Страницы

Trojan.MBRlock.19 или лечим вымогателя за 10 минут.





Не так давно для тренировки, я занялся вопросом лечения такого семейства троянов как Trojan.MBRlock.
Большинство из них лечится за 5 минут, но сегодня я бы хотел рассказать о одном MBRlockере который у меня вызвал интерес, потому как он по первой лечиться как большинство не хотел.



Немного описания:

Trojan.MBRlock.19


Добавлен в вирусную базу Dr.Web:2011-12-06

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'XHFHGEBDbadw' = '\XHFHGEBDbadw.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
  • %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
  • %TEMP%\XHFHGEBD17a3c
  • \XHFHGEBDbadw.exe
Удаляет следующие файлы:
  • %TEMP%\XHFHGEBD17a3c
Самоперемещается:
  • из <Полный путь к вирусу> в %TEMP%\1.tmp
Сетевая активность:
Подключается к:
  • 'go###inder.info':80
TCP:
Запросы HTTP GET:
  • go###inder.info/stat/cmd.php?id#####################################
UDP:
  • DNS ASK go###inder.info
  • '':1035


К слову сказать компания Doctor Web на своем сайте предлагает онлайн генератор ключей для разблокировки этого трояна, но во первых не всегда есть под рукой интернет, не всегда есть время, не все могут найти его в базе, не все знают об этой базе и т. д.
Я же задался целью пролечить систему от этого трояна, так сказать подручными средствами админа. Хотя конечно вариант разблокировки через онлайн генератор ключей от Doctor Web кому то больше может подойти.
Первым делом я попытался восстановить MBR через консоль восстановления, которая есть в каждом (оригинальном) установочном дистрибутиве Microsoft Windows Prof XP
Но не тут то было, консоль дисков не увидела. Дальше думаю, загружаюсь с загрузочного диска (Hirens Boot CD) и смотрю, а что же с диском и разделами вообще творится.
После загрузки Hirens Boot CD я зашел в программу Acronic Disk Director и увидел что все разделы жесткого диска зашифрованы, зайти на них невозможно, и Windows при попытке зайти на диск через проводник, советует по доброму его отформатировать :)

Соответственно в этом случае для изгнания заразы не поможет сканирование Doctor Web Live CD (для отчета попробовал, но не увидел Doctor Web жесткого диска для сканирования)
И тут меня посетила мысль, а что если например через тот же Hirens Boot CD на котором есть Mini Windows XP с большим набором утилит, попытаться подключить жесткий диск, и пролечить его Doctor Web CureIT! предварительно вшитым в образ?
Так и поступил, вшил в образ Hirens Boot CD свежий CureIT! закатал на болванку, запустил с него Mini Windows и охота началась...
Правда не долгая, для нахождения зараженного раздела жесткого диска использовал утилиту HBSD MENU >> RECOVERY >> PARTITION FIND & MOUNT (программа проста в использовании как двери) находит разделы жесткого диска и подключает их.
Подключил раздел жесткого диска, запустил свежий CureIT! Выбрал опцию выборочное сканирование, указал в моем случае диск C: и нажал на сканирование, насколько Вы знаете то MBR сканируется сразу, поэтому долго ждать не пришлось, буквально через 10 секунд сканирования курилка нашла подлеца и вылечила MBR.
Все, система теперь загрузилась в обычном режиме.
Но не забываем после этого полностью просканировать систему, дабы найти тело Trojan.MBRlock.19 и не наткнуться на него снова :)

Комментариев нет: