->

вторник, 28 августа 2012 г.

Валидация аккаунта... вариация...

Собрался с духом (а то все размышлял, правда ли, что Cantori - лучшая мебельная фабрики Италии) и выкроил таки минутку чтобы поделиться свежими впечатлениями... Сегодня рассмотрим вариант лечения еще одного вируса с валидацией аккаунта в соц.сетях. Попалась мне лично эта животинка недавно, хотя узнал о ней я гораздо раньше, чем поймал лично.


Подмена hosts в данном случае прописывается в системном реестре. Файл вируса лежит в папке
C:\WINDOWS\ и носит гордое название activate.exe.
Обнаружить заразу традиционно помог AVZ.
Во первых - список файлов в hosts:
127.0.0.1 localhost hellhead.ru anonimvk.ru anonim.do.am webvpn.org unboo.ru xy4-anonymizer.ru nekontakt2.ru
127.0.0.1 urlbl.ru anonymizer.ru timp.ru workandtalk.ru dostyp.ru neklassniki.ru nemir.ru
127.0.0.1 anonimix.ru waitplay.ru nezayti.ru webmurk.ru vkanonim.ru dostupest.ru
127.0.0.1 v.vhodilka.ru o.vhodilka.ru raskruty.ru diazoom.ru razblokirovatdostup.ru anonim.ttu.su
127.0.0.1 spoolls.com jelya.ru antiblock.ru websplatt.ru dardan.ru cameleo.ru obhodilka.ru pinun.ru
127.0.0.1 ok-anonimaizer.ru netdostupa.com adminimus.ru vhodilka.ru
95.156.222.135 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru

Во-вторых - прямое указание на опасность обнаруженную при проведении эвристического анализа:
7. Эвристичеcкая проверка системы Обнаружен вызов интерпретатора командной строки в автозапуске [DR=15] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\itbgl = [cmd.exe copy "C:\DOCUME~1\admin\LOCALS~1\ .... часть текста удалена с точки зрения безопасности ... "C\system32\drivers\etc\hosts"] >>> C:\WINDOWS\activate.exe ЭПС: подозрение на Файл с подозрительным именем


В третьих, странные записи в секции "Автозапуск", в отчете AVZ:
Автозапуск
Имя файлаСтатусМетод запускаОписание
copy C:\DOCUME~1\admin\LOCALS~1\Temp\9640421FdOh C:\WINDOWS\system32\drivers\etc\hosts

Активен

Ключ реестра

HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, 9640765

copy C:\DOCUME~1\admin\LOCALS~1\Temp\t1 C:\WINDOWS\system32\drivers\etc\hosts

Активен

Ключ реестра

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, itbgl


Лечится все как обычно достаточно легко.
С помощью того же самого отчета AVZ? формируется скрипт, убивающий файл activate.exe и записи автозапуска в реестре.
Получается скрипт следующего вида:

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9640765');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','itbgl');
ClearHostsFile;
DeleteFile('C:\WINDOWS\activate.exe');
...
ExecuteSysClean;
end.

Дополнительно был удален файл 'C:\WINDOWS\System32\Drivers\lbrtfdc.sys', потому как хозяина у данного файла не нашлось, а бездомного файла на компьютерах быть не должно.
Собственно, НЕ РЕКОМЕНДУЮ, удалять наотмашь все неизвестные файлы, но с подозрением к ним относиться можно и нужно.
Проверить неизвестные Вам файлы можно отправив их на известные ресурсы он-лайн проверки.

P.S. Незатейливо получилось, и наверное скучновасто, но может кому и поможет...
Не болейте!




2 комментария:

  1. обьясни как сделать скрипт а то я незнаю.Заранее спасибо

    ОтветитьУдалить
    Ответы
    1. Прошу прощения за опоздание. Скрипт делается очень просто. Под каждым пунктом таблицы есть ссылки "удалить". Нажимешь на эту ссылку и в окошко, находящееся в нижней части протокола исследования системы AVZ, добавляется соответствующая строка. Потом просто копируешь этот скрипт в программу и выполняешь.

      Удалить