->

понедельник, 12 декабря 2011 г.

host7 - как много в этом звуке...

Сегодняшний вирус не позволяет его однозначно классифицировать такому лопуху как я....
Тем не менее посмотрим, что он делает и нафига он нам нужен.

Вирус ничем не примечателен внешне, он не скажет, что к чему и зачем... Он тихо сделает свое дело и ляжет на дно...

При запуске вирус создает следующие файлы:
  • wewfs.sys в папке c:\windows
  • host7 в папке c:\windows\system32\drivers\etc
Cодержание файла  host7:
Ssfvgfggh
188.247.135.28 sbrf.ru
188.247.135.28 http://www.sbrf.ru/
188.247.135.28 esk.sbrf.ru
188.247.135.28 http://www.esk.sbrf.ru/
188.247.135.28 esk.zubsb.ru
188.247.135.28 http://www.esk.zubsb.ru/
188.247.135.35 http://www.click.alfabank.ru/
188.247.135.35 click.alfabank.ru
188.247.135.35 http://www.alfabank.ru/
188.247.135.35 alfabank.ru
Fsgfffdhhh

Выходит, имеем очередной вариант вируса, желающего порыскать по счетам пользователей сбербанка и альфабанка.
Лечение простое: удалить файл вируса из автозагрузки, а также файлы host7 (папка c:\windows\system32\drivers\etc) и wewfs.sys (папка c:\windows). Подробности писать я думаю смысла нет, поскольку название файла вируса у всех будет разное. Смотрите в реестре ветку автозапуска.
Проверка на virustotal дает нам опознание 3 антивирусами (всего), среди которых лидеров типа drweb или касперский не наблюдалось (к моменту написания поста касперский внес данные на вирус в свои базы: UDS:DangerousObject.Multi.Generic)...

Первичная проверка на вирус тотал

Тремя часами позже
Ну чтож, отправим новинку в лаборатории...

p.s. "запись добавлена в вирусную базу Dr.Web ... Угроза: Trojan.Hosts.5268"