->

понедельник, 5 сентября 2011 г.

Новости из свежего рассадника...

Совершенно недавно я опубликовал адрес сайта, с которого удалось достать совершенно свежий вирус (Свежий рассадник).
Рассмотрим подробнее, что за сюрприз готовил нам этот сайт...

Сайт заражен вирусом, который очень даже не опознавался он-лайн сканерами на момент его обнаружения.

Интересный нюанс: онлайн сканер Касперского уверенно отчитался что вирусов нет, и проверено 143 килобайта,  но количество проверенных файлов значилось как "0". Интересно, чего же тогда он проверял?
Ну да бог с ним, с кем не бывает. Не критичная залепуха.
Ладно, это все лирика., ближе к делу.
Вирус который сидит на сайте скромен и тих. Он не будет вешать баннеры и требовать деньги напрямую. Он работает по схеме подмены адресов в файле hosts.
Вирус создает в папке "C:\Documents and Settings\"пользователь"\Application Data" скрытый файл lsass.exe, который начнет работать после перезагрузки.
Загружаться вирус будет при помощи известного метода дописывания параметра "userinit" в ветке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
У меня было так:
Userinit"="C:\\WINDOWS\\system32\\userinit.exe, C:\\Documents and Settings\\Admin\\Application Data\\lsass.exe"
После перезагрузки вирус создает в той же папке, в которой находится сам, текстовый файл "timing.txt" с текстом "11".
По мере  работы не допскает открытия эксплорером следующих папок:
C:\Documents and Settings\"пользователь"\Application Data\
C:\Program Files\Common Files\
При открытии этих папок окно эксплорера просто закрывается.
Также невозможно запустить пункт главного меню "Выполнить".
В самом файле вируса прописана ссылка на файл "u.txt", который должен создаваться в папке
"C:\Program Files\Common Files\". Уменя он так ничего и не создал, но старательно закрывает папку, но проверить стоит.
В ходе работы вируса идет дописка файла hosts в папке "C:\WINDOWS\system32\drivers\etc"
Текст дописки:
31.214.145.157 http://www.vkontakte.ru/                 
31.214.145.157 http://www.vk.com/                          
31.214.145.157 vkontakte.ru                                   
31.214.145.157 vk.com                                            
31.214.145.157 http://www.odnoklassniki.ru/                                                     
31.214.145.157 odnoklassniki.ru        
127.0.0.1 downloads.kaspersky-labs.com                 
127.0.0.1 downloads0.kaspersky-labs.com                    
...
27.0.0.1 downloads10.kaspersky-labs.com
127.0.0.1 dnl-geo.kaspersky-labs.com                                                             
127.0.0.1 dnl-00.geo.kaspersky.com       
...
127.0.0.1 dnl-20.geo.kaspersky.com
По тексту выходит, что опять производится подмена адреса и перенаправление на фальшивый сайт одноклассников или вконтакте, где предлагается пройти валидацию аккаунта.


Свойства файла вируса:
описание "Brainy Talon"
авторские права "muse achy 1998-2007" (просроченный походу :)) )
внутреннее имя "Ark Wily Coral All"
исходное имя файла "Easy.exe"
название продукта "Marlin Opals Sun Zulu Ninja"
производитель "Runes Gnome Merry"

Лечится все просто:
Закрываем через диспетчер задач (alt+ctrl+del) лишний процесс lsass.exe (главное не ошибиться, их в диспетчере задач будет 2). Но даже в случае ошибки можно повторить попытку, благо диспетчер задач не блокируется.
После удаления процесса находим файл вируса в папке Application Data. Удаляем вместе с файлом timing.txt.
Чистим реестр. Стираем в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon у параметра userinit всё лишнее. Оставляем только ссылку такого вида:
Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
На всякий случай проверяем наличие в папке "C:\Program Files\Common Files\" файла "u.txt".
Стираем лишние записи в файле hosts (открыть при помощи блокнота).
Перезагружаемся и провеяем еще раз записи в файле hosts (на всякий пожарный ;) ).

По недавно полученным сведениям, вирус модифицировался и отслеживает данные, вводимые в поисковиках и действует соответственно. Например: при вводе слова "реестр" закрывает браузер (IE, Opera, Firefox и т.д.).

P.S.  Файлы вирусов отправлены в лаборатории, ждем апдейта чтоли (если конечно вирус до сих пор не внесли в базу).
Ну вот, хотел чего нить полезное написать, а получилось как всегда...

P.P.S. Получено сообщение "Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении." Угроза: Trojan.Hosts.4561

Тем, у кого сложности с определением и закрытием вирусного процесса lsass.exe - читайте здесь: Еще один любитель hosts. - это ваш случай.