Удаляем трояна, требующего отправку SMS с компьютера
Сегодня с утра на работе сотрудница словила троян, требующий отправки
SMS на короткий номер.
Тут должна быть картинка с
трояном, но что самое смешное, я не смог запустить его на виртуалке.
Даже в автозагрузку его прописывал, ну не хочет работать и всё. В
общем, если желающие сделают скриншот, то будет очень неплохо. При этом я
видел окно только мельком, но выглядело оно красиво :).
По поводу механизма заражения очень хорошо расписал Olegas, я,
соответственно распишу про первую часть, про лечение. Кстати,
первоначально было подозрение в том, что это дыра в IE8, на практике
оказалось что скорее всего вирус проник через дыру в Java или Flash. Так
что, в принципе, не защищён ни один из браузеров. Анализ логов
показал, что сайты посещались достаточно безобидные, на каком из них
завёлся iframe с дроппером, выяснить не удалось (не все же перебирать, в
самом деле).
Теперь, собственно про лечение. Способов по
идее много, но я расскажу, как это сделать по сети, не подходя к жертве
и не мучаясь с тем, как разобраться с этим окошком (это, кстати
помогает и против других вирусов).
Все дальнейшие действия делаются с другого компьютера:
Ищем вредный процесс tasklist /s computer_name. В нашем случае
им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с
первого раза глаз не цепляется за название).
Убиваем его через taskill /s computer_name /pid process_id
Запускаем regedit и подключаем сетевой реестр с данного компьютера.
Ищем, где напакостил вирус. Оказалось, что он подменил себя в в
качестве шелла:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe
Также выяснилось что вирус установил политику «запрет запуска
TaskManager», так что его просто так было не убить. Быстрый поиск в
гугле (это было быстрее чем применять политику) показал что надо убить
ветку:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableTaskMgr
Перегружаемся, запускаем Cure-It и добиваем останки вируса из
временных папок.
В общем всё просто, а главное со своего рабочего места. Естественно
на компьютере не должны быть зафаирволлен удалённый доступ, не отключен
удалённый реестр.
И напоследок, немного из другой
области: в случае заражения вирусами компьютера, рекомендую
по-возможности сканировать его с другой машины, тоже по сети.
Неоднократно были прецеденты, когда вирус пудрил мозги антивирусам
изображая своё отсуствие, а другому компьютеру это естественно у него
не получалось.
