->

среда, 31 октября 2012 г.

oWeeSSa4EKA.exe и ее hosts

Два дня мучал меня данный мракобесный вирус. На второй день голова прояснилась и даже не пришлось разбивать в гневе монитор.
Сегодняшний вирус, как и многие виденные ранее, дописывает файл hosts, но в немного странном для меня ракурсе.
Вирус блокирует переходы по всяческим сервисным сайтам-анонимайзерам, позволяющим выйти на соцсети (прямо мечта офисных администраторов).

Название файла вируса- "oWeeSSa4EKA.exe".

Дописывает в файл hosts следующие строки:

127.0.0.1 localhost hellhead.ru anonimvk.ru webvpn.org unboo.ru anonim.do.am xy4-anonymizer.ru nekontakt2.ru
127.0.0.1 vkanonim.ru dostupest.ru anonimix.ru webmurk.ru waitplay.ru nezayti.ru
127.0.0.1 antiblock.ru dardan.ru cameleo.ru obhodilka.ru websplatt.ru jelya.ru pinun.ru spoolls.com
127.0.0.1 raskruty.ru razblokirovatdostup.ru o.vhodilka.ru anonim.ttu.su v.vhodilka.ru diazoom.ru
127.0.0.1 neklassniki.ru timp.ru urlbl.ru workandtalk.ru nemir.ru dostyp.ru anonymizer.ru
127.0.0.1 adminimus.ru netdostupa.com vhodilka.ru ok-anonimaizer.ru
46.251.249.135 vk.com
www.odnoklassniki.ru m.odnoklassniki.ru m.vk.com wap.odnoklassniki.ru odnoklassniki.ru my.mail.ru
46.251.249.136
www.google-analytics.com counter.spylog.com mc.yandex.ru admulti.com counter.rambler.ru

Попробовал пройти по указанным адресам, но ничего не вышло.. нет на них http-шного интерфейса

Зловредень выдал свое присутствие тем, что при переходе по любой ссылке дополнительно открывал окно с рекламой сериала "интерны". Именно после этого решено было просмотреть опасные места типа файла "hosts" и ключи реестра, типа "run".

Антивирусами вирус (сам исполняемый модуль) классифицируется:

DrWeb  -  Trojan.Carberp.647
Касперский - Trojan-Ransom.Win32.PornoAsset.apyl

НО! Проверка системного диска при помощи Cureit! ничего не дала, кроме сигнала что файл hosts изменен и было предложено вернуть его в рабочее состояние.
Отловить его при помощи AVZ также не удавалось. Вернее в отчетах AVZ писал, что есть странная ссылка в автозапуске, файл "oWeeSSa4EKA.exe". Однако, при просмотре папки автозагрузки такого файл не обнаруживалось, категорически. Естественно, это ставило в тупик, и после пятой проверки AVZ я начал думать, что с утилитой что-то не так.
А дело тут достаточно просто. Исполняемый файл запускается, прописывает ссылку-ярлык на подмену hosts в реестр вот такого вида (текст подправлю, во избежание использования во вред):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"168028968"="....exe /c copy C:\\Temp\\168027843FdOh ... \\etc\\hosts /f"

Далее вредина просто прячется в папку temp под именем системного временного файла с расширением tmp.

Лечение оказалось простым: загрузка в безопасном режиме (либо с системного диска Alkid) позволяет пропустить загрузку файлов, прописанных в реестре. Соответственно файл "oWeeSSa4EKA.exe" не был запущен, не удалился и был пойман на месте.
Ссылка в реестре была стерта, папка temp очищена.
Всё, компьютер здоров и бодр.