Форум TEYLA: Как избавиться от СМС троянов - Форум TEYLA

Перейти к содержимому

Что это?

Антивирусная программа (антивирус) — изначально программа для обнаружения и лечения программ, заражённых компьютерным вирусом, а также для предотвращения заражения файла вирусом (например, с помощью вакцинации).
Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. И напротив — программы, создававшиеся как файрволы, также обретают функции, роднящие их с антивирусами (например Outpost Firewall), что со временем может привести к ещё более очевидному распространению смысла термина на средства защиты вообще.
Межсетевой экран (сетевой экран, файервол, брандмауэр, firewall) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Как избавиться от СМС троянов Оценка: -----

#1 Пользователь офлайн   XpycT Иконка

  • Хостинг
  • Иконка
  • Группа: Модераторы
  • Сообщений: 208
  • Регистрация: 26 Январь 10
  • ГородСанкт-Петербург
Репутация: 21
Приятный

Отправлено 02 Февраль 2010 - 16:01

Прикрепленный файл  n_f_0.jpg (28,8К)
Количество загрузок:: 0
Кошелек или жизнь

Эволюция "фабрики вымогателей", последний квартал 2009 года



Наступил Новый, 2010 год. Во всем мире праздничное затишье: офисы и магазины закрыты, на улицах почти никого. Все отдыхают после главного праздника и готовятся отмечать новые. Но не везде ситуация так спокойн аи благополучна: русский сектор Интернета все еще лихорадит после масштабной эпидемии, которую устроили в конце уходящего года многообразные троянские вымогатели.
--------------------------------------------

Для справки: троянский вымогатель (Trojan-Ransom) — вредоносная программа, нарушающая целостность пользовательских файлов, работоспособность отдельного программного обеспечения или операционной системы в целом, и требующая от пользователя заплатить за восстановление нарушенного функционала или поврежденных файлов.

Мы употребили здесь слово "многообразные", но, пожалуй, в это мслучае было бы правильнее сказать "однообразные": работа злоумышленников, постоянно изготавливавших все новые и новые вредоносные продукты, напоминала работу на конвейере. С завидной периодичностью (примерно раз в две недели) "фабрика вымогателей" выпускала очередной образец вредоносной программы, с однотипным названием, скроенным по одному лекалу и составленным из одних и тех же слов, и с одной и той же схемой работы: баннер-окно высокого приоритета, которое нельзя ни закрыть, ни свернуть, с текстом о якобы нарушенном лицензионном соглашении и требованием отправить платное SMS-сообщение на особый номер, чтобы получить код разблокирования.

Надо, однако, признать, что функционал вредоносных программ все время совершенствовался, от версии к версии становясь все более изощренным. В этой статье мы и поговорим о том, как развивались вредоносные продукты, сходившие с конвейера "фабрики вымогателей", на основе сведений из информационных бюллетеней VirusInfo (см. раздел Инфекция дня).

1. "Get Accelerator" (Trojan-Ransom.Win32.Agent.gc)

Первым образцом троянских вымогателей, вызвавших масштабную эпидемию, был вредоносный продукт под самоназванием "Get Accelerator". Он был занесен в базу данных "Лаборатории Касперского" как "Trojan-Ransom.Win32.Agent.gc", антивирусные продукты Dr. Web называют его "Trojan.Winlock.366", а BitDefender эвристически определил его как "Gen:Trojan.Heur.Hype.cy4@aSUBebjk".

Первые случаи заражения этой программой мы увидели примерно в середине октября минувшего года. К началу третьей декады произошел резкий всплеск инфекции, который, к слову сказать, повторился ближе к концу года; эпидемические всплески отчетливо видны на суммарном графике поисковых запросов, составленном по данным аналитического сервиса LiveInternet.

Прикрепленный файл  14875d0bbe0ffeb30aa8f43da69.png (7,53К)
Количество загрузок:: 1

"Get Accelerator" был, в сущности, одним из примитивных представителей продукции "фабрики вымогателей". Пользователю отображалось обычное окно приложения без элементов управления, какое относительно просто изготовить в визуальной среде программирования, с парой угрожающих надписей и таймером; при этом нарушалась корректная работа сетевого подключения, что не позволяло пользователю выходить в сеть Интернет.

