Alex56
Новый пользователь
- Сообщения
- 24
- Реакции
- 139
Virtumonde/Vundo
Краткое описание и удаление
Краткое описание и удаление
Тип: Adware/Spyware/Троянская программа
Платформа: Все существующие на сегодняшний день ОС Windows
Автор: Virtumonde (virtumonde.com)
Симптомы:
Огромное количество всплывающих сообщений и рекламных окон IE (pop-ups), которые не перестают появляться даже при отключении интернета.
Характер демонстрируемой рекламы может быть разнообразным, но в основном речь идет о приложениях класса WinFixer и ErrorSafe (WinAntivirus, ErrorGuard, SafetyDefender, WinantiSpyware, SysProtect, SystemDoctor, DriveCleaner и др.).
Пример возможных всплывающих окон:
Периодически устанавливается соединение с серверами 82.98.235.63/cgi-bin/check/**********; 85.12.25./; 82.98.235./; 89.188.16./ и др.Технические детали:
Регистрируется в системе как:
- расширение браузера BHO (Browser Helper Object);
- модуль уведомления Winlogon (Winlogon Notify);
- в последних вариантах добавилась еще одна запись в AppInit_DLLs;
- может изменять ключ BootExecute (HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute)
Названия созданных файлов - произвольные(!), т.е. выбираются случайным образом (5-8 знаков), что делает поиск и удаление файлов по характерным именам неэффективным:
accepx.dll, aklsp.dll, akupd.dll, apcuo800.dll, awsgasfg.exe, awtst.dll, awvvs.dll, ayggaaaa.exe, bad-baby.dll, cidrules.dll, cutil.dll, dbabr.dll, ddaya.dll, dssoundi.dll, dwteepbb.exe, egjlcmba.dll, evhhapft.dll, fdconfig.dll, fdepheme.dll, gebcy.dll, gebya.dll, geeda.dll, getui.dll, grsqaaaa.exe, grtvumjk.exe, hgboxjfv.dll, hgded.dll, hggfg.dll, hvzjmguj.dll, icmppgrd.dll, inetadpt.dll, jkhfc.dll, jnwptjsf.exe, jpmthfgn.exe, jrbkvsrs.dll, jtwcaaaa.exe, keytapi.dll, khfff.dll, ljjji.dll, lspak.dll, mcconfig.dll, med.dll, mfc4hell.dll, mljjk.dll, mllmm.dll, msexfilt.dll, mshttcpl.exe, nwwkdb40.dll, opnnk.dll, pakfkrdr.dll, pentilcr.dll, pmkjg.dll, pmkjk.dll, quickbrowser.exe, QuickBrowserUpgrader.exe, scvi50.exe, setdrv32.dll, sjxwnaaa.exe, ssqrs.dll, ssttu.dll, systetup.dll, virtu000__.exe, vtsrr.dll, vtsts.dll, vturs.dll, wincore.dll, WindowsUpd1.exe, WindowsUpd2.exe, WindowsUpd4.exe, wavejava.dll, winhost32.exe, winupd.dll, xod.dll, yabba58.exe, yayyyab.dll, zz40.exe, zz50.exe.
В логах HijackThis заражение фиксируется в секции O2 и O20 и выглядит примерно следующим образом:
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\ddaya.dll
O20 - Winlogon Notify: ddaya - C:\WINDOWS\System32\ddaya.dll
Вместо 'ddaya.dll' может быть любое значение.
Вместо 'MSEvents Object' может быть значение 'ATLDistrib Object', 'CIEPl Object', либо имя может отсутствовать:
Единственное, нужно обязательно иметь в виду, что некоторые варианты маскируют своё присутствие от HijackThis (устранить такую маскировку возможно с помощью переименования файла HijackThis.exe на HJT.exe или TJH.exe) + последние версии для затруднения своего обнаружения и удаления используют полнофункциональный руткит, который скрывает присутствие вредоносных файлов Vundo от системных программ, программ по безопасности и от самого пользователя.O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\vtstr.dll
O20 - Winlogon Notify: vtstr - C:\WINDOWS\SYSTEM32\vtstr.dll
Наиболее простой способ удостовериться в том, что у вас этого руткита нет:
My Computer > Properties > Hardware > Device Manager > в верхнем меню: View > Show Hidden devices > Non-Plug and Play Drivers > если записи 'DP1112' в списке там нет, то всё ок (разумеется, с условием, что к тому времени не будет выпущена новая версия)
Детектируется антивирусами примерно следующим образом:
AntiVir: ADSPY/Virtumonde; TR/Vundo.Gen
BitDefender: Trojan.Virtumod; Trojan.Vundo
DrWeb: Trojan.Virtumod
Ewido: Adware.Virtumonde
Kaspersky: not-a-virus:AdWare.Win32.Virtumonde
McAfee: Vundo
NOD32: Win32/Adware.Virtumonde
Panda: Spyware/Virtumonde
Sophos: Troj/AgentSpy-A
Symantec: Adware.VirtuMonde; Trojan.Vundo
Способы удаления:
Наиболее простым и, главное, эффективным методом, будет использование утилиты VundoFix от Atribune.org:
1. Скачиваем VundoFix на рабочий стол, после чего закрываем все открытые окна и запускаем программу.
2. Ставим галочку рядом с надписью "Run VundoFix as a task"
3. Появится сообщение с надписью "VundoFix will now close and re-open in 1 minute or less..."
Нажимаем 'ОК' (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно.
4. При повторном включении программы нажимаем на кнопку "Scan for Vundo"
После этого рабочий стол и иконки на время исчезнут (это нормально). И когда сканирование закончится, нажимаем на следующую кнопку - "Remove Vundo" и 'ОК'.
Ждем пока появится сообщение: "Done removing infected files! VundoFix will now shutdown your computer..." и снова 'ОК'.
После этого компьютер выключится.
5. Включаем его обратно, чтобы удостовериться, что лечение было успешным.
--------------------------------------------------------------------------------
На тот редкий случай, когда VundoFix вдруг не может помочь:
1. Скачиваем на рабочий стол VirtumundoBegone и перезагружаем компьютер в безопасный режим:
При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем 'ENTER'.
2. Запускаем программу, ждем когда она закончит, после чего перезагружаемся обратно в нормальный режим и проверяем исчезла ли инфекция.
P.S. Во избежании повторного заражения, желательно обновить: Java Runtime Environment.
Автор: Saule
Последнее редактирование модератором: