PDA

Просмотр полной версии : Порнобаннер заблокировал компьютер (Winlocker)



perkus
30.03.2011, 09:07
Что-то из рода Trojan.Winlock.

Предположительно произошло заражение c сайта: было сообщение "о зараженности" одной страниц ресурса не средставами Avira AntiVir Premium, а скорее средствами браузера SW Iron или его аддона AD Block. На остальные страницы "зараженного" ресурса предупреждения не было, да и с этой (в свое время спокойно делалась закладка) раньше было все нормально. Поэтому предупреждение было расценено как ложное срабатывание.

Проблемы начались после выключения/включения компьютера. Блокировка работы Windows, баннер с голыми бабами, требование честно оплатить 300 руб. через терминал оплаты и прочее разводилово. Попытка загрузиться в защищенном режиме - BSOD.

Лечение:
1. С помощью загрузки с болванки Win XP PE, при редактировании реестра были обнаружены записи, ссылающиеся на зловредный модуль:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell - значение C:\Program Files\Common Files\Cursors\svhost.exe (нормальное значение Explorer.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\Shell - значение C:\Program Files\Common Files\Cursors\svhost.exe (такого раздела быть не должно, поц подстраховался зачем-то по регистру)

2. Модуль для тестовой дизактивации былл изолирован в другое место. Удалены вручную все временные файлы учетных записей, ОС, кэш браузеров.
3. Нормальная загрузка ОС, нет прав для средств редактирования реестра regedit.
4. При помощи оснастки gpedit.msc (странно что ей права оставили) права востановлены.

Других отклонений от нормы не установлено.

На машине проверено средствами Avira AntiVir Premium, на другой машине копия папки средствами "Касперский Workstation 6" с актуальными обновлениями. При сканировании папки со зловредом ничего не обнаруживается.

Отослано на экспертизу в обе конторы.

UPD Ответ от Касперского

С сегодняшнего дня у Касперского его нарекли Trojan-Ransom.Win32.Losya.cb, в обновления обещали добавить.

UPD2 Ответ от Avira

В Avira его нарекли TR/Injector.EX, причислили к классу MALWARE, в обновления обещали добавить. Вообще странная у них реакция на него, есть мнение что у них в Дойчланде угрозы другого рода.

perkus
01.04.2011, 16:12
Обновление

Опять таже песня. Почти.

Теперь понятно как эта гадость прописывается.

1. Проник предположительно при помощи HTML/Crypted.Gen (отсюда httр://pic2profit.сom/img/wtp.js)
2. Запускается из Темпа профиля C:\Documents and Settings\<Профиль>\Local Settings\Temp\jar_cache387288650716660209.tmp
3. Живет теперь в С:\Program Files\Common Files\Offline Web Pages\svhost.exe (Называется теперь TR/Ransom.Losya.cj)
4. Проник вчера, активизировался утром после перезагрузки, при первой прогонке Avira'ой не обнаружился, позже, видать после авто-обновлений свежих, - да.

Поц не спит, поц совершенствуется.
Шоб ему пусто было.