Geser
17.01.2006, 18:40
Краткое описание Look2Me
Устанавливается файлом Installer.exe, размером около 577 кб, установка идет скрытно. В разделе "Установка и удаление программ" не создается записи для удаления. DLL размещается в %WINDIR%\system32 (здесь и в дальнейшем %WINDIR% обозначает папку, в которую установлена ОС Windows) и регистрируется в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify. Также в реестре создается CLSID и регистрируется как модуль расширения проводника (при этом имя элемента не указывается). DLL не имеет описания и копирайтов.
"Антивирус Касперского" детектирует последние версии Look2Me как not-a-virus:AdWare.Win32.Look2Me.ab.
Определение присутствия в системе
Определить наличие Look2Me в системе можно по логам программы HijackThis (HijackThis.log) и логу исследования системы программы AVZ (avz_sysinfo.htm).
В логе HijackThis присутсвует строка вида
O20 - Winlogon Notify: произвольное название - %WINDIR%\system32\произвольная строка.dll
В логе AVZ в списке процессов присутствуют 2-3 DLL и/или файл guard.tmp, зарегистрированные в папке %WINDIR%\system32\, имеющие размер около 228кб-231кб, у которых в столбцах "Описание" и "Copyright" информация отсутствует. Все эти файлы являются компонентами троянской программы Look2Me.
Лечение
Существует несколько способов противодействия, различающихся своей эффективностью.
Пример алгоритма лечения Look2me с применением AVZGuard:
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
3. При необходимости удалить элементы автозапуска Look2me в диспетчере автозапуска и диспетчере расширений Explorer
4. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер
5. После перезагрузки при необходимости "добить" оставшиеся файлы
1. Загрузка с CD/DVD и проверка антивирусной программой.
Метод хорош, когда есть LiveCD и антивирус на нем.
2. Подключение зараженного HDD к чистому ПК и проверка антивирусной программой.
Метод хорош, когда под рукой есть чистый ПК, HDD имеет стандартный (такой же) интерфейс, можно вскрывать системный блок и вообще выключать компьютер.
3. Правка реестра.
(Проверено на Windows 2000, на других версиях названия пунктов могут отличаться)
Запустить программу regedt32.exe, перейти к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify. Выбрать в меню программы "Безопасность\Разрешения...". Нажать кнопку "Дополнительно", на закладке появившегося окна (закладка "Разрешения") нажать "Добавить", выбрать пользователя "Все". После добавления в списке "Элементы разрешений" появится позиция "Все", нужно выбрать ее и нажать "Показать/Изменить". После этого появляется окно с заголовком "Элемент разрешения для Notify", в столбце "Запретить" поставить галки для "Задание значения" и "Создание подраздела". Это блокирует создание разделов, но не блокирует их удаление - т.е. далее можно не выходя из редактора реестра удалить в Notify ключи, ссылающиеся на файлы Look2Me. После этого необходимо перезагрузить компьютер.
4. Использование антивируса DrWeb.
Необходимо установить ознакомительную версию "Dr.Web для рабочих станций Windows" ( http://download.drweb.com/win/ ).
В настройках Spider (правая кнопка на паука): настройки - Режим проверки на лету - переставить с "оптимального" на "другие", поставить галку "запуск и открытие" и "создание и запись", поставить "Запретить режим расширенной защиты" и снять "Проверять работающие программы и модули". Потом зайти в раздел "Действия", выбрать "Вредноносные программы" - "Рекламные программы", там выбрать "Первое действие" - "Переместить в карантин" и нажать "Изменить". После этого необходимо перезагрузить компьютер.
При составлении описания использованы материалы Олега Зайцева и RiC.
(c) MOCT
Устанавливается файлом Installer.exe, размером около 577 кб, установка идет скрытно. В разделе "Установка и удаление программ" не создается записи для удаления. DLL размещается в %WINDIR%\system32 (здесь и в дальнейшем %WINDIR% обозначает папку, в которую установлена ОС Windows) и регистрируется в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify. Также в реестре создается CLSID и регистрируется как модуль расширения проводника (при этом имя элемента не указывается). DLL не имеет описания и копирайтов.
"Антивирус Касперского" детектирует последние версии Look2Me как not-a-virus:AdWare.Win32.Look2Me.ab.
Определение присутствия в системе
Определить наличие Look2Me в системе можно по логам программы HijackThis (HijackThis.log) и логу исследования системы программы AVZ (avz_sysinfo.htm).
В логе HijackThis присутсвует строка вида
O20 - Winlogon Notify: произвольное название - %WINDIR%\system32\произвольная строка.dll
В логе AVZ в списке процессов присутствуют 2-3 DLL и/или файл guard.tmp, зарегистрированные в папке %WINDIR%\system32\, имеющие размер около 228кб-231кб, у которых в столбцах "Описание" и "Copyright" информация отсутствует. Все эти файлы являются компонентами троянской программы Look2Me.
Лечение
Существует несколько способов противодействия, различающихся своей эффективностью.
Пример алгоритма лечения Look2me с применением AVZGuard:
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
3. При необходимости удалить элементы автозапуска Look2me в диспетчере автозапуска и диспетчере расширений Explorer
4. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер
5. После перезагрузки при необходимости "добить" оставшиеся файлы
1. Загрузка с CD/DVD и проверка антивирусной программой.
Метод хорош, когда есть LiveCD и антивирус на нем.
2. Подключение зараженного HDD к чистому ПК и проверка антивирусной программой.
Метод хорош, когда под рукой есть чистый ПК, HDD имеет стандартный (такой же) интерфейс, можно вскрывать системный блок и вообще выключать компьютер.
3. Правка реестра.
(Проверено на Windows 2000, на других версиях названия пунктов могут отличаться)
Запустить программу regedt32.exe, перейти к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify. Выбрать в меню программы "Безопасность\Разрешения...". Нажать кнопку "Дополнительно", на закладке появившегося окна (закладка "Разрешения") нажать "Добавить", выбрать пользователя "Все". После добавления в списке "Элементы разрешений" появится позиция "Все", нужно выбрать ее и нажать "Показать/Изменить". После этого появляется окно с заголовком "Элемент разрешения для Notify", в столбце "Запретить" поставить галки для "Задание значения" и "Создание подраздела". Это блокирует создание разделов, но не блокирует их удаление - т.е. далее можно не выходя из редактора реестра удалить в Notify ключи, ссылающиеся на файлы Look2Me. После этого необходимо перезагрузить компьютер.
4. Использование антивируса DrWeb.
Необходимо установить ознакомительную версию "Dr.Web для рабочих станций Windows" ( http://download.drweb.com/win/ ).
В настройках Spider (правая кнопка на паука): настройки - Режим проверки на лету - переставить с "оптимального" на "другие", поставить галку "запуск и открытие" и "создание и запись", поставить "Запретить режим расширенной защиты" и снять "Проверять работающие программы и модули". Потом зайти в раздел "Действия", выбрать "Вредноносные программы" - "Рекламные программы", там выбрать "Первое действие" - "Переместить в карантин" и нажать "Изменить". После этого необходимо перезагрузить компьютер.
При составлении описания использованы материалы Олега Зайцева и RiC.
(c) MOCT