Cегодняшний пост будет по сути продолжением темы об изящной подмене hosts.
Решив проверить подлинность страницы из поста ... вновь полез по известному мне адресу. Зайдя на страницу незамедлительно полулчил свежий вирус.
Хочется сказать что вирусы умнеют не по дням а по часам.
Запустил вирус несколько раз, соответственно каждый раз получал получил файлы с разными названиями.
Каждый раз вирус копирует в папку TEMP следующий набор файлов:
вариант 2:a.ico - иконка следующего вида
a5hsx - заготовка под hosts (без добавок)
vittq.vbs - скрипт visual basic
dwfsr.bat - исполняемый файл bat
7a3y8 - заготовка под hosts с вредными записями.
После копирования файлов вирус запускает скрипт, расположенный в файле с расширением VBS.
Скрипт добавляет в папку автозагрузки ярлык с названием AdLoader.lnk.
К ярлыку привязывается иконка a.ico, что придает правдоподобности загружаемому процессу.
Создав ярлык скрипт переходит в спящий режим, т.е. будет запущен вновь через некоторое время.
Дополнительно к сделанному скрипт пытается скачать файл qip.dll (http://lxjte.dopitter.info/js/data/qip.dll). Чем занимается этот файл я к сожалению не смог пока разобраться.
После скрипта запускается исполняемый файл с расширением bat
При выполнении файла происходит следующее:
Изначально необходимо удалить ВСЁ из папки TEMP.
Я рекомендую для этих целей использовать утилиту "ATF Cleaner" (утилита помогает очистить систему от лишних файлов при помощи нажатия одной кнопки).
В программе необходимо выбрать пункт "Select all" и нажать "Empty Selected".
Далее необходимоудалить ВСЕ ярлыки из папки "Автозагрузка".
Даже если у Вас есть реально действующие ярлыки от программ в этой папке, то поверьте, стоит удалить все имеющися ярлыки и создать новые.
Перезагружаем систему.
Удаляем файл hosts с набором дополнительных записей.
Удаляем файл qip.dll (пусть неизвестно что он делает, но наверняка ничего хорошего).
При помощи AVZ чистим все политики пользователя. Для этого выбираем следующие пункты меню: "Файл" -> "Восстановление системы"
В открывшемся окне выбираем пункты:
6. Удаление всех Policies (ограничений текущего пользователя).
8. Восстановление настроек проводника.
13. Очистка файла Hosts.
и нажимаем на кнопку "Выполнить отмеченные операции".
Последний пункт в принципе выбирать не обязательно :) , это скорее просто подстраховка.
Завершающим этапом ОБЯЗАТЕЛЬНО должна быть проверка системного диска при помощи бесплатной утилиты CureIt!.
Drweb: Trojan.Hosts.5727
Касперский: Trojan.Win32.Agent.roge
Решив проверить подлинность страницы из поста ... вновь полез по известному мне адресу. Зайдя на страницу незамедлительно полулчил свежий вирус.
Хочется сказать что вирусы умнеют не по дням а по часам.
Запустил вирус несколько раз, соответственно каждый раз получал получил файлы с разными названиями.
Каждый раз вирус копирует в папку TEMP следующий набор файлов:
вариант 1:
a.ico - иконка следующего вида
bsl9j - заготовка под hosts (без добавок)
gvtxj.vbs - скрипт visual basic
yvhjm.bat - исполняемый файл bat
zw9xq - заготовка под hosts с вредными записями.
bsl9j - заготовка под hosts (без добавок)
gvtxj.vbs - скрипт visual basic
yvhjm.bat - исполняемый файл bat
zw9xq - заготовка под hosts с вредными записями.
a5hsx - заготовка под hosts (без добавок)
vittq.vbs - скрипт visual basic
dwfsr.bat - исполняемый файл bat
7a3y8 - заготовка под hosts с вредными записями.
После копирования файлов вирус запускает скрипт, расположенный в файле с расширением VBS.
Скрипт добавляет в папку автозагрузки ярлык с названием AdLoader.lnk.
Создав ярлык скрипт переходит в спящий режим, т.е. будет запущен вновь через некоторое время.
Дополнительно к сделанному скрипт пытается скачать файл qip.dll (http://lxjte.dopitter.info/js/data/qip.dll). Чем занимается этот файл я к сожалению не смог пока разобраться.
После скрипта запускается исполняемый файл с расширением bat
При выполнении файла происходит следующее:
- в реестр добавляется ключ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout] " "Scancode Map" со значением "000000000000000003000000000037e00000540000000000".
- производится удаление файла скрипта с расширением vbs из папки Temp.
- устанавливаетcя кодовой страницы (по умолчанию это сp866) на cp1251
- из папки Temp копируется исковерканный (с дополнительными записями) hosts в папку C:\WINDOWS\system32\drivers\etc\hоsts. Благодаря измененной кодовой странице становится возможным нахождение в одном месте двух файлов с казалось бы одинаковым названием.
- устанавливается кодовая страница cp866 (возвращаемся в нормальное состояние).
- в политиках отключается запуск UAC (это важно для систем Windows Vista и Windows 7/ Система с отключенным UAC перестает задавать вопросы о запуске неизвестных файлов и вирусы таким образом работают незаметно).
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] ключ "EnableLUA" - в реестр добавляется ключ hidden, который отключает видимость скрытых файлов.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] ключ "Hidden" - удаляются следы работы скрипта vbs, удаляется файл скрипта, и файлы с известными расширениями. Заготовки под файл hosts остаются в папке Temp.
Неправильный hosts содержит следующие записи:
95.156.222.27 odnoklassniki.ru
95.156.222.27 www.facebook.com
95.156.222.27 www.twitter.com
95.156.222.27 vkontakte.ru
95.156.222.27 ru-ru.facebook.com
95.156.222.27 www.odnoklassniki.ru
95.156.222.27 vk.com
95.156.222.27 www.vkontakte.ru
95.156.222.27 www.vk.com
95.156.222.27 facebook.com
95.156.222.27 twitter.com
95.156.222.27 www.facebook.com
95.156.222.27 www.twitter.com
95.156.222.27 vkontakte.ru
95.156.222.27 ru-ru.facebook.com
95.156.222.27 www.odnoklassniki.ru
95.156.222.27 vk.com
95.156.222.27 www.vkontakte.ru
95.156.222.27 www.vk.com
95.156.222.27 facebook.com
95.156.222.27 twitter.com
Как лечить эту беду?
Изначально необходимо удалить ВСЁ из папки TEMP.Я рекомендую для этих целей использовать утилиту "ATF Cleaner" (утилита помогает очистить систему от лишних файлов при помощи нажатия одной кнопки).
В программе необходимо выбрать пункт "Select all" и нажать "Empty Selected".
Далее необходимоудалить ВСЕ ярлыки из папки "Автозагрузка".
Даже если у Вас есть реально действующие ярлыки от программ в этой папке, то поверьте, стоит удалить все имеющися ярлыки и создать новые.
Удаляем файл hosts с набором дополнительных записей.
Удаляем файл qip.dll (пусть неизвестно что он делает, но наверняка ничего хорошего).
При помощи AVZ чистим все политики пользователя. Для этого выбираем следующие пункты меню: "Файл" -> "Восстановление системы"
В открывшемся окне выбираем пункты:
6. Удаление всех Policies (ограничений текущего пользователя).
8. Восстановление настроек проводника.
13. Очистка файла Hosts.
и нажимаем на кнопку "Выполнить отмеченные операции".
Завершающим этапом ОБЯЗАТЕЛЬНО должна быть проверка системного диска при помощи бесплатной утилиты CureIt!.
Drweb: Trojan.Hosts.5727
Касперский: Trojan.Win32.Agent.roge
Привет. Похоже вирус убрали с сайта
ОтветитьУдалитьможет быть, пока туда не ходил...
УдалитьКо мне сей набор попал с какого-то сайта детских онлайн-игрушек. Увидел AdLoader и ещё какой-то набор символов в автозагрузке. Изучил батник ,проверил пути - всё чисто, никаких изменений, разве что остатки в папке Temp. Система - XP из под ограниченного пользователя.
ОтветитьУдалитьВас можно поздравить: Вы трезво и грамотно подходите к интернетовским "опасностям". Все бы так. :)
Удалить>>>Завершающим этапом ОБЯЗАТЕЛЬНО должна быть проверка системного диска при помощи бесплатной утилиты CureIt!
ОтветитьУдалитьЭто лишнее. Ставьте обычного пользователя (неудобно поначалу, но всё же) и уделите время групповой политике.
Я бы все таки рекомендовал сделать проверку свежим CureIt. Как говорится беда не ходит одна, вирус может быть не один.
УдалитьНасчет политики и работы под обычным пользователем - Вы правы, на 100%.
Кстати, в командах батника упоминаются ещё 2 файла:
ОтветитьУдалитьerase "C:\DOCUME~1\User\LOCALS~1\Temp\wpbt0.dll"
erase "C:\DOCUME~1\User\LOCALS~1\Temp\zsghht.dll"
и строки из вот этого набора символов:
::7pvrfeyvcrd546hujwljhcibpj7zo56cnnqo13kytpqa L@
В моем экземпляре вируса таких файлов не было, был только qip.dll (строка из символов есть, не спорю, но вот смысл у нее какой?). Поздравляю, у Вас вирус круче чем мой :).
Удалитьблин у меня не работает из-за того что я что то поменял когда у меня прога не запускалась.(скорее всего я выбрал какуюто программу другую для запуска) и теперь не один EXE файл не запускается mihei1998@yandex.ru
ОтветитьУдалить