Get Accelerator (Trojan-Ransom.Win32.Agent.gc): описание и лечение

19-20 октября 2009 года зафиксирован всплеск активности нового троянского вымогателя.

[I]Наименование:[/I]

[INDENT][s]Trojan-Ransom.Win32.Agent.gc[/s] (Лаборатория Касперского)[/INDENT]

[I]Также известен как:[/I]

[INDENT][s]Gen:Trojan.Heur.Hype.cy4@aSUBebjk[/s] (BitDefender)
[s]Trojan.Winlock.366[/s] (DrWeb)[/INDENT]

[I]Самоназвание:[/I]

[INDENT][s]Get Accelerator[/s][/INDENT]


[I]Симптомы:[/I]
[INDENT]
На Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы Get Accelerator. Вредоносное ПО отображает убывающий таймер и предлагает пользователю отправить SMS-сообщение с текстом

[CODE]acv<набор цифр>[/CODE]

на короткий номер [s]9099[/s]. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается.
[IMG]http://s05.radikal.ru/i178/0910/5d/bac90b9352f6.jpg[/IMG][/INDENT]


[I]Состав вредоносной программы:[/I]

[INDENT]Вредоносное ПО [s]Trojan-Ransom.Win32.Agent.gc (Get Accelerator)[/s] состоит из двух компонентов.

1) драйвер [s]%WinDir%\dmgr134.sys[/s], размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.
2) библиотека [s]%system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll[/s], размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.[/INDENT]


[I]Рекомендации в случае заражения:[/I]

[INDENT]Если ваш ПК заражен вредоносным ПО [s]Trojan-Ransom.Win32.Agent.gc (Get Accelerator)[/s], то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Для удаления типичного представителя [s]Trojan-Ransom.Win32.Agent.gc (Get Accelerator)[/s] с обычного домашнего или офисного ПК необходимо [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт в AVZ[/URL]:

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%\dmgr134.sys','');
QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('%WinDir%\dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Операционная система перезагрузится.

Если предложенный скрипт не помог, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с [URL="http://virusinfo.info/pravila.html"]Правилами оформления запроса[/URL].[/INDENT]


[I]Примеры жалоб на [s]Trojan-Ransom.Win32.Agent.gc (Get Accelerator)[/s]:[/I]

[INDENT][url]http://virusinfo.info/showthread.php?t=57597[/url]
[url]http://virusinfo.info/showthread.php?t=57628[/url]
[url]http://virusinfo.info/showthread.php?t=57672[/url]
[url]http://virusinfo.info/showthread.php?t=57683[/url]
[url]http://virusinfo.info/showthread.php?t=57860[/url]
[url]http://virusinfo.info/showthread.php?t=57849[/url]
[/INDENT]

А как распространяется данный зловред?

скажите, пож-та, как можно проделать все манипуляции по лечению, если эта вредная прога не пускает в интернет?

[B]Семенова Елена[/B],
Логи можно на флешку копировать и отсылать с незараженного компьютера с выходом в и-нет.

[QUOTE=Семенова Елена;490279]скажите, пож-та, как можно проделать все манипуляции по лечению, если эта вредная прога не пускает в интернет?[/QUOTE]

Выполните [URL="http://virusinfo.info/pravila.html"]Правила оформления запроса[/URL]. Для скачивания указанных в Правилах программ воспользуйтесь любым незараженным компьютером, подключенным к сети Интернет, и перенесите их на свой компьютер с помощью флешки.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 56 минут[/I][/B][/color][/size]

[B][COLOR="Magenta"]Внимание![/COLOR][/B]
Темы для оказания помощи следует создавать в разделе "[URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите[/URL]".
Вот пример: [url]http://virusinfo.info/showthread.php?t=57849[/url]

Пусть буду третьим, но все же:
Приходите к нам в "Помогите", логи с собою приносите.
Рецепт, или скрипт в помощь получите и
"Спасибо" скажите.

[QUOTE]Вредоносное ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator) состоит из двух компонентов.

1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.
2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.[/QUOTE]
А DLL внедряется драйвером? В интернете есть информация, что этот вирус связан с файлом "C:\WINDOWS\system32\winlogon.exe" - модифицирует его.

[QUOTE=Kuzz;490315][B]Семенова Елена[/B],
Логи можно на флешку копировать и отсылать с незараженного компьютера с выходом в и-нет.[/QUOTE]

А можно загружать требуемые программы с зараженного компьютера, если загружаешься с измененной датой в BIOS?
Спасибо.

Можно. Но после этого приходите в "Помогите".
Идентификатор одной из dll меняется.

А если Касперский находит вирус, удаляет его и при перезагрузке это окно уже не появляется, то инцидент исчерпан? или все же лучше перестраховаться и оформить запрос вам?

[QUOTE=jogod;491489]А если Касперский находит вирус, удаляет его и при перезагрузке это окно уже не появляется, то инцидент исчерпан? или все же лучше перестраховаться и оформить запрос вам?[/QUOTE]Не помешает

[QUOTE=nk_l;489792]А как распространяется данный зловред?[/QUOTE]

К нам до сих пор не попал дроппер, поэтому точно сказать мы не можем. Некоторые пострадавшие утверждают, что переходили по предложенным им ссылкам; возможно, производились спам-рассылки со взломанных учетных записей в социальных сетях и интернет-пейджерах. В частности, по неподтвержденным данным, за несколько дней до начала эпидемического распространения Get Accelerator пользователям ICQ массово рассылались ссылки на вредоносное ПО для хищения учетных данных.

[QUOTE=bolshoy kot;490673]А DLL внедряется драйвером? В интернете есть информация, что этот вирус связан с файлом "C:\WINDOWS\system32\winlogon.exe" - модифицирует его.[/QUOTE]

Сам файл winlogon.exe не затрагивается, просто это один из процессов, в которые внедряется вредоносная DLL. Драйвер же, судя по всему, предназначен для защиты библиотеки и ее восстановления в случае попыток уничтожить ее.

[QUOTE=NickGolovko;489561]
[INDENT]Для удаления типичного представителя [s]Trojan-Ransom.Win32.Agent.gc (Get Accelerator)[/s] с обычного домашнего или офисного ПК необходимо [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт в AVZ[/URL]:[/INDENT][/QUOTE]
ИМХО в скрипте прямые пути к файлам лучше заменить на макросы.

[B]NickGolovko[/B], спс

[QUOTE=nk_l;491714][B]NickGolovko[/B], спс[/QUOTE]

Спасибо можно нажать - [IMG]http://virusinfo.info/images/buttonsru/reputation.gif[/IMG]

[QUOTE=Nikkollo;491707]ИМХО в скрипте прямые пути к файлам лучше заменить на макросы.[/QUOTE]

Резонно. Отредактировал

был у нас такой вирус..как ни странно но антивири не сильно помогли...сделали все вручную: удалили лишнюю библиотеку и переименовалм файл (удалить не дал). Потом перезагрузили и почистили авторан в реестре.

[QUOTE='NickGolovko;489561']на короткий номер 9099[/QUOTE]
Так же и на номер 7122
Так же изменили окно, установили флаг "поверх всех окон".
Класс окна #32770
Удачи!

Спасибо, помогли вылечить!!!:clapping:

Всем спасибо.. принесли машинку с такой же проблемой..
после выполнения скрипта файл dmgr134.sys остался (?), но затем удалился без проблем и больше не появился..
еще раз спасибо!