Прикрепленный файл  83d74ffeaee4743e153baf8c02d_prev.jpg (31,17К)
Количество загрузок:: 1

Рис.2. Снимок экрана компьютера, пораженного "Get Accelerator"

Вредоносная программа состояла из двух компонентов — драйвера %WinDir%\dmgr134.sys и внедряемой динамической библиотеки %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll ; оба компонента были отчетливо видны в результатах исследования системы AVZ, имена их были фиксированными, что позволяло составить стандартные рекомендации по их удалению:

***
Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%\dmgr134.sys','');
QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('%WinDir%\dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Операционная система перезагрузится.



***
"Get Accelerator" был актуален в течение 1-2 недель, после чего злоумышленники запустили в производство новую версию.

2. "uFast Download Manager" (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)

Вторым представителем семейства стал т.н. "uFast Download Manager", получивший наименования "Trojan-Ransom.Win32.SMSer.qm" и "Trojan.Win32.Agent.dapb" в базах данных "Лаборатории Касперского" и "Trojan.Botnetlog.11" — по классификации Dr. Web; BitDefender вновь определил вредоносную программу эвристически, назвав ее "BehavesLike:Trojan.UserStartup".

Атака этой вредоносной программы пришлась на начало ноября, когда первая волна "Get Accelerator" была уже погашена. На графике поисковых запросов вновь отчетливо виден эпидемический всплеск, хотя он был и не таким мощным, как у предыдущего образца.

Прикрепленный файл  2.png (7,78К)
Количество загрузок:: 1

Рис.3. Количество поисковых запросов определенного типа, суммарное

В сравнении с "Get Accelerator" "uFast Download Manager" был устроен немного сложнее с точки зрения интерфейса и несколько проще в том, что касается реализации. Окно, отображавшееся пользователю, приобрело "полупрозрачный" вид, исчезла и рамка окна, характерная для "GetAccelerator"; надписи и требования, однако, остались все теми же. Основание для вымогательства также не изменилось: программа нарушала работу сетевого подключения. Иногда от пользователей поступали сообщения и о блокировке Диспетчера задач.

Прикрепленный файл  3.jpg (37,62К)
Количество загрузок:: 1

Рис.4. Снимок экрана компьютера, пораженного "uFast Download Manager"

Вредоносный продукт на этот раз пытался имитировать "настоящий" менеджер загрузок — создавал свою папку в каталоге %UserProfile%\Application Data. Основной компонент на сей раз был один — исполняемый файл с опять же фиксированным именем типа %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManage r.exe ; он по-прежнему был отчетливо виден в протоколах AVZ и мог быть удален вместе с иногда застревавшим в системе дроппером при помощи стандартных рекомендаций:

***
Для удаления типичного представителя uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

Код:
var
SP: string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
QuarantineFile(SP+'\zavupd32.exe','');
QuarantineFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe','');
DeleteFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe');
DeleteFile(SP+'\zavupd32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

Операционная система перезагрузится.



Если после этих действий у Вас возникнет проблема соединения с сетью, сделайте следующее:
1. В диспетчере устройств Windows удалите сетевой адаптер
2. Обновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид.

***
Просуществовав несколько недель, "uFast Download Manager" был вскоре сменен обновленной версией "Get Accelerator".

3. "Get Accelerator" — 2

После падения "uFast Download Manager" злоумышленники вернулись к"брэнду" "Get Accelerator". Под старым именем вышла новая модификация вредоносной программы, остававшаяся актуальной почти месяц.

В сравнении с предыдущими версиями авторы "продукта" сделали шаг вперед: предприняли попытку защитить свое творение от антивирусных консультантов и их инструментов. Во-первых, появилось случайное имя вредоносного драйвера, а, во-вторых, этот же драйвер занялся маскировкой внедряемой библиотеки aekgoprn.dll, подставляя вместо пути набор цифр. Впоследствии авторы вообще отказались от особого драйвера и вместо этого стали модифицировать системные драйвера, усложняя тем самым процедуру лечения. С этого момента "фабрика вымогателей" уже не выпускала образцов, для которых можно было бы предложить стандартный скрипт AVZ.

