|
*** В сентябре 2010 г. при лечении очередного ПК автор статьи обнаружил новый вирус, обладающий характерными признаками и руткита, и трояна, и сетевого червя. Исследование показало, что вирус предназначен для самой распространенной операционной системы – 32-битной платформы ОС Windows с процессором x86 (тип файла – Portable Executable, PE). Основные средства распространения вируса – Интернет, локальная сеть, flash-носители. Родина вируса – Россия.
Вирус представлен тремя файлами: • mdhevw.exe (572 928 байт). Имеет атрибуты Скрытый, Системный, Только чтение. Осуществляет импорт системной библиотеки kernel32.dll (LoadLibraryA, GetProcAddress);
• sdata.dll (23 552 байт). Упакован UPX. Имеет атрибуты Скрытый, Системный, Только чтение. Осуществляет импорт системных библиотек: KERNEL32.DLL (LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree), advapi32.dll (RegCloseKey), ntdll.dll (ZwOpenProcess), oleaut32.dll (SysFreeString), user32.dll (CharNextA);
• aUtoRuN.iNF (194 байт). Имеет атрибуты Скрытый, Только чтение. Содержимое файла aUtoRuN.iNF: [AutoRun] Open=mdhevw.exe -flash UseAutoPlay=1 Action=Открыть папку для просмотра файлов shell\open\Command=mdhevw.exe -flash shell\open\Default=1 shell\explore\Command=mdhevw.exe -flash
*** Деструктивные действия – при внедрении вируса в папке \Documents and Settings\All Users\Application Data\ (Windows XP) или \Users\All Users\ (Windows Vista и Windows 7) создается каталог srtserv; – в каталог srtserv копируются файлы mdhevw.exe и sdata.dll; – файлы mdhevw.exe и aUtoRuN.iNF копируются в корневые директории всех локальных и съемных дисков;
– файлы mdhevw.exe и aUtoRuN.iNF копируются в корневые директории всех вновь подключаемых съемных дисков; – для обеспечения автоматического запуска вируса в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] создается строковый (REG_SZ) параметр srtserv со значением C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe (в Windows Vista и Windows 7 – C:\Users\All Users\srtserv\mdhevw.exe);
– для предотвращения загрузки операционной системы в Безопасном режиме удаляются соответствующие ключи Реестра; – вирус препятствует отключению съемных дисков (например, с помощью значка Безопасное извлечение устройства в области уведомлений Панели задач); – …
*** Маскировка вируса Следует отметить, что еще совсем недавно для маскировки своего присутствия в системе вирусы запрещали запуск Диспетчера задач и отображение диалогового окна Свойства папки. Современные вирусы используют более изощренные способы: например, они внедряются в адресное пространство системных процессов.
Аналогично маскируется и описываемый вирус: – при загрузке Windows вирус запускает экземпляр системного процесса svchost.exe и внедряет в его адресное пространство исполняемый код файла mdhevw.exe; – при загрузке Windows библиотека вируса sdata.dll автоматически подгружается в адресное пространство процесса explorer.exe.
*** Как уничтожить вирус и устранить деструктивные последствия Для лечения воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander; – вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка; – в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter; – внизу появится строка состояния Starting Winternals ERD Commander; – после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration; – в окне Welcome to ERD Commander выберите ОС –> OK; – когда загрузится Рабочий Стол, дважды щелкните значок My Computer; – в папке \Documents and Settings\All Users\Application Data\ (Windows XP) или \Users\All Users\ (Windows Vista и Windows 7) удалите каталог srtserv (вместе с файлами mdhevw.exe и sdata.dll); – в корневых директориях всех локальных дисков удалите файлы mdhevw.exe и aUtoRuN.iNF; – закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit; – в окне ERD Commander RegistryEditor раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]; – удалите строковый (REG_SZ) параметр srtserv со значением C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe (в Windows Vista и Windows 7 – C:\Users\All Users\srtserv\mdhevw.exe); – раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; – проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe); – проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,); – закройте ERD Commander RegistryEditor; – нажмите Start –> Log Off –> Restart –> OK. – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– загрузите Windows в обычном режиме; – если после перезагрузки появится сообщение, что профиль пользователя ПК не найден, нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK; – раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]; – удалите строковый (REG_SZ) параметр srtserv со значением C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe (в Windows Vista и Windows 7 – C:\Users\All Users\srtserv\mdhevw.exe); – закройте Редактор реестра;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information); – очистите кэш интернет-файлов; – с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме; – перезагрузите ПК; – включите восстановление системы; – просканируйте систему антивирусом со свежими базами.
Примечания 1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?). 5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
Валерий Сидоров
*** • Что делать, если появляется сообщение «Диспетчер задач отключен администратором»? • Что делать, если недоступен пункт меню «Свойства папки»? • Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»? • Что делать, если после лечения от вирусов не открывается флешка? • Как устранить последствия вирусной атаки? • Windows: что делать, если не запускается Утилита настройки системы msconfig? • Windows: как отобразить скрытые файлы и папки? • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2014. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!