->

вторник, 22 ноября 2011 г.

Еще один любитель hosts.

Сегодняшний вирус внешних проявлений не имеет, сидит и тихо себе дописывает нужные записи в hosts.
Файл вируса "lsass.exe", лежит в папке "c:\documents and settings\admin\application data\".
Описание файла "Scour Dip Alpha Tweak Into"
Copyright "Hamlet © Eject Spud 1999-2005"
Файл вируса скрытый, рядом лежит текстовый файл "timing.txt" в котором у меня было написано "873". Скорее всего это время, через которое вирус перезаписывает hosts, а может количество раз, сколько он переписал hosts :).

Вирус создает пустую папку "Ay4vGPCdWrUG8Yx" (прям так и называется). Папка периодически меняет свое место расположения. Если попадется на глаза, значит вирус у Вас.
Прописывается в ветку реестра
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon,
параметр Userinit.

В hosts (просмотрите пожалуйста ВЕСЬ файл, открыв его в блокноте) дописывает следующие строки:
31.214.145.162 http://www.vkontakte.ru/
31.214.145.162 http://www.vk.com/
31.214.145.162 vkontakte.ru
31.214.145.162 vk.com
31.214.145.162 http://www.odnoklassniki.ru/
31.214.145.162 odnoklassniki.ru
127.0.0.1 downloads.kaspersky-labs.com
127.0.0.1 downloads0.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 downloads6.kaspersky-labs.com
127.0.0.1 downloads7.kaspersky-labs.com
127.0.0.1 downloads8.kaspersky-labs.com
127.0.0.1 downloads9.kaspersky-labs.com
127.0.0.1 downloads10.kaspersky-labs.com
127.0.0.1 dnl-geo.kaspersky-labs.com
127.0.0.1 dnl-00.geo.kaspersky.com
127.0.0.1 dnl-01.geo.kaspersky.com
127.0.0.1 dnl-02.geo.kaspersky.com
127.0.0.1 dnl-03.geo.kaspersky.com
127.0.0.1 dnl-04.geo.kaspersky.com
127.0.0.1 dnl-05.geo.kaspersky.com
127.0.0.1 dnl-06.geo.kaspersky.com
127.0.0.1 dnl-07.geo.kaspersky.com
127.0.0.1 dnl-08.geo.kaspersky.com
127.0.0.1 dnl-09.geo.kaspersky.com
127.0.0.1 dnl-10.geo.kaspersky.com
127.0.0.1 dnl-11.geo.kaspersky.com
127.0.0.1 dnl-12.geo.kaspersky.com
127.0.0.1 dnl-13.geo.kaspersky.com
127.0.0.1 dnl-14.geo.kaspersky.com
127.0.0.1 dnl-15.geo.kaspersky.com
127.0.0.1 dnl-16.geo.kaspersky.com
127.0.0.1 dnl-17.geo.kaspersky.com
127.0.0.1 dnl-18.geo.kaspersky.com
127.0.0.1 dnl-19.geo.kaspersky.com
127.0.0.1 dnl-20.geo.kaspersky.com
Как определить какой из процессов неправильный, вирусный?
Двойной lsass.exe
Смотрим на владельца процесса. Если Вы видите процесс lsass.exe владельцем которого является НЕ "system" (смотрим столбец "имя пользователя" в диспетчере задач) - это вирус.

Еще и сопротивляется!!

Чем интересен?Не позволяет открыть папку с названием Admin, где бы она ни была расположена.
При попытке закрыть его через диспетчер задач, выдает сообщение, что он критический системнй процесс, и хочет жить вечно.
При попытке выполнить скрипт в программе AVZ делает скрытым окно выполнения скрипта, после чего окно AVZ становится недоступным и утилиту приходится закрывать через диспетчер задач.

Как лечить?Закрываем при помощи "Process Hacker 2" процесс lsass.exe, владельцем которого является НЕ "system".
Закрываем лишний процесс lsass.exe при помощи "process hacker"
Удаляем файл вируса "lsass.exe" и файл "timing.txt" из папки "C:\Documents and Settings\Имя пользователя\Application Data\"
Далее возможны 2 варианта:

1 вариант. Чистка вручную.
Запускаем редактор реестра "regedit.exe".
Переходим в ветку "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
Меняем строку в параметре "userinit" с вот такой:
C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\ИмяПользователя\Application Data\lsass.exeна вот такую:
C:\WINDOWS\system32\userinit.exe,Переходим в папку C:\WINDOWS\system32\drivers\etc, находим файл hosts, открываем его в блокноте и стираем все записи про одноклассники, вконтакте и касперского. Закрываем файл с сохранением изменений.
Радуемся обновлениям касперского, и общению в соц. сетях.

2 вариант. Полуавтоматическая чистка.
Запускаем AVZ. Открываем "Файл" -> "Выполнить скрипт".
В окно "запуск скрипта" вставляем следующие строки (прямо отсюда можете скопировать):
begin
ClearHostsFile;
ExecuteSysClean;
end.

Запуск скрипта очистки системы.
Нажимаем "Запустить". Закрываем программу AVZ.
Всё...