PDA

Просмотр полной версии : Trojan-Ransom.Win32.SMSer (Kaspersky Lab Antivirus Online) : вымогатель, выдающий себя за антивирус "Лаборатории Касперского"



NickGolovko
21.07.2009, 14:16
VirusInfo, ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ, участник Альянса профессионалов в области анализа безопасности (Alliance of Security Analysis Professionals, ASAP), предупреждает об активном распространении новой разновидности вредоносного программного обеспечения, относящегося к типу троянских вымогателей -

Trojan-Ransom.Win32.SMSer

В настоящее время в русском секторе Интернета циркулируют следующие разновидности данного вредоносного ПО:


Trojan-Ransom.Win32.SMSer.fi
Trojan-Ransom.Win32.SMSer.ft
Trojan-Ransom.Win32.SMSer.fz
Trojan-Ransom.Win32.SMSer.fo
Trojan-Ransom.Win32.SMSer.gc
Trojan-Dropper.Win32.Agent.awwe


Первый образец Trojan-Ransom.Win32.SMSer поступил в сервис лечения Антивирусного портала VirusInfo 17 июля сего года.



Основные сведения об инфекции (предоставлены КиберХелпером (http://virusinfo.info/index.php?page=cyberhelper))

Типичный представитель данной вредоносной программы имеет размер около 70 килобайт, написан на Visual Basic. Будучи запущенным, выполняет ряд вредоносных действий, как то:

1. Создает собственный исполняемый файл под именем

C:\WINDOWS\system32\user32.exe


2. На доступных для записи дисках создает файлы

autorun.inf
md.exe

Файл autorun.inf служит для автоматического запуска файла md.exe при открытии каждого жесткого диска или съемного носителя; файл md.exe представляет собой копию основного исполняемого файла SMSer.


3. Регистрируется на автозапуск, записывая в параметр

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\shell

значение

%SystemRoot%\system32\user32.exe

(вместо стандартного explorer.exe).


4. Правит системные политики, запрещая запуск диспетчера задач, а также время от времени вызывает функцию закрытия некоторых системных процессов - таких, как narrator.exe, taskmgr.exe, regedit.exe, sethc.exe.

До ближайшей перезагрузки или выключения операционной системы Trojan-Ransom.Win32.SMSer никак не проявляется визуально. После перезапуска ОС исполняемый файл вредоносной программы оказывается запущен вместо Проводника Windows, отображая экран со следующим текстом:

http://virusinfo.info/images/rs1.PNG

Таким образом, вредоносное ПО блокирует нормальную работу ПК и предлагает пользователю отправить платное SMS-сообщение для восстановления функционала, что является типичным поведением троянских вымогателей. Особенность данного образца состоит в том, что он пытается выдать себя за несуществующий продукт "Kaspersky Lab Antivirus Online", обнаруживший на компьютере пользователя некий "вирус" и предлагающий "удалить" его. При этом, как можно видеть из снимка экрана выше, текст малограмотен и содержит как орфографические, так и пунктуационные ошибки.



Лечение зараженного компьютера

Восстановление работоспособности инфицированного ПК может осуществляться по аналогии с удалением Trojan-Ransom.Win32.Blocker, описанным в вирусной энциклопедии Securelist (http://www.securelist.com/ru/weblog/207758824/Udalenie_Trojan_Ransom_Win32_Blocker_svoimi_rukami ). Напомним, что сущность предложенного метода состоит в выполнении следующих инструкций.

1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:

http://images.kaspersky.com/ru/pictures/vlweblog/207758826.jpg

2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:

http://images.kaspersky.com/ru/pictures/vlweblog/207758827.jpg

Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.

Типичный представитель Trojan-Ransom.Win32.SMSer может быть удален при помощи следующего скрипта AVZ:


Var
Disk : char;
i : integer;
begin
SetAVZGuardStatus(true);
TerminateProcessByName('user32.exe');
QuarantineFile('%System32%\user32.exe','');
DeleteFile('%System32%\user32.exe');
for i := 0 to 25 do begin
Disk := chr(ord('C')+i);
if GetDriveType(Disk+':\') in [2,3,4] then begin
DeleteFile(Disk+':\md.exe');
DeleteFile(Disk+':\autorun.inf');
end;
end;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(19);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.


(Как выполнить скрипт в AVZ? (http://virusinfo.info/showthread.php?t=7239))

VirusInfo напоминает участникам и гостям проекта, что при заражении компьютера троянскими вымогателями настоятельно не рекомендуется выполнять требования злоумышленников и выплачивать им какие-либо суммы - это поощряет киберпреступников создавать новые, более опасные образцы вредоносного программного обеспечения. Если ваш компьютер инфицирован Trojan-Ransom.Win32.SMSer, и представленные в настоящем пресс-релизе рекомендации не помогают устранить заражение, воспользуйтесь услугой лечения ПК от вирусов (http://virusinfo.info/index.php?page=malwareremoval), предоставляемой Антивирусным порталом VirusInfo.

PavelA
24.07.2009, 08:14
вирусы грузить сюда:
http://virusinfo.info/upload_virus.php?tid=50378

Из темы необходимо убрать.

rover2000
24.07.2009, 21:42
Спасибо! Всё заработало! Единственное: у меня "Windows+U" не сразу срабатывало. Требуется несколько нажатий и быстро нажимаем "запустиь". А в остальном все отлично.

nisome
26.07.2009, 16:05
IMHO, Windows+U - брешь в системе безопасности Windows, которая закрывается каким-то сервис паком. У меня Windows XP SP3 с установленными обновлениями, выпущенными после SP3. "Справка" и ссылка на сайт Microsoft в программе "Лупа" не работают. Так что способ не очень надёжный.

Alex_Goodwin
26.07.2009, 16:11
У меня SP3 + все обновы, все прекрасно работает.

Khorn
26.07.2009, 16:58
Все выполнил как написано система работает,но при вызове диспетчера задач пишет следующее :

Диспетчер задач заблокирован администратором

подскажите как это поправить ,зарание благодарен.

Alex_Goodwin
26.07.2009, 17:13
Нужно выполнить скрипт из первого сообщения.

Saintll
28.07.2009, 10:01
Здравствуйте!
Вирус удалил, вроде все починил, остался один косяк(((
При двойном клике на жесткий диск открывается поиск, если кликнуть правой клавишей мыши на жесткий диск то поумолчанию установленно НАЙТИ((( Подскажите как поправить руками, не запуская скрипта? Комп не личный, а рабочий и возможности запустить скрипт нет.
Зарание СПАСИБО!

Alex_Goodwin
28.07.2009, 10:50
Попробовать удалить autorun.inf с корня, но желательно все же выполнить скрипт.

Step
28.07.2009, 11:44
Из трех доступных для экспериментов систем(Win XP), две запускают экранную лупу без пояснительного окошка. Закономерности никакой нет - две системы на виртуалке, одна позволяет открыть "Веб-узел Майкрософт", другая нет. Хостовая машина тоже нет. Где-то это регламентируется. В реестре? Где именно?
Может быть статистика далека от жизненной.

Saintll
28.07.2009, 12:04
Попробовать удалить autorun.inf с корня, но желательно все же выполнить скрипт.
Авторан уже удалил единственное что изменилось это диски стали определяться как локальные, раньше определялись как съемные диски. Понятно что лучше скрипт запустить, но нильзя(((
З.Ы. Система ХР SP2

NickGolovko
29.07.2009, 08:27
Попробуйте удалить содержимое ключа реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2

skt-maksim
29.07.2009, 11:58
Данный вариант не проходит при наличии всех критических обновлений.
Поэкспериментировал, вывод такой, экранная лупа запускается, справка остаётся не активной.
При запуске экранного диктора или лупы можно только посмотреть сведения о программе и ссылка на веб узел Microsoft не активна.

Имя ОС Microsoft Windows XP Professional
Версия 5.1.2600 Service Pack 3 Сборка 2600

Saintll
29.07.2009, 12:18
Попробуйте удалить содержимое ключа реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
Попробывал, не помогло.

NickGolovko
29.07.2009, 16:22
Вероятно, вам не хватает прав для удаления.

Saintll
29.07.2009, 18:02
Вероятно, вам не хватает прав для удаления.
До реестра доступ доступ есть. Могу удалять, переименовывать и т.д. Пробывал удалять содержимое MountPoints2, удалял саму MountPoints2, пробывал переименовывать, перезагружался. Увы не помогло(((

NickGolovko
29.07.2009, 19:11
Попробуйте отрегулировать действия с помощью вкладки Типы файлов в окне Проводника Сервис - Свойства папки. В списке найдите тип "Устройство" и нажмите кнопку Дополнительно. В открывшемся окне должно быть доступно управление выполняемыми действиями.

Foris
29.07.2009, 20:39
Комп не личный, а рабочий и возможности запустить скрипт нет.

Вам поможет отдел Helpdesk. Обратитесь к ним :D.

Saintll
30.07.2009, 07:21
Попробуйте отрегулировать действия с помощью вкладки Типы файлов в окне Проводника Сервис - Свойства папки. В списке найдите тип "Устройство" и нажмите кнопку Дополнительно. В открывшемся окне должно быть доступно управление выполняемыми действиями.
Действие там одно "find", догадываюсь что нужно создать еще "open", соответственно в поле действие прописываю "open", но никак не догадаюсь что прописать в поле "приложение, исполняющее действие":(

Dionis
30.07.2009, 07:39
По-моему, строчка в скрипте

for i := 0 to 25 do begin
должна выглядеть как

for i := 0 to 23 do begin

PavelA
30.07.2009, 13:01
Действие там одно "find", догадываюсь что нужно создать еще "open", соответственно в поле действие прописываю "open", но никак не догадаюсь что прописать в поле "приложение, исполняющее действие":(
Поищи по нашему форуму. На эту тему писал Паул примерно полгода назад.
http://www.dougknox.com/ - на этом сайте покопайся.

Saintll
30.07.2009, 16:30
Поищи по нашему форуму. На эту тему писал Паул примерно полгода назад.
http://www.dougknox.com/ - на этом сайте покопайся.
НАШЕЛ!!!! )))))
"Более простой, доступный всем вариант) Мой Комп - Сервис - Свойства папки - Типы файлов.
Крутим вниз до 'устройство'. Нажимаем 'дополнительно'.
Там как параметр у вас стоит только 'find'. Можно, однако, добавить параметры. Нажмите 'создать'.
Действие: open
Приложение, исполняющее действие: C:\WINDOWS\explorer.exe
OK - Применить - ОК.
Диски теперь должны открываться.

Paul "
СПАСИБО всем огромное!
И ресурс у Вас замечательный:D

nisome
02.08.2009, 23:29
Alex_Goodwin,
У меня SP3 + все обновы, все прекрасно работает.
Значит у нас с вами обновления разные (либо какие-то системные настройки).
У skt-maksim такие же проблемы.
Кроме того, у меня дома Windows XP SP2 и тоже не работает трюк с лупой.

Alex_Goodwin
03.08.2009, 08:49
Может у Вас эта галочка была поставлена: 150033