# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение

## NickGolovko

18-19 мая 2010 года Антивирусный портал VirusInfo зафиксировал вспышку инфекции.

_Наименование:_

*Trojan.Win32.Agent2.cqzi* (Лаборатория Касперского)
*Trojan.DownLoad1.59108* (Dr. Web)
*Gen:Variant.Oficla.2* (BitDefender)
*Win32:Rootkit-gen [Rtk]* (avast!)
_Самоназвание:_

неизвестно
_Симптомы:_

Вредоносное ПО отображает пользователю навязчивый рекламный баннер порнографического содержания и для его отключения предлагает отправить SMS-сообщение с определенным текстом на номер *3381*. Из обращений пользователей известно, что вымогатель способен противодействовать работе антивирусных инструментов.
_Состав вредоносной программы:_

Основным компонентом *Trojan.Win32.Agent2.cqzi* является объект *%system32%\srnh.lto*. В протоколах AVZ отображается в качестве модуля, внедренного в процесс svchost.exe; в результатах исследования системы утилитой HijackThis виден в секции F2 (ключ Winlogon / Shell):



```
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe srnh.lto iqfnr
```

Также на пораженных ПК были отмечены вредоносные модификации ключа реестра



```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
```

Содержимое ключа варьируется в зависимости от конкретного образца вредоносной программы.
_Рекомендации в случае заражения:_

Если ваш ПК заражен вредоносным ПО *Trojan.Win32.Agent2.cqzi*, то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Так как основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя этого вредоносного программного обеспечения не может быть сформирован. *Наиболее простым способом дезактивации* рекламного баннера является обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер», которой принадлежит короткий номер, используемый злоумышленниками. 

Телефонные номера технической поддержки поставщика услуг:

*+7 800 100 7337* (федеральный)*+7 495 363 1427* (московский)

Назовите оператору необходимые сведения о вредоносном ПО, чтобы получить код разблокирования.

Обращаем ваше внимание на то, что обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер» и последующая разблокировка *не позволяют полностью излечить пораженную ОС*. После дезактивации вредоносного ПО мы *настоятельно рекомендуем вам* пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса или обратившись в систему экстренной антивирусной помощи 911.
_Самостоятельное лечение:_
*Также* вы можете уничтожить вредоносную программу самостоятельно с помощью загрузочного диска Kaspersky Rescue Disk 10, который позволяет вылечить компьютер, не загружая зараженную операционную систему Windows.
Скачайте образ диска.Запишите его на CD или DVD.Вставьте записанный диск в лоток и перезагрузите компьютер.Следуйте указаниям программы.
Дополнительная информация о Kaspersky Rescue Disk 10: http://virusinfo.info/showthread.php?t=77717
_Примеры жалоб:_

http://virusinfo.info/showthread.php?t=78437
http://virusinfo.info/showthread.php?t=78620
http://virusinfo.info/showthread.php?t=78651
http://virusinfo.info/showthread.php?t=78664
http://virusinfo.info/showthread.php?t=78671
_Источник: Антивирусный портал VirusInfo_

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## VadeG

В службе поддержки дали не правильные код... Попробуем вариант N2

----------


## TJDimas

Первую такую "зверюшку" прибил ещё три недели назад.
Тут инетересно другое - серверы, "раздающие" дроппер, делают это ровно один раз. Или фиксирует мак, или выдают под определенный реферрер. Попытка скачать повторно переадресует на некий robots.txt  :Smiley:

----------


## ber-viking

Для сообщения M201017143, номер 3381 - код 36E4605, получен по телефону, подошел.

Мне вот что непонятно. Короткий номер принадлежит агрегатору «А1: Первый альтернативный контент-провайдер», телефон компании указан на баннере, «А1» предоставляет разблокирующие коды - в каких отношениях эта компания с мошенниками?

----------


## NickGolovko

К сожалению, поставщик услуг не несет ответственности за то, каким образом используются его услуги.

----------


## yuriknsk

номер 3381
текст M201517654
код 3294329367

очень помогли ребята по телефону 8 800 100 7337, спасибо огромное!