Однако, как выяснилось, все это были еще цветочки. Гром грянул позже, в начале декабря.

4. "iMax Download Manager" (Packed.Win32.Krap.w)

Удар, нанесенный этим вредоносным продуктом, пришелся на 8-9 декабря. "iMax Download Manager" в разы превзошел всех своих предшественников как по масштабам эпидемии, так и по вредоносному функционалу. На момент атаки определить его были способны только продукты "Лаборатории Касперского", да и то эвристически — по подозрительному упаковщику файла.

В том, что касается масштабов эпидемии, достаточно привести несколько цифр:

- 9 декабря на лечебном сервисе VirusInfo были побиты рекорд одновременного присутствия (без малого 1 000 человек онлайн одновременно) и рекорд суточной посещаемости (впервые в истории портал аон превысил 20 000 уникальных посетителей в сутки),
— информационный бюллетень о вредоносной программе "iMax Download Manager" за два дня был просмотрен порядка 10 000 раз,
— суммарное количество поисковых запросов (на графике) превысило 10 000— в 2 раза больше, чем предел для "Get Accelerator", и в 4 раза больше,чем для "uFast Download Manager".

Прикрепленный файл  4.png (5,79К)
Количество загрузок:: 0

Рис.5. Количество поисковых запросов определенного типа, суммарное

В области вредоносного функционала авторы также продемонстрировали большой "прогресс". "iMax Download Manager", помимо традиционного вымогательства, оказался способен:

— мешать запуску и работе антивирусных инструментов и сканирующих утилит,
— блокировать Диспетчер задач и Редактор реестра,
— препятствовать загрузке Windows в безопасном режиме,
— выключать Восстановление системы Windows.

Прикрепленный файл  5.jpg (14,39К)
Количество загрузок:: 0

Рис.6. Снимок экрана компьютера, пораженного "iMax Download Manager"



Само собой, что о стандартных скриптах для антивирусных инструменто вречь здесь уже не шла. Усилия антивирусных консультантов сосредоточились на двух способах решения проблемы — загрузке в обход операционной системы или поиску способов подбора т.н. "кода активации".

Не успела погаснуть волна этого вредоносного ПО, как последовала еще одна — более слабая, сопоставимая с масштабами волны "uFast DownloadManager".

5. "iLite Net Accelerator" (Packed.Win32.Krap.w)

Вредоносный продукт под названием "iLite Net Accelerator" — это в сущности тот же "iMax Download Manager", выпущенный под другим именем. Для него даже не потребовался отдельный бюллетень в разделе "Инфекция дня". Отличия его от "старшего брата" незначительны и состоят скорее в типе цифрового кода для отправки в SMS-сообщении и собственно номере для отправки. Волна инфекции, однако, вышла вполне ощутимой.

Прикрепленный файл  6.png (6,35К)
Количество загрузок:: 0
Рис.7. Количество поисковых запросов определенного типа, суммарное

Для "iMax Download Manager" и "iLite Net Accelerator" в настоящее время существуют, как было уже сказано, два основных типа лечения. Первый разработан специалистами VirusInfo и состоит в использовании загрузочного диска, содержащего антивирусную сканирующую утилиту:

***
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь:support.kaspersky.ru/viruse..., саму утилиту - см. тут );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: virusinfo.info/showthread.p... ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPToolи провести полное сканирование ПК;
4) Перезагрузить компьютер.

***
Однако данный способ требует от пользователя определенных навыков и к тому же не всегда применим (в частности, нередко вредоносный продукт поражает нетбуки, которые не снабжены CD-приводом).

Если первый способ не подходит, остается другой — подбор "кода разблокировки" вместо отправки SMS-сообщения.

Получить код вы можете одним из двух вариантов:

1) Использовать сервис разблокировки, любезно предоставленный нам "Лабораторией Касперского":

http://support.kaspe...ruses/deblocker

2) Обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно данным компании МТС, наиболее часто используемый мошенниками номер 3649 принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.

Следует, однако, помнить, что каким бы вымогателем ни был поражен ваш ПК, ни в коем случае нельзя делать двух вещей:

а) выполнять требования злоумышленников и выплачивать им "выкуп",
б) заниматься самолечением или следовать советам шарлатанов от компьютерной медицины (например, "удали все файлы из папки system32" —гарантированный способ умертвить Windows).

