Дата:   24.11.2017 г.
Время:
 
 
Профессионалам и любителям
ПРОСТО * ДОСТУПНО * ИНТЕРЕСНО
01796
Подписной
индекс
Опрос
Пользуетесь Blu-ray?
Погода
 
Архив - Манящий сыр - Журнал «Компьютер»
Манящий сыр
№ 9'2006     Владислав Демьянишин   сайт автора    Тема: Безопасность     ( Прочитано 5177 раз )
 
…или “Новый украинский лохотрон 2”.
 
Наверное, читатели “Компьютера” ещё помнят мою статью “Новый украинский лохотрон”. В ней я рассказывал о приключениях моего приятеля по имени Шурик, которого угораздило поверить собеседнику в чате и его предложению скачать себе якобы генератор кодов карточек для пополнения счёта мобильного телефона. Приятель, будучи неопытным новичком и привык запускать всё, что попадёт под руку, естественно запустил скачанную программу, а она, оказавшись трояном-вымогателем, в свою очередь нарушила нормальную работу операционной системы на его компьютере.
И вот, прошло совсем немного космического времени, всего-то месяца 4, как уже другой мой приятель, назовём его Жорик, точно так же в чате общаясь с уже довольно хорошо знакомым собеседником клюнул на ту же приманку, то бишь на бесплатный сыр в виде всё того же генератора кодов карточек для пополнения счёта мобильника. Ему предложили посетить страничку и скачать файл infostore.org/info/1384466/setup.exe размером 136704 байта. Скачав, он запустил его и тут же понял, что совершил глупость. А, совершив глупость, все что делают? Правильно, ищут помощи у других, например у своих знакомых. Таким знакомым, как и в первом случае, оказался я. После короткого диалога:
- Как, и ты Жорик на те же грабли попался? Ну, как ты мог? Мда, а ведь я был о тебе лучшего мнения.
- Да вот такая … приключилась … понимаешь. И что теперь делать? Ярлыки с рабочего стола пропали. Системные папки исчезли, система выдаёт сообщение, чтобы я прислал код свеже купленной карточки на адрес nice@privat.ms, иначе беспорядки на компе не прекратятся.
Мда, а ведь у Жорика стоит антивирус NOD32. Вот ведь шляпа.
 
Засучив рукава и закусив губу
 
Вернее сказать, это приятель закусил губу от огорчения и отчаяния, а я, засучив рукава от присущего мне пафоса и самомнения, принялся бороться с последствиями его беспечности.
Долго тут рассказывать нечего, поскольку имеет смысл перейти сразу к описанию инструкции по обезвреживанию данной гадости.
Но сначала следует сказать, что не оставляя попыток обезвредить троян, я всё же решил, что будет не лишним подключить к моим усилиям опыт и возможности лабораторий известных антивирусных разработчиков Касперского (www.kaspersky.ru), Doctor Web (www.drweb.ru), и отечественного UNA Soft (www.unasoft.com.ua) и утилиты AVZ Зайцева Олега (z-oleg.com/secur/avz/download.php). Надо сказать, что на мой призыв о помощи первыми буквально уже через 130 минут откликнулся Олег Зайцев, а служба поддержки “Касперского” и того раньше – через 90 минут. Оба дали мне чёткую характеристику трояна и известили меня, что мой приятель является “счастливым” обладателем очередной свежей модификации трояна Trojan.Win32.Krotten, а именно Trojan.Win32.Krotten.bd.
От Касперского мне предложили посетить сайт разработчика антивируса и скачать маленькую утилитку для лечения системы именно от семейства данного трояна (ftp://d-ru-1f.kaspersky-labs.com/utils/klwk/KLWK.ZIP, 70Кб). В тоже время Олег Зайцев не ограничился кратким ответом, а написал подробную инструкцию по обезвреживанию трояна:
 
1. На диске C: найти папки "Windows 91", "Windows 98" и проверить их
содержимое. Если папки пустые, то удалить их.
2. Троян ставит атрибуты "скрытый" для папки Windows - нужно вернуть
ей нормальные атрибуты при помощи любого менеджера файлов, например
FAR. Аналогично с папкой Program Files - она на месте, только атрибуты
у нее "скрытый" и "системый". Можно конечно этого и не делать - на
работе системы это не сказывается.
3. Далее все сделает AVZ – нужно:
3.1 Обновить базы AVZ.
3.2 Пролечить системный диск C.
3.3 Выполнить меню "Файл/Восстановление
системы" и отметить все опции, кроме "Восстановление настроек загрузки
в SafeMode", после этого нажать "Выполнить отмеченные операции".
3.4 Перезагрузиться.
4. После перезагрузки все должно стать нормально ... Для надежности
операцию 3 можно повторить еще раз.
5. Зайти в панель управления, там - в "Язык и региональные стандарты"
- и там на первой закладке переключить с русского скажем на
румынский и назад - это приведет к восстановлению региональных
 
 
 
 
настроек, в частности, форматной маски времени - после этого часы в трее и отображение времени в программах нормализуется.
 
Забегая вперёд, скажу, что лично по моим наблюдениям, сначала следует запустить утилиту от “Касперского” с параметром “/s” (для проверки всех дисков) так:
 
Klwk.com /s
 
поскольку она весьма быстро обнаружит вредителя и восстановит нарушенные настройки системы на место, а уже потом просто запустить AVZ, и выполнить пункт 3.3 инструкции Олега Зайцева, иначе рискуете столкнуться с недоступностью службы “Установка и удаление программ”.
 
Далее Олег Зайцев предложил мне прочесть датированный ещё 2004 годом документ (virusinfo.info/showthread.php?t=3584) следующего содержания:
Сам "зверь" имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
WINDOWS/system32/AudioHQ.dll.exe
WINDOWS/system32/oobe/explorer.exe
и прописывает себя в автозапуск при помощи стандартного ключа реестра
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curr entVersion/Run
(причем в автозапуск приписывается оба файла)
Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т. е. они не висят в процессе работы в памяти, что затрудняет обнаружение).
Деструктивное действие состоит в
1. создании ряда ключей реестра, которые ограничивают действия пользователя (т.н. Policies), например блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit.
2. Добавляет параметры WinLogon, выводящие при загрузке сообщение "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail gsmcoders@walla.com код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления..." с заголовком окна "DANGER".
3. Меняет ряд настроек IE (заголовок окна, стартовую страницу).
4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках), что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины.
5. Ставит атрибуты "скрытый", "системный" для Windows, Program Files (при этом делает это некорректно - папки ищутся на диске C:/), создает несколько посторонних папок, в частности "Типа WINDOWS" "Типа WINDOWS2" "Типа Мои Докумены".
Известен второй вариант данного трояна - REG файл, выполняющий аналогичные по сути действия. В этом случае шаги лечения аналогичны, но на стадии 2 не будет указанных EXE файлов.
 
Наконец-то
 
Теперь от себя. Скажу, что в результате троян-вымогатель был нами успешно обезврежен и удалён с компьютера Жорика без последствий, за что моя глубокая благодарность Олегу Зайцеву и “Касперу”. Мда, вот так приятелю я помог сэкономить 25 гривень на откуп и ещё кучу нервных клеток, которые, как известно, не восстанавливаются, в отличие от операционной системы. Собственно я с первых минут этой поучительной истории сказал Жорику, чтобы он не мандражировал перед компьютером и перед такими ситуациями в частности.
 
Остаётся сказать, что от Доктора Веба мне ответили чуточку позднее, при этом попросили отослать вирус ещё по одному их адресу. После чего ответа я жду до сих пор. Так же “оперативно” проигнорировали мою просьбу и в UNA Soft. Видимо, наши земляки увлечены корпоративными клиентами больше, чем их российские коллеги.
 
Ну а что же наш доморощенный Робин Гуд? А он просто перенёс свой троянчик со старого адреса www.ccniaydh.nm.ru/codgen7.5.exe на другой, и почтовый ящичек gsmcoders@rambler.ru поменял на новый. Видимо, он наивно полагает, что до него компетентные органы не доберутся. Если бы у меня хватило времени, я бы подключил к данной проблеме не только ПОшников, но и ОБЭПников. А им в свою очередь всего-то надо было бы отследить мобильник, с которого воспользовались меченой карточкой.
Так, что у нашего Робин Гуда всё ещё впереди – это и увеселительное путешествие в места не столь отдалённые, где он сможет наслаждаться видами неба в большую клетку, и дегустация баланды, и приятное и всесторонне развивающее общение с умудрёнными опытом сокамерниками. Уважаемые друзья, пожелаем ему приятно отдохнуть от трудов “праведных”! :)
 

 
 
На главную страницу На предыдущую страницу На начало страницы
 
 
 
 
 
2009 - 2017 © СПД Зайцев А.Б.
Сайт является средством массовой информации.
При перепечатке и цитировании в печатных СМИ ссылка на журнал "Компьютер" обязательна.
При перепечатке и цитировании в Интернете обязательна активная гиперссылка на сайт Comput.com.ua, не закрытая для индексирования.
Украина онлайн Рейтинг@Mail.ru Рейтинг Сайтов YandeG