iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение

[NickGolovko]

Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.


8-9 и 15-16 декабря 2009 года зафиксированы всплески активности нового троянского вымогателя.

Наименование:

Packed.Win32.Krap.w (Лаборатория Касперского)

Самоназвание:

iMax Download Manager или iLite Net Accelerator

Симптомы:

Как и в случае заражения Get Accelerator (Trojan-Ransom.Win32.Agent.gc) или uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что нормальная работа операционной системы блокирована в связи с нелицензионным использованием программы "iMax Download Manager" или "iLite Net Accelerator". Вредоносное ПО предлагает пользователю отправить SMS-сообщение с определенным текстом на короткий номер 3649.



Вредоносное ПО также выполняет следующие действия:

1) препятствует запуску Диспетчера задач и Редактора реестра
2) навязчиво отображает баннер или перезагружает ОС при попытке запуска каких-либо приложений
3) препятствует загрузке ОС в безопасном режиме
4) противодействует запуску антивирусных инструментов
5) дезактивирует Восстановление системы Windows

Состав вредоносной программы:

Типичный образец вредоносного ПО iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w) состоит из нескольких библиотек (DLL) со случайным именем, размещающихся в папке %system32%, размером около 130 килобайт (размер варьируется в зависимости от конкретного образца). По косвенным данным, в системе может присутствовать также исполняемый файл %system32%\sdra64.exe.

Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.

Рекомендации в случае заражения:

Если ваш ПК заражен вредоносным ПО iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Так как имя вредоносных компонентов формируется случайным образом, а основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя данного ВПО не может быть сформирован. В большинстве случаев уничтожение основных составляющих вредоносной программы возможно при помощи представленной ниже последовательности действий:

* * *

1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.

* * *

Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

Если по каким-либо причинам у вас нет возможности выполнить представленные выше рекомендации (к примеру, инфицированный ПК не имеет CD-привода), то вы можете обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно данным компании МТС, наиболее часто используемый мошенниками номер 3649 принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.


Вы также можете воспользоваться сервисом разблокирования компьютера, любезно предоставленным Лабораторией Касперского http://virusinfo.info/deblocker/
После разблокирования необходимо провести полноценное лечение по нашим "Правилам"

Примеры жалоб:

http://virusinfo.info/showthread.php?t=62862
http://virusinfo.info/showthread.php?t=62903
http://virusinfo.info/showthread.php?t=62937
http://virusinfo.info/showthread.php?t=62957
http://virusinfo.info/showthread.php?t=62981

http://virusinfo.info/showthread.php?t=63396
http://virusinfo.info/showthread.php?t=63565
http://virusinfo.info/showthread.php?t=63722
http://virusinfo.info/showthread.php?t=63791
http://virusinfo.info/showthread.php?t=63827

[HaBaxTe]

Спасибо огромное мучался два дня с этим iMAX`сом, но Ваш способ сработал.

[H2O]

А я у себя руками sdra64 убил... Dr. web определял его как «Panda». Не знал, что он еще не всеми антивирусами определялся.

[Shu_b]

Цитата:

Сообщение от esslmik

К стати дллки сохранил, при необходимости могу выложить для анализа.

Как поделиться написано там: http://virusinfo.info/showthread.php?t=37678

[New Angel]

Попался ещё один комп, зараженный iMax Download Manager
Скорее всего, это уже его вторая модификация:
1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт
2) в %system32% всё чисто
3) в C:\Documents and Settings\Guest\Local Settings\Temp\ обнаружены 2 скрытых .bat-файла:
rx.bat - 65 байт с текстом

Цитата:

Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\duezmimp.dll,Start

и w.bat - 61 байт с текстом

Цитата:

Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\xgxdw.dll,Open

, которые запускают две dll-ки соответственно. Обе размером 135 198 байт, скрытые и одинаковые по содержимому, дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe в %system32%.
4) сами .bat-файлы запускаются через HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Лечение:
1. Переименовать\удалить .bat-файлы из C:\Documents and Settings\имя пользователя\Local Settings\Temp\
2. Перезагрузка (при перезагрузке винда говорит, что не может запустить .bat-файл (ы)
3. Переименовать\удалить dll-ки, которые запускались этими .bat-файлами
4. Удалить в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run ссылки на .bat-файл (ы), которые были удалены
P.S. Редактор реестра не был заблокирован

[Shu_b]

Цитата:

Сообщение от New Angel

1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт

Говорят что такой алгоритм подходит:

Цитата:

По поводу кодов если программа просит ввести к примеру М204111300 у меня было так то в строку ввода кода деактивации вводим 4294111399, тоесть подставляем по маске:

М204111x00 4294111x99

[Johnny_spb]

Внимание важная информация :-)
Номер 3649 принадлежит компании http://www.a1agregator.ru/
если позвонить (или написать) в тех. поддержку и описать проблему
они скажут код.
Мне помогло только это
Описанные выше методы лечения - не прокатили.

[SDA]

Информация от пострадавших и отправивших SMS-сообщение:
При отправке 10 рублей - снимается 300 рублей.

[Ksi2]

Цитата:

Сообщение от SDA

Информация от пострадавших и отправивших SMS-сообщение:
При отправке 10 рублей - снимается 300 рублей.

и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.

[SDA]

Цитата:

Сообщение от Ksi2

и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.

Не уходит Концы остаются, нет гарантии, что не попадет повторно, или его новая разновидность. Зачищаться надо в разделе "Помогите".
Насчет отправки 10 рублей - это простой психологический расчет - 10 рублей не деньги, а вот насчет 300 еще надо подумать. Кроме того, практически у каждого есть на счете сумма в размере 10 рублей, а 300 может и не оказаться.
"Без лоха и жизнь плоха, а с миру по нитке нищему рубаха"

Добавлено через 15 минут

Цитата:

Сообщение от Ksi2

и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.

После перезагрузки все может повториться, пример - http://forum.kaspersky.com/index.php?showtopic=148667
Поэтому настоятельно рекомедую обратиться в раздел "Помогите". Других, кто занимается самолечением, это тоже касается.

[Ksi2]

SDA, у нас большая организация) и куча безопасников сидит) они деньги не просто так получают
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))

[alethedis]

а есть какая-нибудь инфо как оно распространяется?

[cryker]

а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, но незапускаются редактор реестра и диспетчер задач и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня

[Ksi2]

cryker, хард проверь. потом лезь в реестр через тотал, например, и по адресам
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System]
"DisableRegistryTools"="1 перепиши на "0"
и там же будет Task Manager. тоже присваиваешь "0".

[SDA]

Цитата:

Сообщение от Ksi2

SDA, у нас большая организация) и куча безопасников сидит) они деньги не просто так получают
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))

Мое дело порекомендовать, а остальное пусть смотрят безопасники в "большой организации"
Мои рекомендации по обращению в раздел "Помогите" касается обычных пользователей, без крыши "большой организации, с большой кучей безопасников". Хотя порой один опытный админ, умнее и профессиональнее "этой большой кучи" бывших ментов
А насчет прохождения смс, можно еще раз проверить самому после перезагрузки
Большой флаг в руки!

Еще раз рекомедую, кто читает этот пост, не слушать всякие "недоделанные, некомпетентные советы" самоучек, а обратиться к профессионалам в раздел "Помогите". Будет гораздо проще и дешевле потраченной нервной энергии.

[thetoken12]

Цитата:

Сообщение от cryker

а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, но незапускаются редактор реестра и диспетчер задач и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня

Используйте AVZ , Файл -> Восстановление. Не всегда стоит лазить в реестр руками.

[Jolly Rojer]

Цитата:

Сообщение от Ksi2

SDA, у нас большая организация) и куча безопасников сидит) они деньги не просто так получают
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))

Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
А SDA Вам правильно сказал!

[Ksi2]

Цитата:

Сообщение от Jolly Rojer

Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
А SDA Вам правильно сказал!

Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились

просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...

[SDA]

Цитата:

Сообщение от Ksi2

Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились

просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...

Это не только редактирование реестра. Хелперы в разделе "Помогите" к каждому случаю заражения, даже одним и тем же зловредом, подходят индивидульно, с учетом проведенной диагностики зараженной системы. То, что помогло юзеру "Васе" и он на радостях опубликовал свой способ, может не помочь юзеру "Пете".
И здесь профессионально может помочь только специалист.
Это впрямую касается любителей давать непрофессиональные советы.
Ресурс virusinfo.info не несет ответственности, перед теми пользователями, которые следуют непрофессиональным советам, а не обращаются в раздел "Помогите" и в результате убивают свою машину.

[MAKAP]

у нас на сервере инета тот же вирус, через загрузочный диск как написано в первом посте, не удается установить AVPTool. Не работают ни редактор реестра, ни диспетчер задач. И кстати инет раздается у нас с помощью прокси UserGate - так вот он тоже не открывается, хотя работает. Никаких подозрительных bat-файлов не нахожу, только стандартные и юзергейтовские (запускают обычные dll-ки)... Даже не знаю как вылечить систему