Помимо перечисленных нами образцов, существует еще некоторое количество более мелких представителей этой группы — "File Downloader", "Toget Access" и им подобные.

И в заключение нашей статьи приведем любопытный график — объединенные данные по эпидемическим всплескам вымогателей:

Прикрепленный файл  7.png (247,48К)
Количество загрузок:: 0

Рис.8. Общие данные по активности вымогателей

P.S. так же можно воспользоваться программой ProcessExplorer. С помощью нее можно определить местоположение файла, запускающего вирус.
Выездной системный администратор, веб-хостинг, виртуальный сервер, программное обеспечение
+7 (812) 339-60-39
https://octet.spb.ru/
1

#2 Пользователь офлайн   ariez Иконка

  • Мистер TEYLA 2011
  • PipPipPipPipPipPipPipPip
  • Группа: Завсегдатаи
  • Сообщений: 1 321
  • Регистрация: 16 Сентябрь 09
  • ГородПлюк
Репутация: 149
Почтенный

Отправлено 02 Февраль 2010 - 17:04

Слыхал я об этом вирусе.
Скачал его себе даже для интересу)))))
Через пять минут спокойно зашёл под безопасным режимом(инет был) и за пять минут нашел на форуме(по поисковику) адрес этой гадости чтоб спокойно её вычистить))))
Это я делал для того что ко мне много знакомых ламеров обращаются по всякой фигне вот для них и решил на всякий случай изучить эту гадость чтоб по телефону им аборты делать)))))))
Изображение
0

#3 Пользователь офлайн   DJ GROM Иконка

  • Любитель
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 392
  • Регистрация: 21 Сентябрь 09
  • ГородПитер
Репутация: 21
Приятный

Отправлено 02 Февраль 2010 - 20:16

есть такое ...я вообще круто этот вирь убивал))))
0

#4 Пользователь офлайн   Still Иконка

  • Прибывший
  • Pip
  • Группа: Пользователи
  • Сообщений: 30
  • Регистрация: 22 Сентябрь 09
  • ГородПитер
Репутация: 11
Знакомый

Отправлено 02 Февраль 2010 - 21:25

При Такой Заразе, на помошь юЗверя всегда придет LiveCD dr.Web....
Иногда бывает что этот "Конь" блочит даже в безопасном рэжиме,и тогда тока LiveCD от dr.Web'а поможет, и систему загрузит и от вирусов за одно по лечит)))
0

#5 Пользователь офлайн   Дядя Миша Иконка

  • Прибывший
  • Группа: Пользователи
  • Сообщений: 18
  • Регистрация: 27 Сентябрь 09
Репутация: 3
Знакомый

Отправлено 03 Апрель 2010 - 00:20

Просмотр сообщенияGartcian (02 Февраль 2010 - 21:25):

тока LiveCD от dr.Web'а поможет, и систему загрузит и от вирусов за одно по лечит)))

гм... а что мешает скачать ла?;)?сиди (ну этот старый, но ищите посвежее) и с него всё удалить-вылечить ;)

Сообщение отредактировано Дядя Миша: 03 Апрель 2010 - 00:22

0

#6 Пользователь офлайн   DJ GROM Иконка

  • Любитель
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 392
  • Регистрация: 21 Сентябрь 09
  • ГородПитер
Репутация: 21
Приятный

Отправлено 03 Апрель 2010 - 11:06

удаление способом ворда жжет=)))
0

#7 Пользователь офлайн   Muvvka Иконка

  • Новичок
  • Pip
  • Группа: Пользователи
  • Сообщений: 27
  • Регистрация: 28 Ноябрь 12
Репутация: 1
Знакомый

Отправлено 06 Декабрь 2012 - 01:02

хех я по ходу 1 имею точное решение на этот конкретный вопрос http://www.antiwinlocker.ru/
ибо тут вы обсуждаете Trojan.WinLock
ну некоторые в ручную я так удалял)видео

Сообщение отредактировано Muvvka: 17 Декабрь 2012 - 23:23

0

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей