22:32 

Очередной Winlock

Hikedaya
Stance Dance

Принесли пациента со следующим диагнозом:
Ваш компьютер заблокирован за просмотр. копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо
оплатить штраф в размере 400 рублей на номер телефона XXXXXXXXXX В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ.
Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.


Качественный лок, к диспетчеру задач не подобраться (и как водится, работали под администраторской учеткой, куда ж без этого). Разбираем по складам.
Загрузка с BartPe с параллельным поиском о зловреде в сети. Нашлось много, в основном это мольбы о том, что код нужен прямо сейчас. Среди "волн вайна" (с) отыскивается полезная информация - тело вируса заседает в каталоге пользователя (если не администратор), или в профиле All users\Application Data (если админа пробили). Удалить оттуда. Параллельно вирус модифицирует userinit.exe, как в system32, так и в dllcache - этот уже изощреннее, ага. Ну и само собой, меняется параметр Shell в реестре, чтобы сразу после входа в систему вместо explorer.exe запускался зловред.
Но есть и одно НО! Поражаются не только копии файла userinit.exe, но и taskmgr.exe, так же и в system32, и в dllcache. На это уже наткнулись, когда запустили систему после, казалось бы, успешного лечения.
Суммарная информация:
Лечение в оффлайне.
1. Удаление тел вируса из папок профилей и каталога system32.
2. Копирование на пораженную машину неинфицированных файлов userinit.exe и taskmgr.exe в каталоги system32 и dllcache.
3. Исправление пути на оболочку среды, запускающуюся после входа в систему. Как это сделать: в окружении BartPe подцепить пораженный реестр: Клац, и выправить необходимые параметры - Клац!.
4. После успешной загрузки и входа в систему обязательно запустить от имени администратора команду sfc /scannow, чтобы проверить критичные файлы.
5. Обновить базы антивирусного ПО и провести полную проверку.
6 - last, but not the least - перейти на использование ограниченной учетной записи для повседневной работы. Чинить пораженный профиль значительно проще, чем пораженную систему в целом.

@музыка: Blackmore's Night - Storm

@темы: Viruses and Spam

URL
Комментарии
2011-05-25 в 08:49 

Владимир Мор
Not to touch the earth, not to see the sun...
Буквально ночью наткнулся на тварюшку (вызвонили ай-яй, срочно-срочно, денюжку дам, избави от лукавого).
Как раз таки All Users\Application data, вместо запуска explorer - адрес виря, рядом с ним - еще один файл, еще один - в Admin\Local Settings\Temp и еще один заменяет userinit.exe
причем обновленные авира, паук и каспер злоехидину не видят, вирус выпиливался врукопашную.
в свойствах файла виря кстати стоит:

Описание: Guan
Производитель: BitDefender

2011-05-25 в 10:29 

Hikedaya
Stance Dance
Владимир Мор-Анор, тот, что попался мне вчера - относительно свежий, хотя метод борьбы известен уже давно.
Очень часто винлоки не опознаются АВ-программами, так как не несут ничего деструктивного. Ну показывает он окно на экране - так любая программа это делает. Другой вопрос, что они же (винлоки) прописываются в местах, куда обычным программам лезть нельзя, и вот уже по этому поведению антивир должен бить тревогу, но простой сигнатурный поиск тут мало поможет. HIPS надо.

URL
2011-05-25 в 17:59 

Владимир Мор
Not to touch the earth, not to see the sun...
на сайте каспера он-таки опознался, кстати

2011-05-25 в 18:17 

Hikedaya
Stance Dance
Владимир Мор-Анор, добавили таки... базы от 11 числа его не видели, а обновлять на флешке KVRT было лень ;)

URL
2011-05-25 в 21:26 

[Шан]
Являю собой живое пояснение загадочному слову "плющит".
Я тебе про него и рассказывала недавно, где-то в начале мая, ага. Ухохотайка просто. ))

2011-05-25 в 22:05 

Hikedaya
Stance Dance
Шан, так вот кого вам изводить пришлось? ) Да уж, жесть )

URL
2011-05-26 в 11:23 

добавлю: так-же модифицирует explorer.exe (конкретно в моем случае)
Описание: Guan Производитель: BitDefender
угу и язык Казахский - это меня больше всего повеселило.

URL
2011-05-26 в 11:24 

добавлю: так-же модифицирует explorer.exe (конкретно в моем случае)
Описание: Guan Производитель: BitDefender
угу и язык Казахский - это меня больше всего повеселило.

URL
     

Записная книжка

главная