iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение

[COLOR="Red"][SIZE="3"][B]Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.[/B][/SIZE][/COLOR]


8-9 и 15-16 декабря 2009 года зафиксированы всплески активности нового троянского вымогателя.

[I]Наименование:[/I]
[INDENT][s]Packed.Win32.Krap.w[/s] (Лаборатория Касперского)[/INDENT]

[I]Самоназвание:[/I]
[INDENT][s]iMax Download Manager[/s] или [s]iLite Net Accelerator[/s][/INDENT]

[I]Симптомы:[/I]
[INDENT]Как и в случае заражения [s]Get Accelerator (Trojan-Ransom.Win32.Agent.gc)[/s] или [s]uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)[/s], на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что нормальная работа операционной системы блокирована в связи с нелицензионным использованием программы "iMax Download Manager" или "iLite Net Accelerator". Вредоносное ПО предлагает пользователю отправить SMS-сообщение с определенным текстом на короткий номер [s]3649[/s].

[IMG]http://www.rublya.net/uploads/posts//1260297859_x_0e61f5dc.jpg[/IMG]

Вредоносное ПО также выполняет следующие действия:

1) препятствует запуску Диспетчера задач и Редактора реестра
2) навязчиво отображает баннер или перезагружает ОС при попытке запуска каких-либо приложений
3) препятствует загрузке ОС в безопасном режиме
4) противодействует запуску антивирусных инструментов
5) дезактивирует Восстановление системы Windows
[/INDENT][I]Состав вредоносной программы:[/I][INDENT]Типичный образец вредоносного ПО [s]iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w)[/s] состоит из нескольких библиотек (DLL) со случайным именем, размещающихся в папке %system32%, размером около 130 килобайт (размер варьируется в зависимости от конкретного образца). По косвенным данным, в системе может присутствовать также исполняемый файл [s]%system32%\sdra64.exe[/s].

[COLOR="Red"][SIZE="3"][B]Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.[/B][/SIZE][/COLOR]
[/INDENT][I]Рекомендации в случае заражения:[/I][INDENT]Если ваш ПК заражен вредоносным ПО [s]iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w)[/s], то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Так как имя вредоносных компонентов формируется случайным образом, а основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя данного ВПО не может быть сформирован. В большинстве случаев уничтожение основных составляющих вредоносной программы возможно при помощи представленной ниже последовательности действий:

[CENTER][B]* * *[/B][/CENTER]

[B]1)[/B] Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: [url]http://support.kaspersky.ru/viruses/avptool2010?level=2[/url], ссылка для загрузки: [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] );
[B]2)[/B] Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: [url]http://virusinfo.info/showthread.php?t=15927[/url] ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
[B]3)[/B] Запустить утилиту AVPTool и провести полное сканирование ПК;
[B]4)[/B] Перезагрузить компьютер.

[CENTER][B]* * *[/B][/CENTER]

Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool [B]не позволяет полностью излечить[/B] пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с [URL="http://virusinfo.info/pravila.html"]Правилами оформления запроса[/URL].

Если по каким-либо причинам у вас нет возможности выполнить представленные выше рекомендации (к примеру, инфицированный ПК не имеет CD-привода), то вы можете обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно [URL="http://www.mts.ru/services/short_numbers/3649"]данным компании МТС[/URL], наиболее часто используемый мошенниками номер [s]3649[/s] принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.


[COLOR="Red"]Вы также можете воспользоваться сервисом разблокирования компьютера, любезно предоставленным Лабораторией Касперского [url]http://virusinfo.info/deblocker/[/url][/COLOR]
После разблокирования необходимо провести полноценное лечение по нашим "[URL="http://virusinfo.info/showthread.php?t=1235"]Правилам[/URL]"[/INDENT]

[I]Примеры жалоб:[/I][INDENT][url]http://virusinfo.info/showthread.php?t=62862[/url]
[url]http://virusinfo.info/showthread.php?t=62903[/url]
[url]http://virusinfo.info/showthread.php?t=62937[/url]
[url]http://virusinfo.info/showthread.php?t=62957[/url]
[url]http://virusinfo.info/showthread.php?t=62981[/url]

[url]http://virusinfo.info/showthread.php?t=63396[/url]
[url]http://virusinfo.info/showthread.php?t=63565[/url]
[url]http://virusinfo.info/showthread.php?t=63722[/url]
[url]http://virusinfo.info/showthread.php?t=63791[/url]
[url]http://virusinfo.info/showthread.php?t=63827[/url][/INDENT]

Спасибо огромное :clapping:мучался два дня с этим iMAX`сом, но Ваш способ сработал.

А я у себя руками sdra64 убил... Dr. web определял его как «Panda». Не знал, что он еще не всеми антивирусами определялся.

[QUOTE=esslmik;530893]К стати дллки сохранил, при необходимости могу выложить для анализа.[/QUOTE]

Как поделиться написано там: [url]http://virusinfo.info/showthread.php?t=37678[/url]

Попался ещё один комп, зараженный iMax Download Manager
Скорее всего, это уже его вторая модификация:
1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт
2) в %system32% всё чисто
3) в C:\Documents and Settings\Guest\Local Settings\Temp\ обнаружены 2 скрытых .bat-файла:
[I]rx.bat[/I] - 65 байт с текстом [QUOTE]Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\duezmimp.dll,Start
[/QUOTE]
и [I]w.bat[/I] - 61 байт с текстом [QUOTE]Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\xgxdw.dll,Open[/QUOTE], которые запускают две dll-ки соответственно. Обе размером [B]135 198[/B] байт, скрытые и одинаковые по содержимому, дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe в %system32%.
4) сами .bat-файлы запускаются через HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Лечение:
1. Переименовать\удалить .bat-файлы из C:\Documents and Settings\[I]имя пользователя[/I]\Local Settings\Temp\
2. Перезагрузка (при перезагрузке винда говорит, что не может запустить .bat-файл (ы)
3. Переименовать\удалить dll-ки, которые запускались этими .bat-файлами
4. Удалить в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run ссылки на .bat-файл (ы), которые были удалены
P.S. Редактор реестра не был заблокирован

[QUOTE=New Angel;530955]1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт[/QUOTE]

Говорят что такой алгоритм подходит:[QUOTE]По поводу кодов если программа просит ввести к примеру М204111300 у меня было так то в строку ввода кода деактивации вводим 4294111399, тоесть подставляем по маске:

М204111x00 4294111x99[/QUOTE]

Внимание важная информация :-)
Номер 3649 принадлежит компании [url]http://www.a1agregator.ru/[/url]
если позвонить (или написать) в тех. поддержку и описать проблему
они скажут код.
Мне помогло только это
Описанные выше методы лечения - не прокатили.

Информация от пострадавших и отправивших SMS-сообщение:
[b]При отправке 10 рублей - снимается 300 рублей.[/b]

[QUOTE=SDA;531155]Информация от пострадавших и отправивших SMS-сообщение:
[B]При отправке 10 рублей - снимается 300 рублей.[/B][/QUOTE]

и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.

[QUOTE=Ksi2;531179]и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.[/QUOTE]

Не уходит ;) Концы остаются, нет гарантии, что не попадет повторно, или его новая разновидность. Зачищаться надо в разделе "Помогите".
Насчет отправки 10 рублей - это простой психологический расчет - 10 рублей не деньги, а вот насчет 300 еще надо подумать. Кроме того, практически у каждого есть на счете сумма в размере 10 рублей, а 300 может и не оказаться.
"Без лоха и жизнь плоха, а с миру по нитке нищему рубаха" ;)

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

[QUOTE=Ksi2;531179]и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.[/QUOTE]

После перезагрузки все может повториться, пример - [url]http://forum.kaspersky.com/index.php?showtopic=148667[/url]
Поэтому настоятельно рекомедую обратиться в раздел "Помогите". Других, кто занимается самолечением, это тоже касается.

[B]SDA[/B], у нас большая организация) и куча безопасников сидит) они деньги не просто так получают;)
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))

а есть какая-нибудь инфо как оно распространяется?

а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, но незапускаются редактор реестра и диспетчер задач и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня

[B]cryker,[/B] хард проверь. потом лезь в реестр через тотал, например, и по адресам
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1 перепиши на "0"
и там же будет Task Manager. тоже присваиваешь "0".

[QUOTE=Ksi2;531273][B]SDA[/B], у нас большая организация) и куча безопасников сидит) они деньги не просто так получают;)
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))[/QUOTE]
Мое дело порекомендовать, а остальное пусть смотрят безопасники в "большой организации" :)
Мои рекомендации по обращению в раздел "Помогите" касается обычных пользователей, без крыши "большой организации, с большой кучей безопасников". Хотя порой один опытный админ, умнее и профессиональнее "этой большой кучи" бывших ментов ;)
А насчет прохождения смс, можно еще раз проверить самому после перезагрузки :)
Большой флаг в руки! ;)

[b]Еще раз рекомедую, кто читает этот пост, не слушать всякие "недоделанные, некомпетентные советы" самоучек, а обратиться к профессионалам в раздел "Помогите". Будет гораздо проще и дешевле потраченной нервной энергии.[/b]

[QUOTE=cryker;531338]а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, [B]но незапускаются редактор реестра и диспетчер задач[/B] и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня[/QUOTE]

Используйте AVZ , Файл -> Восстановление. Не всегда стоит лазить в реестр руками.

[QUOTE=Ksi2;531273][B]SDA[/B], у нас большая организация) и куча безопасников сидит) они деньги не просто так получают;)
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))[/QUOTE]

Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
А SDA Вам правильно сказал!

[QUOTE=Jolly Rojer;531776]Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
А SDA Вам правильно сказал![/QUOTE]

Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились :)

просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...
:give_rose:

[QUOTE=Ksi2;531811]Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились :)

просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...
:give_rose:[/QUOTE]
Это не только редактирование реестра. Хелперы в разделе "Помогите" к каждому случаю заражения, даже одним и тем же зловредом, подходят индивидульно, с учетом проведенной диагностики зараженной системы. [b]То, что помогло юзеру "Васе" и он на радостях опубликовал свой способ, может не помочь юзеру "Пете".[/b]
И здесь профессионально может помочь только специалист.
Это впрямую касается любителей давать непрофессиональные советы.
[b]Ресурс virusinfo.info не несет ответственности, перед теми пользователями, которые следуют непрофессиональным советам, а не обращаются в раздел "Помогите" и в результате убивают свою машину.[/b]

у нас на сервере инета тот же вирус, через загрузочный диск как написано в первом посте, не удается установить AVPTool. Не работают ни редактор реестра, ни диспетчер задач. И кстати инет раздается у нас с помощью прокси UserGate - так вот он тоже не открывается, хотя работает. Никаких подозрительных bat-файлов не нахожу, только стандартные и юзергейтовские (запускают обычные dll-ки)... Даже не знаю как вылечить систему