Страницы

WORM.WIN32.AUTORUN.soq (KASPERSKY) ОНЖЕ WIN32/FlyStudio.NAQ (NOD32)








Worm.Win32.AutoRun.soq (Kasper
sky)
Win32.HLLW.Autoruner.2665 (DrWeb)
Win32/FlyStudio.NAQ (NOD32)


Вес: 1,43 МБ (1 509 591 байт)
MD5: fc21bca4422d199799a4dacded4ae2e6
Упаковщик: Nothing found [Overlay] *

Обьяснение принципа работы трояна

Заражая флешку, он скрывает например папку под названием "Фото" с фотографиями пользователя, создает свой файл трояна под названием "фото.exe" когда пользователь нажимает на "фото.exe" (думая что он нажимает на свою папку) троян открывает папку пользователя под названием "фото" которую он скрыл. Таким образом пользователь не подозревает о подвохе и заражении системы. По умолчанию насколько Вы знаете показ срытых файлов и расширения для зарегистрированных типов файлов в Windows скрыт, поэтому пользователь нажимая на файл трояна с иконкой папки и названием папки пользователя, ни о чем не подозревает (нажимая на то что мы привыкли видеть папкой мы всегда как правило привыкли что это папка, а не ".exe" файл логично? Тем более с тем названием которое мы дали ей сами)

Техническое описание о работе данного трояна, лечении ОС и флешки.

При запуске файла трояна он сразу копируется в директорию \ system32 с атрибутами скрытый, по адресу C:\Windows\system32\ название файла трояна XP-C8544A34.EXE или XP-9ED95EA3.EXE или XP-9B941947.EXE или XP-9FB9279E.EXE Названия случайны, могут отличаться, но! На подобии этих! Смотрите внимательно! Например: XP-C8544A34.EXE Т.Е. начало XP- далее случайный набор 8 ми латинских букв и цифр C8544A34 и расширение файла .EXE Далее для примера, файл трояна я буду называть XP-C8544A34.EXE потому как он под таким названием скопиравался мне в систему. Хочу сказать что в папке \system32 такого типа названия файлов ".exe" нет! Поэтому не бойтесь удалить что то серьезное :) К тому же не забывайте, этот файл трояна имеет иконку папки! Поэтому Вы не ошибетесь при удалении, если название файла будет наподобие XP-C8544A34.EXE и иконкой папки!
Вес трояна 1,43 МБ (1 509 591 байт) Флешка заражается в момент присоединения ее к инфицированному компьютеру. Троян на флешке выборочно скрывает некоторые папки пользователя, и копирует свои файлы с расширением ".exe" с иконкой папки и названием той папки которую он скрыл + троян копирует на флеш еще один скрытый файл "себя" под названием Recycled.exe который имеет иконку папки (так что не забутье удалить еще и этот файл) В диспетчере приложений появляется новый процесс:

















При наличии интернет соединения активно соединяется через ниже приведенные IP адреса .

222.73.26.253 CHINA BEIJING BEIJING CHINANET SHANGHAI PROVINCE NETWORK

202.108.23.231 CHINA BEIJING BEIJING CHINA UNICOM BEIJING PROVINCE NETWORK

220.181.6.175 CHINA BEIJING BEIJING CHINANET BEIJING PROVINCE NETWORK



Так же этот зверь при работе с браузером периодически "выбрасывает" браузер на страничку
















Запуск
себя вместе с системой он себе обеспечивает с помощью ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XP-C8544A34

А также размещает свой ярлык в папке Автозагрузка.



















ЛЕЧЕНИЕ


ЛЕЧЕНИЕ: ОС

1) Отключаем восстановление системы!

2) Отключаем сеть! (выдергиваем сетевой кабель из карты)

3) Удаляем все точки восстановления системы.

4) Заходим в любую папку, кликаем сервис > свойства папки > вкладка "Вид" ставим галку на "Отображать содержимое системных папок" > убираем галку на "Скрывать защищенные системные файлы" > ставим галку на "Показывать скрытые файлы и папки" > убираем галку на "Скрывать расширения для зарегестрированных типов файлов" и нажимаем "ОК"

5) Завершаем в ручную в диспетчере задач процесс XP-C8544A34.EXE Иначе не даст себя удалить в папке \system32 Возможно таких процессов будет несколько, заканчиваем все (возможен глюк в работе трояна)

6) Удаляем файл XP-C8544A34.EXE по адресу С:\Windows\system32\ (файл трояна находится почти в самом низу)

7) ОС чиста.

ЛЕЧЕНИЕ: Флеш

1) Присоединяем флешки к компьютеру, которые как Вы думаете могут быть заражены (проверяем все флешки в вашем наличии)

Троян не ставит на запрет показ скрытых файлов и запрет на просмотр расширения файла. Поэтому почистить флешку можно и в ручную (без антивирусных программ) разрешив при этом показ срытых файлов и расширения для зарегестрированных типов файлов в сервисе папки (что мы уже с вами сделали)

Чситим флешку

Далее от вас требуется только внимание, внимание, и еще раз внимание!! Никаких спец навыков и знаний!

2) Открываем флешку привычным нам способом через "Мой компьютер"
Для того что б вам было удобнее чистить флешку необходимо, когда Вы зашли на флеш, сделать в ней вид папки "таблицей"

3) Ищем полупрозрачный (скрытый) файл с названием Recycled расширением ".exe" и иконкой папки, удаляем через Shift+Del








4) Далее Ищем все полупрозрачные папки (скрытые) Записываем их название на бумажку. Как понять что это папка а не файл? Просто! Присмотритесь внимательно, напротив нее написано "Папка с файлами" :)








5) Дальше ищем файлы с иконкой папки, расширением .exe и названием тех полупрозрачных папок (скрытых) название которых Вы записали на бумагу. Нашли? удаляем их через Shift+Del Боитесь что удаляете ваши папки с информацией? Присмотритесь в конце названия "папки" идет ".exe" и надпись напротив нее "Приложение" это исполнительный файл трояна, а не папка, удаляем!











Вот так в общем то без антивирусных утилит мы с вами почистили систему и флешку от трояна. Если Вы все сделали как написано, и почистили все от заразы, можете собой гордится Вы вступили в ряды борцов с компьютерной нечистью! Если переживаете все таки, что возможно Вы что то пропустили, скачайте Dr.Web Cureit! и просканируйте полностью систему со всеми флешками что у вас есть в наличии. В настройках Dr.Web Cureit! в окне сканера поставьте точку "Полное сканирование" а в настройках сканера выставьте "инфецированное > удалить" в этом случае такую настройку можно спокойно ставить. Если у вас возникнут вопросы то воспользуйтесь в блоге новым сервисом прямой связи со мной, или оставьте комментарий на который я всегда отвечу.

© Нестеров Игорь Владимирович 2009 год

2 комментария:

Анонимный комментирует...

Какая познавательная статья вышла! Молодцом автор! :)

Анонимный комментирует...

Респект Автору!!! Спас от смерти!!!