->

понедельник, 5 сентября 2011 г.

Новости из свежего рассадника...

Совершенно недавно я опубликовал адрес сайта, с которого удалось достать совершенно свежий вирус (Свежий рассадник).
Рассмотрим подробнее, что за сюрприз готовил нам этот сайт...

Сайт заражен вирусом, который очень даже не опознавался он-лайн сканерами на момент его обнаружения.

Интересный нюанс: онлайн сканер Касперского уверенно отчитался что вирусов нет, и проверено 143 килобайта,  но количество проверенных файлов значилось как "0". Интересно, чего же тогда он проверял?
Ну да бог с ним, с кем не бывает. Не критичная залепуха.
Ладно, это все лирика., ближе к делу.
Вирус который сидит на сайте скромен и тих. Он не будет вешать баннеры и требовать деньги напрямую. Он работает по схеме подмены адресов в файле hosts.
Вирус создает в папке "C:\Documents and Settings\"пользователь"\Application Data" скрытый файл lsass.exe, который начнет работать после перезагрузки.
Загружаться вирус будет при помощи известного метода дописывания параметра "userinit" в ветке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
У меня было так:
Userinit"="C:\\WINDOWS\\system32\\userinit.exe, C:\\Documents and Settings\\Admin\\Application Data\\lsass.exe"
После перезагрузки вирус создает в той же папке, в которой находится сам, текстовый файл "timing.txt" с текстом "11".
По мере  работы не допскает открытия эксплорером следующих папок:
C:\Documents and Settings\"пользователь"\Application Data\
C:\Program Files\Common Files\
При открытии этих папок окно эксплорера просто закрывается.
Также невозможно запустить пункт главного меню "Выполнить".
В самом файле вируса прописана ссылка на файл "u.txt", который должен создаваться в папке
"C:\Program Files\Common Files\". Уменя он так ничего и не создал, но старательно закрывает папку, но проверить стоит.
В ходе работы вируса идет дописка файла hosts в папке "C:\WINDOWS\system32\drivers\etc"
Текст дописки:
31.214.145.157 http://www.vkontakte.ru/                 
31.214.145.157 http://www.vk.com/                          
31.214.145.157 vkontakte.ru                                   
31.214.145.157 vk.com                                            
31.214.145.157 http://www.odnoklassniki.ru/                                                     
31.214.145.157 odnoklassniki.ru        
127.0.0.1 downloads.kaspersky-labs.com                 
127.0.0.1 downloads0.kaspersky-labs.com                    
...
27.0.0.1 downloads10.kaspersky-labs.com
127.0.0.1 dnl-geo.kaspersky-labs.com                                                             
127.0.0.1 dnl-00.geo.kaspersky.com       
...
127.0.0.1 dnl-20.geo.kaspersky.com
По тексту выходит, что опять производится подмена адреса и перенаправление на фальшивый сайт одноклассников или вконтакте, где предлагается пройти валидацию аккаунта.


Свойства файла вируса:
описание "Brainy Talon"
авторские права "muse achy 1998-2007" (просроченный походу :)) )
внутреннее имя "Ark Wily Coral All"
исходное имя файла "Easy.exe"
название продукта "Marlin Opals Sun Zulu Ninja"
производитель "Runes Gnome Merry"

Лечится все просто:
Закрываем через диспетчер задач (alt+ctrl+del) лишний процесс lsass.exe (главное не ошибиться, их в диспетчере задач будет 2). Но даже в случае ошибки можно повторить попытку, благо диспетчер задач не блокируется.
После удаления процесса находим файл вируса в папке Application Data. Удаляем вместе с файлом timing.txt.
Чистим реестр. Стираем в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon у параметра userinit всё лишнее. Оставляем только ссылку такого вида:
Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
На всякий случай проверяем наличие в папке "C:\Program Files\Common Files\" файла "u.txt".
Стираем лишние записи в файле hosts (открыть при помощи блокнота).
Перезагружаемся и провеяем еще раз записи в файле hosts (на всякий пожарный ;) ).

По недавно полученным сведениям, вирус модифицировался и отслеживает данные, вводимые в поисковиках и действует соответственно. Например: при вводе слова "реестр" закрывает браузер (IE, Opera, Firefox и т.д.).

P.S.  Файлы вирусов отправлены в лаборатории, ждем апдейта чтоли (если конечно вирус до сих пор не внесли в базу).
Ну вот, хотел чего нить полезное написать, а получилось как всегда...

P.P.S. Получено сообщение "Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении." Угроза: Trojan.Hosts.4561

Тем, у кого сложности с определением и закрытием вирусного процесса lsass.exe - читайте здесь: Еще один любитель hosts. - это ваш случай.

