среда, 1 декабря 2010 г.

Эксперты "Лаборатории Касперского" обнаружили два новых блокера-шантажиста

"Лаборатория Касперского" предупреждает о распространении
двух программ-блокеров, шифрующих файлы пользователя и требующих деньги
за восстановление данных.

Один из зловредов представляет собой модификацию опасного троянца
GpCode. Он шифрует файлы с популярными расширениями (doc, docx, txt,
pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd и др.), после чего
самоуничтожается.

Эта программа была обнаружена аналитиками "Лаборатории
Касперского" 29 ноября и детектируется как
Trojan-Ransom.Win32.GpCode.ax. В настоящее время эксперты компании
работают над способами восстановления зашифрованных данных.

GpCode не распространяется самостоятельно - на компьютер он
попадает через зараженные сайты и уязвимости в Adobe Reader, Java,
Quicktime Player или Adobe Flash. В отличие от предыдущих версий
блокера, существующих еще с 2004 года, новая модификация не удаляет
оригинальные файлы после расшифровки, а перезаписывает в них данные.

Вторым обнаруженным блокером стал троянец Seftad, поражающий главную
загрузочную запись операционной системы (MBR). Две разновидности этой
вредоносной программы добавлены в антивирусные базы компании под именами
Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a.

После заражения Seftad переписывает главную загрузочную запись и требует
деньги за предоставление пароля, с помощью которого можно восстановить
изначальную MBR. После трех неверно введенных паролей инфицированный
компьютер перезагружается, и троянец заново выводит требование о
переводе средств.

Для предотвращения заражения блокерами GpCode и Seftad пользователям
продуктов "Лаборатории Касперского" необходимо загрузить
новые антивирусные базы. Эксперты компании рекомендуют регулярно
обновлять все установленное ПО для закрытия существующих уязвимостей.

Подробнее о результатах исследования троянцев-блокеров можно узнать на
сайте www.securelist.com/ru.

Главные онлайн-угрозы ноября: незаметный контроль над системой и фальшивые архивы

В ноябре наибольшую опасность для пользователей представляли так
называемые drive-by атаки, в результате которых с зараженных веб-сайтов
загружаются вредоносные программы.

Напомним схему заражения системы: пользователь попадает на сайт с
программой-редиректором, которая выполняет переход на скриптовый
загрузчик. Он, в свою очередь, запускает эксплойт - зловред,
использующий уязвимости в ОС и популярных приложениях. Через эти бреши
на компьютер проникает вредоносный исполняемый файл - чаще всего
это бэкдор или троянец, которые в случае успешного завершения загрузки
предоставляют злоумышленнику полный контроль над зараженной системой.
Поскольку вся drive-by атака происходит в скрытом режиме, пользователь
может даже не подозревать об опасности.
(http://www.kaspersky.ru/images/news/top20_november2010_pic01_ru.png) С редиректоров начинается
вся цепочка заражения при drive-by загрузках.

Стоит отметить, что редиректоры все чаще размещаются не только на сайтах
злоумышленников, но и на взломанных легальных ресурсах - таким
образом, от заражения можно застраховаться, лишь регулярно обновляя
операционную систему и используемое ПО.

По итогам ноября в двадцатку наиболее распространенных зловредов попало
девять эксплойтов, три редиректора и один скриптовый загрузчик, которые
используются при drive-by атаках.

Еще одной заметной угрозой месяца стало распространение поддельных
архивов - вид интернет-мошенничества, до сих пор не теряющий
актуальности. Его суть проста: пользователь скачивает из сети архив, для
распаковки которого предлагается отправить платное SMS. Однако, даже
послав сообщение, пользователь не получит нужной информации: вскрытый
архив в лучшем случае окажется пустым или "поврежденным", а
в худшем - будет содержать вредоносную программу.
(http://www.kaspersky.ru/images/news/top20_november2010_pic06.png)

Поддельные архивы распространяются довольно эффективно - при вводе
некого запроса в поисковую систему (например, "видео скачать без
регистрации"), происходит автоматическая генерация страниц с
баннерами, якобы предлагающими нужный файл.

"Лаборатория Касперского" детектирует фальшивые архивы
преимущественно в странах СНГ.

Подробнее об этих и других онлайн-угрозах, подстерегавших пользователей
в ноябре 2010 года, можно узнать по адресу www.securelist.com/ru/
(http://www.securelist.com/ru/analysis/208050671/Obzor_virusnoy_aktivnosti_noyabr_2010).

Лечение трояна вручную

Недавно мне довелось подхватить несколько вирусов. Дело было так: фаерфоксом зашел на чей-то личный сайт о фотографии, посмотрел пару страниц и вдруг все окна браузера закрылись и заверещал винчестер. Firefox был завершен без отправки сообщения о поломке, позже вычитал: советуют ставить IE8 даже если им не пользуешься. Когда его поставил, то увидел, что у него обширная система защиты: есть фильтр антифишинга, т.е. можно проверить настоящий ли сайт на котором сейчас находишься, а при установке он проверяет комп на вирусы.

Исследования показали, что троян много чего попортил.
  • В реестре

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

    после вызова userinit.exe через запятую прописал %windir%\system32\xylkfdj.exe. Это вызывало запуск еще одной вредоносной программы при каждом входе в систему.
  • Удалил все точки восстановления системы. Стало невозможно откатиться на предыдущее состояние. Удалил сами файлы из System Volume Information.
  • При выключении компьютера вызывал BSOD - синий экран смерти с кодом 8e. Его вызывал процесс jqs.exe - Java Quick Start, который подгружал инфицированные библиотеки sfc*.dll.
  • Обеспечил IP для фишинга. Прописал 85.12.46.140 для вконтакта и одноклассников в C:\WINDOWS\system32\drivers\etc\hosts.
  • Заблокировал доступ к антивирусным сайтам. Прописал несуществующий шлюз в активных и постоянных маршрутах для них, что было видно по команде route print.
  • Создал DLL setupapi.dll в каталогах всех браузеров. Эта библиотека с вирусом автоматически подгружалась при старте любого браузера.
Троян проник в систему через браузер с помощью вируса написанного на Java. Аплет изменяет права доступа к java-классам, скачивает и запускает exe-шник, который получает компьютер в свое полное распоряжение.  

Восстановление системы
  • Почистил реестр: оставил только userinit.exe в
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • Отключил службу Java Quick Start.
  • Распаковал sfc.exe и sfc*.dll из файлов дистрибутива Windows, которые лежат в C:\i386 и переписал их в C:\WINDOWS\system32.
  • Удалил setupapi.dll из каталогов всех браузеров.
  • Удалил все лишние сетевые маршруты с помощью команд route delete ....
  • Удалил лишние записи из C:\WINDOWS\system32\drivers\etc\hosts.
  • Поставил IE8.
  • Поставил свежий антивирус.

Приветствуются любые вопросы по поводу этого случая. Пишите комментарии, отвечу пока не забыл.