
127.0.0.1 dnl-20.geo.kaspersky.com
По тексту выходит, что опять производится подмена адреса и перенаправление на фальшивый сайт одноклассников или вконтакте, где предлагается пройти валидацию аккаунта.
Свойства файла вируса:
описание "Brainy Talon"
авторские права "muse achy 1998-2007" (просроченный походу :)) )
внутреннее имя "Ark Wily Coral All"
исходное имя файла "Easy.exe"
название продукта "Marlin Opals Sun Zulu Ninja"
производитель "Runes Gnome Merry"
Лечится все просто:
Закрываем через диспетчер задач (alt+ctrl+del) лишний процесс lsass.exe (главное не ошибиться, их в диспетчере задач будет 2). Но даже в случае ошибки можно повторить попытку, благо диспетчер задач не блокируется.
После удаления процесса находим файл вируса в папке Application Data. Удаляем вместе с файлом timing.txt.
Чистим реестр. Стираем в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon у параметра userinit всё лишнее. Оставляем только ссылку такого вида:
Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Чистим реестр. Стираем в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon у параметра userinit всё лишнее. Оставляем только ссылку такого вида:
Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
На всякий случай проверяем наличие в папке "C:\Program Files\Common Files\" файла "u.txt".
Стираем лишние записи в файле hosts (открыть при помощи блокнота).
Перезагружаемся и провеяем еще раз записи в файле hosts (на всякий пожарный ;) ).
По недавно полученным сведениям, вирус модифицировался и отслеживает данные, вводимые в поисковиках и действует соответственно. Например: при вводе слова "реестр" закрывает браузер (IE, Opera, Firefox и т.д.).
P.S. Файлы вирусов отправлены в лаборатории, ждем апдейта чтоли (если конечно вирус до сих пор не внесли в базу).
P.S. Файлы вирусов отправлены в лаборатории, ждем апдейта чтоли (если конечно вирус до сих пор не внесли в базу).
Ну вот, хотел чего нить полезное написать, а получилось как всегда...
P.P.S. Получено сообщение "Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении." Угроза: Trojan.Hosts.4561
Тем, у кого сложности с определением и закрытием вирусного процесса lsass.exe - читайте здесь: Еще один любитель hosts. - это ваш случай.
Тем, у кого сложности с определением и закрытием вирусного процесса lsass.exe - читайте здесь: Еще один любитель hosts. - это ваш случай.
через диспетчер не закрывается.. и следовательно через тотал командер тоже не удаляется тварь)
ОтветитьУдалитьВозможно вы не тот экземпляр lsass.exe закрываете. Я ж написал, есть официально запущенный системный процсс с таким же именем.
ОтветитьУдалитьУдалить, кстати, можно при помощи программы unlocker (смотрите страницу "софт").
Похоже придется для наглядности описать еще программу process hacker, в которой расположение процесса lsass.exe может быть более наглядным. И еще, ИЗВИНИТЕ что так долго не отвечал. Уезжал...
оба исасс не закрываются
ОтветитьУдалитьпишет критический системный процес...
что делать как жить боюсь перезагружаться ибо заблочит всё вообще
Рекомендую для закрытия процесса использовать бесплатную утилиту process hacker (текущая версия - 2). Выложу в софт, могу скинуть, но можно и нагуглить. В программе отлично видно какой процесс кем запущен (системой или пользователем). Выделено цветом и группировкой. В случае обычного диспетчера задач windows необходимо смотреть столбец "имя пользователя". Для системного процесса имя пользователя будет "System".
ОтветитьУдалитьспасибо, дружище, очень сильно помогла статья. За***ал это Form1, если честно, а антивирусы его не видят в упор. нах бабки за это люди платят, я ваще хз. В общем, огромное спасибо!
ОтветитьУдалитьОчень рад что оказался полезным. А насчет антивирусов.. Именно по той причине, что платные антивирусники пропускают свежие вирусы ничуть не хуже чем бесплатные, использую именно бесплатные антивирусы.
ОтветитьУдалитьа если один,,lsass.exe восемьдесет рас посмотрел ,точно нету.Если только он не подругому называеться
ОтветитьУдалитьВ других модификациях вирус может маскироваться под любой системный процесс. Даже в написании названия есть минимум 2 варианта: первая буква i (заглавная) или буква L (маленькая). Это на тот случай, если поиск в реестре делаете.
ОтветитьУдалитькак я могу ещё его вычислить на I тоже нет,а lsass.exe один он его не завершает.спасибо за помощь.
ОтветитьУдалитьхм, давай снова и поподробнее на майл viru.vir@yandex.ru
ОтветитьУдалитьдопишите еще кое что ) вдруг кому то поможет при поиске .
ОтветитьУдалитьВ ЛЮБОМ БРАУЗЕРЕ если писать слово "реестр" браузер кроется нафиг . вообще прикольно сделали этот вирус ...обнаружил это когда пытался писать в гугле " неработаете реестр"
Спасибо за информацию, дополнил.
ОтветитьУдалитьСпасибо огромное тебе, добрый человек!
ОтветитьУдалитьДа не за что! Хорошо что полезной оказалась инфа...
ОтветитьУдалитьЧерез деспетчер не закрывается (крит сис процесс)
ОтветитьУдалитьЧерез avast не находит D:
Пробывал Process Hacker 1 из 2 процессов lsass закрываю,когда же закрываю второй появляется таймер на аварийную перезагрузку системы
Всё верно! Вы должны закрыть только 1 (один) процесс. Один процесс вирусный, и еще один - системный, после закрытия которого происходит перезагрузка. Закройте тот, после которого не перезагружается система - это и есть вирус. Дальше все как обычно, чистка реестра, удаление файла вируса....
ОтветитьУдалитьу меня два процесса, но при закрытии любого из них пишет "критический процесс" и мол нельзя закрыть и все такое...что делать то?
ОтветитьУдалитьВ диспетчере задач проще всего определить лишний процесс по имени пользователя. Также можно воспользоваться утилитами сторонних разработчков. Например программой "Process Hacker 2". В ней еще и цветом выделено, какие процессы системные, какие нет.
ОтветитьУдалитьЕще лучше сделать следующее: найдите файл процесса в папке Application data, заархивируйте с паролем и пришлите мне на майл viru.vir@yandex.ru (и пароль тоже). Отвечу лично Вам в тот же день и выложу сюда дополнительную инфу.
У кого такие же проблемы с закрытием лишнего lsass.exe - читайте здесь http://imho-karma.blogspot.com/2011/11/hosts.html - это ваш случай.
ОтветитьУдалитьЗдравствуйте. У меня проблема следующего характера: при закрытии вирусного процесса lsass.exe выскакивает "синий экран смерти" и комп тут же перезагружается. Мне может что-нибудь помочь?
ОтветитьУдалитьПрошу прощения, написал раньше времени. Попробовал выключить в безопасном режиме - всё получилось.
ОтветитьУдалитьОгромное спасибо за статью! Очень помогло!