----------


## Ведмедь

Всё совпадает. Девка с голой грудью в двух экземплярах, синие полосы, текст маленько другой  - М201517276 на номер 3381. 

CureIt работать не даёт, обращение к  AVZ выключает компьютер.

Обращение к HijackThis  также перезагружает машину, но лог он всё же успевает создать. Для того, чтоб его увидеть, пришлось лог переименовать  :Smiley: 

HijackThis в группе 



> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,autorun.  bat, \\?\globalroot\systemroot\system32\ckFoe8b.exe, \\?\globalroot\systemroot\system32\Ato5lvh.exe,

----------


## PavelA

Хотите способ? Он есть у меня.
1 Через LiveCD и запуск любого оффлайнового редактора реестра разобраться с ключом:
ветка 


```
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
```

параметр 

```
AppInit_DLLs
```

Можно попытаться это все удалить из данного ключа.
2. Ищем systems.exe на диске "С". Если находиться, зачищаем его.

После этого всего система  скорее всего загрузиться нормально. Далее ваш путь в наш раздел "Помогите", чтобы добить гада.
К сожалению, это заражение накладывается на многие другие полученные Вами ранее, так что гарантировать Вам результат я не могу.

----------


## thyrex

*Павел*, тегами оформите свой пост  :Smiley: 




> Пуск - Выполнить - erdregedit


Так нужно запускать только при использовании *ERD Commander*.




> Ищем systems.exe на диске "С"


Этот шаг тоже можно пропускать уже. Баннер снимается после очистки значения параметра AppInit_DLLs

----------


## bolshoy kot

С каких сайтов он берется (URL)?

----------


## C4rlos

А почему здесь
нет вируса *Trojan.Win32.Agent2.cqzi*?

----------


## DVi

> А почему здесь
> нет вируса *Trojan.Win32.Agent2.cqzi*?


Для вредоносных программ данного семейства есть сервис разблокировки: http://support.kaspersky.ru/viruses/deblocker и обзорная статья с описанием различных способов самостоятельной борьбы: http://support.kaspersky.ru/viruses/...?qid=208637133
Кроме того, в первом сообщении топика указана ссылка на загрузочный диск, который предназначен для лечения подобных случаев без запуска зараженной операционной системы.

----------


## PavelA

Как добавка к банеру, или как основная часть, идет *Worm.Win32.NeKav.cg* . Это то, что вписывается в AppInit_DLLs.

----------


## SDA

> Для вредоносных программ данного семейства есть сервис разблокировки: http://support.kaspersky.ru/viruses/deblocker и обзорная статья с описанием различных способов самостоятельной борьбы: http://support.kaspersky.ru/viruses/...?qid=208637133


Только следует помнить, что если кроме зараженного ПК под рукой больше ничего нет, совет может не помочь. Локер просто блокирует антивирусные сайты. Остается только LiveCD с последними базами антивируса.

----------


## TJDimas

> Локер просто блокирует антивирусные сайты. Остается только LiveCD с последними базами антивируса.


С Live CD порой быстрее прибить "зверюшко" ручками  :Smiley: 

Если Live CD с ERD Commander-ом - то ещё лучше:
после лечения делаем "System Restore" на дату, предшествующую заражению.
и доводим до ума "Восстановлением системы" от AVZ.
Иногда это позволяет сэкономить время на неторопливой проверке антивирусом  :Smiley:

----------


## PavelA

> Остается только LiveCD с последними базами антивируса.


 Не верно. Есть еще звонок в службу поддержки.

----------


## Chizh86

Хм, такое ощущение, что этот банер эволюционирует. Или кто то следит на форуме за борьбой за ним....
Просто смотрю как первые сообщения лечили и сейчас... Уже с Лайф СД ветка Applnit DLLs--пустая, в Хижаке прописываетя уже не в system.ini а в win.ini:


```
F3 - REG:win.ini: run=C:\WINDOWS\system32\btfvyfq.exe
```

----------


## SDA

> Не верно. Есть еще звонок в службу поддержки.


И что дальше?  :Smiley:  Если по большому счету в суппорте работают обычные "офисные мальчики", выучившие несколько инструкций по ответам клиентам, типа сделать исследование утилитой GetSystemInfo  :Cheesy:  список можно продолжить на http://forum.kaspersky.com/index.php...&#entry1056489

----------


## PavelA

> И что дальше?


 Вы меня не поняли или не в курсе.
Повторяю:



> Так как основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя этого вредоносного программного обеспечения не может быть сформирован. Наиболее простым способом дезактивации рекламного баннера является обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер», которой принадлежит короткий номер, используемый злоумышленниками. 
> 
> Телефонные номера технической поддержки поставщика услуг:
> +7 800 100 7337 (федеральный)
> +7 495 363 1427 (московский)


Далее можно лечиться или жить с "хвостами" от малваре.

Это не поддержка службы некого а/вируса, а совершенно другое.

----------


## SDA

Ну да если знаешь этот телефон  :Smiley:  Так как идти в интернет на поиски с банером на весь рабочий стол достаточно проблематично. Или выписать телефон на бумажку и наклеить на монитор, на будущее  :Cheesy: 
Кстати, если не ошибаюсь, злоумышленники используют не только короткие номера «А1: Первый альтернативный контент-провайдер».

*Добавлено через 8 минут*

Вообще могу дать три универсальных принципа, как не бояться винлоков:
1. Иметь LiveCD с последними базами антивируса (достаточно надежно, но не на все 100);
2. Бекап системы (надежно на 100);
3. Не работать под админом (зараженный с ограниченной учетки, из под админа вычищает локера в два клика).
Я думаю не очень сложно, тем более эти банальные советы пригодяться не только при заражении винлокерами.

----------


## Гриша

> (зараженный с ограниченной учетки, из под админа вычищает локера в два клика).


Как? (исключение дроп в temp и ключ в HKCU)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SDA

> Как? (исключение дроп в temp и ключ в HKCU)


и зловред к примеру  в common fales под названием svhost.exe  :Smiley:

----------


## Гриша

> и зловред к примеру в common fales под названием svhost.exe


Там R/O у Limited User.

----------


## SDA

Ты имеешь ввиду удаление у ограниченного пользователя?

----------


## Гриша

> Ты имеешь ввиду удаление у ограниченного пользователя?


Я имею ввиду то, что там нельзя создать файл под огр. учеткой  :Smiley:

----------


## SDA

> Я имею ввиду то, что там нельзя создать файл под огр. учеткой


Ошибаешься  :Smiley:   именно  там он и лежал. Проверено на практике, с удалением винлока в корзину  :Smiley: 
Ну естественно был почищен temp и ключ в реестре. Кстати, чистка tempа и  реестра, ничего не дала, после перезагрузки банер также висел. Пропал только после удаления экзешника.

----------


## Гриша

> Ошибаешься именно там он и лежал. Проверено на практике, с удалением винлока в корзину


На XP у пользователей нет прав для создания файлов в этой папке, на 7 тоже, Vista не исключение  :Smiley:

----------


## SDA

> На XP у пользователей нет прав для создания файлов в этой папке, на 7 тоже, Vista не исключение


Тем не менее экзешник там и лежал. Говорю это потому что, это случилось вчера на моем рабочем компе. Первый раз словил локера  :Smiley:  под номером 1756 по вебовской квалификации. Подозреваю, что позавчера заходил на один информационно-консультативный  сайт и IE вдруг заглючил и завис, пришлось процесс убивать в диспетчере. С утра включил комп - банер среднего размера на рабочем столе с требованием отправить смс. Посмотрел логи корпоративного касперского, троян удален, в резервном хранилище, но баннер светился на весь рабочий стол.  Позвал админа, зашли под админской учеткой, винлокера обнаружили в common fales под названием svhost.exe, где еще был текстовый файл с записью 46 часов.  :Wink: 
На компе XP.
У меня на рабочем компе на IE скрипты отключены, тем не менее локера через IE получил. Честно говоря так и не понял, как он просочился.  :Angry:

----------


## Гриша

> Тем не менее экзешник там и лежал. Говорю это потому что, это случилось вчера на моем рабочем компе. Первый раз словил локера под номером 1756 по вебовской квалификации. Подозреваю, что позавчера заходил на один информационно-консультативный сайт и IE вдруг заглючил и завис, пришлось процесс убивать в диспетчере. С утра включил комп - банер среднего размера на рабочем столе с требованием отправить смс. Посмотрел логи корпоративного касперского, троян удален, в резервном хранилище, но баннер светился на весь рабочий стол. Позвал админа, зашли под админской учеткой, винлокера обнаружили в common fales под названием svhost.exe, где еще был текстовый файл с записью 46 часов.
> На компе XP.
> У меня на рабочем компе на IE скрипты отключены, тем не менее локера через IE получил. Честно говоря так и не понял, как он просочился.