21 комментарий:

  1. через диспетчер не закрывается.. и следовательно через тотал командер тоже не удаляется тварь)

    ОтветитьУдалить
  2. Возможно вы не тот экземпляр lsass.exe закрываете. Я ж написал, есть официально запущенный системный процсс с таким же именем.
    Удалить, кстати, можно при помощи программы unlocker (смотрите страницу "софт").
    Похоже придется для наглядности описать еще программу process hacker, в которой расположение процесса lsass.exe может быть более наглядным. И еще, ИЗВИНИТЕ что так долго не отвечал. Уезжал...

    ОтветитьУдалить
  3. оба исасс не закрываются
    пишет критический системный процес...
    что делать как жить боюсь перезагружаться ибо заблочит всё вообще

    ОтветитьУдалить
  4. Рекомендую для закрытия процесса использовать бесплатную утилиту process hacker (текущая версия - 2). Выложу в софт, могу скинуть, но можно и нагуглить. В программе отлично видно какой процесс кем запущен (системой или пользователем). Выделено цветом и группировкой. В случае обычного диспетчера задач windows необходимо смотреть столбец "имя пользователя". Для системного процесса имя пользователя будет "System".

    ОтветитьУдалить
  5. спасибо, дружище, очень сильно помогла статья. За***ал это Form1, если честно, а антивирусы его не видят в упор. нах бабки за это люди платят, я ваще хз. В общем, огромное спасибо!

    ОтветитьУдалить
  6. Очень рад что оказался полезным. А насчет антивирусов.. Именно по той причине, что платные антивирусники пропускают свежие вирусы ничуть не хуже чем бесплатные, использую именно бесплатные антивирусы.

    ОтветитьУдалить
  7. а если один,,lsass.exe восемьдесет рас посмотрел ,точно нету.Если только он не подругому называеться

    ОтветитьУдалить
  8. В других модификациях вирус может маскироваться под любой системный процесс. Даже в написании названия есть минимум 2 варианта: первая буква i (заглавная) или буква L (маленькая). Это на тот случай, если поиск в реестре делаете.

    ОтветитьУдалить
  9. как я могу ещё его вычислить на I тоже нет,а lsass.exe один он его не завершает.спасибо за помощь.

    ОтветитьУдалить
  10. хм, давай снова и поподробнее на майл viru.vir@yandex.ru

    ОтветитьУдалить
  11. допишите еще кое что ) вдруг кому то поможет при поиске .

    В ЛЮБОМ БРАУЗЕРЕ если писать слово "реестр" браузер кроется нафиг . вообще прикольно сделали этот вирус ...обнаружил это когда пытался писать в гугле " неработаете реестр"

    ОтветитьУдалить
  12. Спасибо за информацию, дополнил.

    ОтветитьУдалить
  13. Спасибо огромное тебе, добрый человек!

    ОтветитьУдалить
  14. Да не за что! Хорошо что полезной оказалась инфа...

    ОтветитьУдалить
  15. Через деспетчер не закрывается (крит сис процесс)
    Через avast не находит D:
    Пробывал Process Hacker 1 из 2 процессов lsass закрываю,когда же закрываю второй появляется таймер на аварийную перезагрузку системы

    ОтветитьУдалить
  16. Всё верно! Вы должны закрыть только 1 (один) процесс. Один процесс вирусный, и еще один - системный, после закрытия которого происходит перезагрузка. Закройте тот, после которого не перезагружается система - это и есть вирус. Дальше все как обычно, чистка реестра, удаление файла вируса....

    ОтветитьУдалить
  17. у меня два процесса, но при закрытии любого из них пишет "критический процесс" и мол нельзя закрыть и все такое...что делать то?

    ОтветитьУдалить
  18. В диспетчере задач проще всего определить лишний процесс по имени пользователя. Также можно воспользоваться утилитами сторонних разработчков. Например программой "Process Hacker 2". В ней еще и цветом выделено, какие процессы системные, какие нет.
    Еще лучше сделать следующее: найдите файл процесса в папке Application data, заархивируйте с паролем и пришлите мне на майл viru.vir@yandex.ru (и пароль тоже). Отвечу лично Вам в тот же день и выложу сюда дополнительную инфу.

    ОтветитьУдалить
  19. У кого такие же проблемы с закрытием лишнего lsass.exe - читайте здесь http://imho-karma.blogspot.com/2011/11/hosts.html - это ваш случай.

    ОтветитьУдалить
  20. Здравствуйте. У меня проблема следующего характера: при закрытии вирусного процесса lsass.exe выскакивает "синий экран смерти" и комп тут же перезагружается. Мне может что-нибудь помочь?

    ОтветитьУдалить
  21. Прошу прощения, написал раньше времени. Попробовал выключить в безопасном режиме - всё получилось.
    Огромное спасибо за статью! Очень помогло!

    ОтветитьУдалить