Закрытая тема
Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Trojan-Ransom.Win32.SMSer (Kaspersky Lab Antivirus Online) : вымогатель, выдающий себя за антивирус "Лаборатории Касперского"

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811

    Exclamation Trojan-Ransom.Win32.SMSer (Kaspersky Lab Antivirus Online) : вымогатель, выдающий себя за антивирус "Лаборатории Касперского"

    VirusInfo, ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ, участник Альянса профессионалов в области анализа безопасности (Alliance of Security Analysis Professionals, ASAP), предупреждает об активном распространении новой разновидности вредоносного программного обеспечения, относящегося к типу троянских вымогателей -

    Trojan-Ransom.Win32.SMSer

    В настоящее время в русском секторе Интернета циркулируют следующие разновидности данного вредоносного ПО:

    Код:
    Trojan-Ransom.Win32.SMSer.fi
    Trojan-Ransom.Win32.SMSer.ft
    Trojan-Ransom.Win32.SMSer.fz
    Trojan-Ransom.Win32.SMSer.fo
    Trojan-Ransom.Win32.SMSer.gc
    Trojan-Dropper.Win32.Agent.awwe
    Первый образец Trojan-Ransom.Win32.SMSer поступил в сервис лечения Антивирусного портала VirusInfo 17 июля сего года.



    Основные сведения об инфекции (предоставлены КиберХелпером)

    Типичный представитель данной вредоносной программы имеет размер около 70 килобайт, написан на Visual Basic. Будучи запущенным, выполняет ряд вредоносных действий, как то:

    1. Создает собственный исполняемый файл под именем

    C:\WINDOWS\system32\user32.exe


    2. На доступных для записи дисках создает файлы

    autorun.inf
    md.exe


    Файл autorun.inf служит для автоматического запуска файла md.exe при открытии каждого жесткого диска или съемного носителя; файл md.exe представляет собой копию основного исполняемого файла SMSer.


    3. Регистрируется на автозапуск, записывая в параметр

    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\shell

    значение

    %SystemRoot%\system32\user32.exe

    (вместо стандартного explorer.exe).


    4. Правит системные политики, запрещая запуск диспетчера задач, а также время от времени вызывает функцию закрытия некоторых системных процессов - таких, как narrator.exe, taskmgr.exe, regedit.exe, sethc.exe.

    До ближайшей перезагрузки или выключения операционной системы Trojan-Ransom.Win32.SMSer никак не проявляется визуально. После перезапуска ОС исполняемый файл вредоносной программы оказывается запущен вместо Проводника Windows, отображая экран со следующим текстом:



    Таким образом, вредоносное ПО блокирует нормальную работу ПК и предлагает пользователю отправить платное SMS-сообщение для восстановления функционала, что является типичным поведением троянских вымогателей. Особенность данного образца состоит в том, что он пытается выдать себя за несуществующий продукт "Kaspersky Lab Antivirus Online", обнаруживший на компьютере пользователя некий "вирус" и предлагающий "удалить" его. При этом, как можно видеть из снимка экрана выше, текст малограмотен и содержит как орфографические, так и пунктуационные ошибки.



    Лечение зараженного компьютера

    Восстановление работоспособности инфицированного ПК может осуществляться по аналогии с удалением Trojan-Ransom.Win32.Blocker, описанным в вирусной энциклопедии Securelist. Напомним, что сущность предложенного метода состоит в выполнении следующих инструкций.

    1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:



    2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:



    Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.

    Типичный представитель Trojan-Ransom.Win32.SMSer может быть удален при помощи следующего скрипта AVZ:

    Код:
    Var
     Disk : char;
     i    : integer;
    begin
     SetAVZGuardStatus(true);
     TerminateProcessByName('user32.exe');
     QuarantineFile('%System32%\user32.exe','');
     DeleteFile('%System32%\user32.exe');
     for i := 0 to 25 do begin
      Disk := chr(ord('C')+i);
      if GetDriveType(Disk+':\') in [2,3,4] then begin
       DeleteFile(Disk+':\md.exe');
       DeleteFile(Disk+':\autorun.inf');
      end;
     end;
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(8);
     ExecuteRepair(11);
     ExecuteRepair(16);
     ExecuteRepair(17);
     ExecuteRepair(19);
     ExecuteWizard('TSW', 2, 2, true);
     RebootWindows(true);
    end.
    (Как выполнить скрипт в AVZ?)

    VirusInfo напоминает участникам и гостям проекта, что при заражении компьютера троянскими вымогателями настоятельно не рекомендуется выполнять требования злоумышленников и выплачивать им какие-либо суммы - это поощряет киберпреступников создавать новые, более опасные образцы вредоносного программного обеспечения. Если ваш компьютер инфицирован Trojan-Ransom.Win32.SMSer, и представленные в настоящем пресс-релизе рекомендации не помогают устранить заражение, воспользуйтесь услугой лечения ПК от вирусов, предоставляемой Антивирусным порталом VirusInfo.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    вирусы грузить сюда:
    http://virusinfo.info/upload_virus.php?tid=50378

    Из темы необходимо убрать.
    Последний раз редактировалось Geser; 24.07.2009 в 23:36.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    22.07.2009
    Сообщений
    3
    Вес репутации
    27
    Спасибо! Всё заработало! Единственное: у меня "Windows+U" не сразу срабатывало. Требуется несколько нажатий и быстро нажимаем "запустиь". А в остальном все отлично.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.07.2008
    Адрес
    Russia, Moscow
    Сообщений
    63
    Вес репутации
    41
    IMHO, Windows+U - брешь в системе безопасности Windows, которая закрывается каким-то сервис паком. У меня Windows XP SP3 с установленными обновлениями, выпущенными после SP3. "Справка" и ссылка на сайт Microsoft в программе "Лупа" не работают. Так что способ не очень надёжный.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    У меня SP3 + все обновы, все прекрасно работает.

  7. #6
    Junior Member Репутация
    Регистрация
    26.07.2009
    Сообщений
    1
    Вес репутации
    27
    Все выполнил как написано система работает,но при вызове диспетчера задач пишет следующее :

    Диспетчер задач заблокирован администратором

    подскажите как это поправить ,зарание благодарен.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Нужно выполнить скрипт из первого сообщения.

  9. #8
    Junior Member Репутация
    Регистрация
    28.07.2009
    Сообщений
    6
    Вес репутации
    27
    Здравствуйте!
    Вирус удалил, вроде все починил, остался один косяк(((
    При двойном клике на жесткий диск открывается поиск, если кликнуть правой клавишей мыши на жесткий диск то поумолчанию установленно НАЙТИ((( Подскажите как поправить руками, не запуская скрипта? Комп не личный, а рабочий и возможности запустить скрипт нет.
    Зарание СПАСИБО!

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Попробовать удалить autorun.inf с корня, но желательно все же выполнить скрипт.

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2007
    Сообщений
    61
    Вес репутации
    42
    Из трех доступных для экспериментов систем(Win XP), две запускают экранную лупу без пояснительного окошка. Закономерности никакой нет - две системы на виртуалке, одна позволяет открыть "Веб-узел Майкрософт", другая нет. Хостовая машина тоже нет. Где-то это регламентируется. В реестре? Где именно?
    Может быть статистика далека от жизненной.

  12. #11
    Junior Member Репутация
    Регистрация
    28.07.2009
    Сообщений
    6
    Вес репутации
    27
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Попробовать удалить autorun.inf с корня, но желательно все же выполнить скрипт.
    Авторан уже удалил единственное что изменилось это диски стали определяться как локальные, раньше определялись как съемные диски. Понятно что лучше скрипт запустить, но нильзя(((
    З.Ы. Система ХР SP2

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Попробуйте удалить содержимое ключа реестра
    Код:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  14. #13
    Junior Member Репутация
    Регистрация
    18.04.2009
    Сообщений
    3
    Вес репутации
    28
    Данный вариант не проходит при наличии всех критических обновлений.
    Поэкспериментировал, вывод такой, экранная лупа запускается, справка остаётся не активной.
    При запуске экранного диктора или лупы можно только посмотреть сведения о программе и ссылка на веб узел Microsoft не активна.

    Имя ОС Microsoft Windows XP Professional
    Версия 5.1.2600 Service Pack 3 Сборка 2600

  15. #14
    Junior Member Репутация
    Регистрация
    28.07.2009
    Сообщений
    6
    Вес репутации
    27
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Попробуйте удалить содержимое ключа реестра
    Код:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
    Попробывал, не помогло.

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Вероятно, вам не хватает прав для удаления.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  17. #16
    Junior Member Репутация
    Регистрация
    28.07.2009
    Сообщений
    6
    Вес репутации
    27
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Вероятно, вам не хватает прав для удаления.
    До реестра доступ доступ есть. Могу удалять, переименовывать и т.д. Пробывал удалять содержимое MountPoints2, удалял саму MountPoints2, пробывал переименовывать, перезагружался. Увы не помогло(((

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Попробуйте отрегулировать действия с помощью вкладки Типы файлов в окне Проводника Сервис - Свойства папки. В списке найдите тип "Устройство" и нажмите кнопку Дополнительно. В открывшемся окне должно быть доступно управление выполняемыми действиями.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  19. #18
    Junior Member Репутация
    Регистрация
    29.07.2009
    Сообщений
    1
    Вес репутации
    27
    Цитата Сообщение от Saintll Посмотреть сообщение
    Комп не личный, а рабочий и возможности запустить скрипт нет.
    Вам поможет отдел Helpdesk. Обратитесь к ним .

  20. #19
    Junior Member Репутация
    Регистрация
    28.07.2009
    Сообщений
    6
    Вес репутации
    27
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Попробуйте отрегулировать действия с помощью вкладки Типы файлов в окне Проводника Сервис - Свойства папки. В списке найдите тип "Устройство" и нажмите кнопку Дополнительно. В открывшемся окне должно быть доступно управление выполняемыми действиями.
    Действие там одно "find", догадываюсь что нужно создать еще "open", соответственно в поле действие прописываю "open", но никак не догадаюсь что прописать в поле "приложение, исполняющее действие"

  21. #20
    Junior Member Репутация
    Регистрация
    10.06.2008
    Адрес
    Барнаул
    Сообщений
    80
    Вес репутации
    32
    По-моему, строчка в скрипте
    Код:
    for i := 0 to 25 do begin
    должна выглядеть как
    Код:
    for i := 0 to 23 do begin

Закрытая тема
Страница 1 из 2 12 Последняя

Похожие темы

  1. Очередной СМС вымогатель "Online antivirus"
    От viaheslav в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 05.02.2010, 09:56
  2. Trojan-Ransom.Win32.SMSer
    От shalom в разделе Помогите!
    Ответов: 17
    Последнее сообщение: 03.02.2010, 10:18
  3. Trojan-Ransom.Win32.SMSer.tt
    От LazZzy в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 16.01.2010, 12:10
  4. Trojan-Ransom.Win32.SMSer.rl
    От illuzion в разделе Помогите!
    Ответов: 16
    Последнее сообщение: 05.12.2009, 22:38
  5. Trojan-Ransom.Win32.SMSer.dm
    От CandyMAN в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 27.06.2009, 08:57

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00299 seconds with 28 queries