Я сейчас взял такой сампл и посмотрел, естественно он не работает под огр. учетной записью. Выскажись своему админу.

----------


## Kuzz

А там не Power User?
Этой учетке больше разрешено

----------


## Torvic99

Да и надо бы глянуть какая ФС и права на эту папку какие стоят.

----------


## SDA

> А там не Power User?
> Этой учетке больше разрешено


Нет, простой пользователь.

----------


## Гриша

> Нет, простой пользователь.


Посмотри права на эту папку.

----------


## SDA

Чтение и исполнение.
Ошибся, запись тоже есть.

*Добавлено через 2 часа 13 минут*

Логи корпоративного каспера:
Удалено троянская программа Trojan.Win32.Agent2.cqzi С:\Documents and Settings\.......\Local Settings\Temp\1F99.tmp 24.05.2010 15:40:28
Не справился.  :Angry:

----------


## Гриша

> Чтение и исполнение.
> Ошибся, запись тоже есть.


Интересно, зачем они там?  :Smiley:

----------


## SDA

> Интересно, зачем они там?


Честно говоря до этого случая, просто не обращал внимания  :Smiley: 
Теперь уделю внимание  :Smiley:

----------


## TJDimas

Ещё в феврале с удивлением обнаружил,
что винлокеры проникают *через Java-машину*

Так что у меня от винлокеров свой "рецепт" :-) 

1) Открыть Adobe Acrobat Reader, Редактирование - Установки,
в разделе JavaScript снять птичку с "разрешить"
в разделе "Надежность мультимедиа" поставит все форматы на "по запросу".

2) Отключить во всех браузерах JAVA (не путать с JavaScript).
В IE, если не ошибаюсь, это можно сделать, например, через HiJackThis;
в Опере - через opera:config, спойлер Java; в FireFox - не знаю, не пользуюсь.

П.С. "Дырку" в Java вроде бы заткнули месяц назад...

----------


## valho

> Говорю это потому что, это случилось вчера на моем рабочем компе.


Спасибо, посмеялся... :Smiley:  
У меня брат попросил что то настроить в 1с, привёз с работы компьютер, так называемый "сервер". Мне было не интересно заниматься всякой ерундой с этим 1с, поэтому посмотрел как обстоят дела с операционкой, он у них был подключён к интернету. Было очень много троянов и кейлоггер, мы ничего не удаляли просто бумажку написали. Месяца через два там уже появилось сообщение про смс. И это при том что у них работают люди которые обслуживают этот зоопарк и получают деньги  :Cheesy:

----------


## mike345

Ради интереса вчера попробовал полечить эту заразу с помошью Kaspersky Rescue Disk 10, с обновленными базами. Ничего не нашёл...

----------


## nictrace

есть подозрение, что оно лежит в игре "миллионер" на freeware.ru

----------


## Андрей_Ка

Странная ситуация с Dr.Web CureNet!,раньше ни когда не подводил.
В этот раз баннер на 3381 сообщение 9423872.
Ни один браузер не открывается,диспечер тоже.
В безапасном режиме всё работает но Dr.Web CureNet!(естественно свежий) просканировал всё и сказал что всё чисто.
Помогло с сервиса Касперского http://support.kaspersky.ru/viruses/deblocker
номера именно этого нет,но соседний похожий подошел.
код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне]
Вебовская дешифровка так же не дала результатов
http://www.drweb.com/unlocker/index/?lng=ru
хотя в заголовке этой темы указан как Trojan.DownLoad1.59108 (Dr. Web)
Сам баннер

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## azskit

недавно знакомой попадалась такая бяка. AVZ запустить никак не удавалось, в конце концов поступил таким образом - подменил файл rundll32 на екзешник avz, при этом компьютер все равно выключался при его запуске. Загрузился в безопасном режиме с поддержкой командной строки (само окошко cmd вирус тоже закрыл), с помощью win+u появился диспетчер служебных программ, у него вызвал справку, попытался ее распечатать - и вместо попытки установки принтера естессно запустился avz, и, к счастью, закрываться уже не спешил. Ну дальше уже дело техники.  :Smiley:

----------


## newman1997

Помог ERD Commander, почистил все папки temp, корзины, кеш инета, папки System Volume Information, проверил реестр и автозагрузку, поудалял подозрительное, в реестре обратил внимание на ключи 
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Image File Execution Options\explorer.exe
В ключе explorer.exe (если там есть такой) должен быть параметр "по умолчанию" больше ничего. Если есть что то ещё то это надо удалить. 

В ключе HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon  в параметре shell REG_sz должен быть Explorer.exe
там же в параметре Userinit REG_sz должно быть C:\WINDOWS\system32\userinit.exe,

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Windows параметр AppInit_DLLs REG_sz зачистить. 

Запустил полную проверку CureIt!.exe.

Чтобы отключить Восстановление системы, нужно создать параметр DWORD DisableConfig со значением 1 в разделе 
[HKLM\SOFTWARE\Policies\Microsoft\Windows NT]
Перезагрузился, помогло.

----------


## @leja

> HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Windows параметр AppInit_DLLs REG_sz зачистить.


Так уж и зачистить? У меня там касперский прописан:
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGR  A~1\KASPER~1\KASPER~1\kloehk.dll
Так что поаккуратнее чистите  :Smiley:

----------


## newman1997

> Так уж и зачистить? У меня там касперский прописан:
> C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGR  A~1\KASPER~1\KASPER~1\kloehk.dll
> Так что поаккуратнее чистите


На рабочей системе, там антивирь прописывается, а если хапнул этого локера, то антивирю кирдык, после чистки переустановить можно :Smiley: 

P.S. У меня на заражённой тачке, пока не удалил dll-ку и не зачистил этот параметр, баннер не пропадал, от всёх до этого проделанных действий из списка.

----------


## DIaOs

у меня этот вирус например зачистил все оборудования в папке диспетчера устройств)))
нашалил как надо =) даже автозагрузку не поменять))
так что ни звука щас, ни инета))) всё остальное работает видимо из принципа =)
да и файликов троян наделал туеву кучу))) штук 10 точно =)

----------


## astra3003

http://virusinfo.info/showthread.php?t=80270

----------


## fotorama

> В IE, если не ошибаюсь, это можно сделать, например, через HiJackThis;


можно по подробней как это сделать какую строчку фиксить?

----------


## Vadim_SVN

> можно по подробней как это сделать какую строчку фиксить?


Может это имеется в виду? (0 - галочка снята)

----------


## fotorama

> Может это имеется в виду? (0 - галочка снята)


может но тогда причем здесь HiJackThis?

----------


## Lonely Soul

Я вот смотрю здесь все борются со следствием, но никто даже не думает попытаться обезвредить источник.
У кого-то есть информация относительно сайтов/хостов, с которых дропперы загружались?

----------


## Д.К.В.

Мне тоже интересно ..... Например: Получил я заразу с отправкой смс на 9191 (номер только что придуманный мною, ни бойтесь :Smiley: ) и как мне выйти на оператора этого номера? Честно сказать я готов всегда звонить и помогать блокировать эти номера - это я считаю как защита нашей Родины.

----------


## olejah

А Вы разве не читали первое сообщение этой темы, там Николай ясно даёт информацию о телефонных номерах технической поддержки поставщика услуг и насколько я знаю, там с радостью заблокируют гадов.





> Я вот смотрю здесь все борются со следствием, но никто даже не думает попытаться обезвредить источник.
> У кого-то есть информация относительно сайтов/хостов, с которых дропперы загружались?


 :Cheesy:  Вы хотите порчу на многомиллионные источники заразы навести?

----------

