[ Войти · Правила форума · Поиск · RSS ]

  • Страница 1 из 1
  • 1
ТрояН.Винлок? разберемся
Vetal_47Дата: Воскресенье, 27.03.2011, 12:30 | Сообщение # 1
Создатель сборок
Сообщений: 36
Репутация: 22 ±
Награды: 2 +
Страна: Российская Федерация
В связи с повальными обращениями за помощью и жалобами на trojan.winlock и его модификации, решил создать что-то полезное, а именно блог по способу его (трояна) умертвения :twisted:
Итак, Что представляет собой вирус, блокирующий запуск Windows
Данная вредоносная программа была добавлена в вирусную базу Dr.Web 08.04.2009 г., под названием Trojan.Winlock. Ее модификации автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
Антивирус Касперского распознает вирус с 13.04.2009 г., как Trojan-Dropper.Win32.Blocker.a и Trojan-Ransom.Win32.Agent.af.
Panda Security с 20.04.2009 г. идентифицирует вирус, как Trj/SMSlock.A. Вирус-блокировщик попадает на ПК пользователей, как правило, под видом видеокодеков, электронных книг или аудиофайлов. Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.Программа является приложением Windows (PE EXE-файл). Написана на C++.,(http://netler.ru/pc/trojan-winlock.htm) от себя хочу добавить, что множество модификаций этой дряни не распознаются ни Авастом, ни АВГ, ни Авирой..
После установки на HDD пользователя создается временная папка, в которой и лежат рессурсы этого вируса, из которой и выводится реклама, сам блокиратор-отправь смс/разблокируй меня и т.д.

Среда обитания.
Чаще всего вирус можно подцепить следующим способом:
1) Сайты "Вконтакте" и "Одноклассники" - очень много модификаций этого вируса пользователи подцепляют именно там. Не рекомендуется открывать ссылки или файлы, присланные вам от незнакомцев.
2) Сайты с бесплатными рефератами - много среди нас студентов. Идеальное место разместить такой вирус.
3) Сообщение в ICQ - да, как ни странно, но через "аську" тоже можно подцепить такой вирус. Схема проста - вам приходит сообщение "Никого не узнаешь на этой фотографии?" (или похожее на это) с прикрепленным файлом в формате gif или jpeg (или ссылка на такой файл). Как только пользователь открывает файл - вирус загружается в систему и после перезагрузки блокируется система с предложением отправить смс для разблокировки.
4) Малопопулярные новостные сайты - советуем не пользоваться новостными сайтами, которые вам не известны.
5) Информеры и баннеры - бывали случаи заражения системы после перехода по ссылкам из баннеров и информеров, которые предлагают "бесплатную антивирусную защиту", "взлом аккаунтов" почтыаськивконтакте, "вечно работающий Антивирус Касперского". И это далеко не все типы развода, из-за которого вы можете заразить свой ПК. (инфа с torrents.ru/)

Но если уж поймали, не паникуем- не беда, грохнем!

1. Если на экране переодически возникает реклама, а в уст/удалении прог появилась неизвестная программа, которая просит оплату за то, чтоб ее удалили, можно попробывать убить ее другим способом:
а) DrWeb CureIt (особенно тщательно проверяем папку ...user/appdata/roaming) довольно хорошо справляется с этой заразой;
б) Находим в папке ...user/appdata/roaming название данной проги и тупо удаляем ее (что не удаляется?) с помощью программы unlocker ( в програмке сначала разблокируем все службы и приложения завязанные на этой папке, а затем и удалить нажать можно), затем в пуске-выполнить-regedit-"ctrl+f" и ищем название сей вредоносной программки (удалять можно- комп не умрет :twisted: )-перезагружаемся и улыбаемся так было со мной
2. Если винда блокируется при загрузке, то выполнять просьбы отправки смс не надо, достаточно ввести код разблокировки (таблица ниже), ну а уж потом танцы с бубнами и антивирусом! Я лично свой удалил :evil:
3. Скачиваем LiveCD с наличием антивирусов с относительно актуальными базами. Таких дисков много, (Alkid Live CD,например). Записываем на диск, загружаемся с него и убиваем вирус там
Итак необходимая защита

1 картинка, с таблицей кодов разблокировки по номерам http://s39.radikal.ru/i084/1002/ba/c348e0c7a455.png
2 CureIt http://narod.ru/disk/17466372000/jejcmvx6.exe.html
3 Unlocker http://narod.ru/disk/17466400000/unlocker1.8.8.exe.html
4 Ну и уж сайт разблокировщик данных троянов http://www.drweb.com/unlocker/index/

Лично мне уже жалко вашего трояна
З.Ы. Расскажите как боролись ВЫ smile

Добавлено (27.03.2011, 12:28)
---------------------------------------------
Блокировка на стадии входа в систему (нет доступа к "Рабочему столу")
1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей (в большинстве случаев, есть редкие модификации, которые блокируют эту возможность).
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE (или другой браузер по умолчанию).
3. Получаем доступ в интернет с помощью вызванного IE (или другого браузера по умолчанию), ну а там уж справимся... :biggrin:
(http://torrents.ru/forum/viewtopic.php?t=2270021)

--------------------
Человек без мозгов- это тоже что и человек с мозгами, только без мозгов...

Добавлено (27.03.2011, 12:29)
---------------------------------------------
Вот, что пишет ползователь сайта http://www.securelist.com/ru/ BOBAH, 16 июл 2009
"Я сделал по другому!
Это было месяц назад.
Пришло сообщение от друга по аське типо:
Никого не узнаешь на этой фотке? и ссылка на гиф файл.
Без мыслей перешел по ней. на компе стоял каспер интернет секюрити 8 с нормальными обнавленными базами (видимо тогда он не ловился).
так вот перейдя по ссылке каспер ничего не сказал комп сильно затормозил. я отключился от интернета и перезагрузился. в ответ увидел синий экран смерти и предложение отправить смс. ага думаю не на того непали, гружусь под ф8 в безопасном режиме - и ничего. синий экран и перезагрузка.
комбинации клавишь в обычном режиме не помогают.
Получилось случайно...
Гружу комп под ф8 в режиме VGA и постоянно жму на ESC. Синий экран появился и сразуже исчез.
Далее защел в диспетчер задач и увидел странный процесс, под названием svcshost отличающийся всего 1 буквой от привычного нам.
Снес его. запустил через выполнить msconfig и из загрузки убрал его тоже.
ПОсле перезагрузки, синего экрана больше небыло. после полной проверки каспером он обнаружил 3 трояна в системных папках.
PS. От моего контакта в аське было отправлено всему моему листу контактов такое же сообщение. Незнаю взломан был мой уин или нет, но пас пришлось поменять сразу же.
Всем удачи. может поможет!!!"
http://www.securelist.com/ru/weblog?weblogid=207758824
Еще неплохая инфа по этому же поводу http://stopvirus.ru/winlock/index.html

Добавлено (27.03.2011, 12:29)
---------------------------------------------
:ex: Миллионы российских пользователей заразились трояном семейства Trojan.Winlock, который вымогает деньги у честных граждан.
«В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов», - сообщает РБК со ссылкой на российского разработчика средств информационной безопасности компания "Доктор Веб".
Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении с 300-600 рублями).
В 2009 году Trojan.Winlock начинает набирать обороты у мошенников, и вследствие чего, программа становиться все опаснее и опаснее. Мошенники начинают запрашивать все больше и больше денег – за снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и блокирует систему. Троян уже не удаляется через 2 часа, а еще и приобретает дополнительные функции по отягощению работы и удаления его из компьютера. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, утилит сбора информации, которая может помочь в лечении системы).
Распространяется троян через уязвимости в Windows через «наш любимый» Internet Explorer. Также можно заполучить это чудо с помощью вредоносных сайтов скачивая различные данные.( файлы установки новых программ, кодеки, эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).
Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.
Из-за того, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.
Специалисты «Доктор Веб» считают необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, компания призывает операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.
Компания «Доктор Веб» помогает избавиться от этого трояна, блокирующего доступ к системе. И создала для этого специальный раздел.
В этом разделе указанны все разновидности вируса и способы его предотвращения. Также присутствует горячая линия на которой можно сообщать о новых появившихся угрозах.
По данным журналистов Бизнес ФМ говориться о том, что сотовые компании обещают вернуть деньги абонентам, ставшими жертвами вируса. Параллельно с возвратом денег, операторы усилили контроль за контент-провайдерами, пытаясь выявить среди них мошенников. Но они пока не в силах остановить распространение вируса Trojan.Winlock.
Сложно остановить распространение вируса, блокируя номера хакеров-вымогателей. Признаются операторы. Они не в силах проконтролировать всех контент-провайдеров.
Представитель МТС Ирина Осадчая говорит: «У каждого мобильного оператора существует круг партнеров, крупных контент-провайдеров, которые в свою очередь заключают договоры с более мелкими, штрафуют своих партнеров, если выявляются случаи подключения ими мошеннических провайдеров. Уже сегодня создан ресурс по обмену информации о мошеннических компаниях между контент-провайдерами и в случае, если имело место мошенническое действие, мы возвращаем пострадавшему абоненту средства».
Сотовые компании рекомендуют своим абонентам обращаться в службу поддержки клиентов и сообщать о подозрительных предложениях контент-провайдеров.
МВД уже отреагировала на ситуацию и уже разрабатывает меры против распространения вируса.
Аргументы и факты (Опубликовано:27 января 10 (14:41)) http://www.aif.ru/ :ex:

Добавлено (27.03.2011, 12:30)
---------------------------------------------
Системы защиты (а их у меня ажно три, одновременно действующие) были "пробиты" вирусами - Trojan.Winlock, который, в свою очередь, был, повидимому, загружен с помощью червя Trojan-Downloader.Win32.Small.jls.
Итог - появление при загрузке Windows следующего сообщения:

Система не загружается ни в каком режиме, в том числе и безопасном, переключиться на диспетчер задач невозможно. Компьютер становится неработоспособен.
Диагноз.
Часть 1. Дня три назад мне пришло по "одноклассникам" письмо от моего доброго друга, со ссылкой - типа, глянь. Доверяя сайту и своему другу - я прошел по ссылке, которая, как выяснилось, была просто "разводиловом" на деньги. Судя по всему, вирус Trojan-Downloader.Win32.Small.jls я там и подхватил (сказался низкий уровень защиты Internet Explorer, выставленный мной для работоспособности Siebel CRM). Вот похожий опыт, по данным антивирусного форума. На мое удивленное письмо друг ответил, что это хакеры взломали его пароль на "одноклассниках" и шлют спам. Пока на том я и успокоился.
Часть 2. Загруженный, по-видимому, червь (не опознаваемый еще антивирусом) закачал Trojan.Winlock и запустил его. Все защиты одновременно сработали, но ничего полезного не сделали - комп завис, пришлось его перезапускать. После перезапуска - получил то самое окно, что изображено выше...
Выводы. Ситуация серьезная. Подхватить заразу можно, зайдя практически на любой сайт. Ни антивирус (Symantec Antivirus с сигнатурами от 10.04.2009), ни файрволл (Zone Alarm 5.5) помочь не смогли. Снять вирус без специальных ухищрений (описаны ниже) невозможно.
Удаление вируса.
Для того, чтобы что-то сделать, необходимо заранее "подстелить соломки". А именно - завести себе загрузочный CD, (Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.
Далее - дело техники:
1. Из папки c:documents and settingsall usersapplication data удалить файлы blocker.exe и blocker.bin - это вирус Trojan.Winlock
2. Из папки %win root%system32 удалить файлы servises.exe и servises.dll - это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:documents and settings%user%Local SettingsTemp - там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки "праздника" из регистра:
5.1. В разделе HLKMSOFTWAREMicrosoftWindowsCurrentVersionRun удалить ключ запуска "servises.exe"
5.2. В разделе HLKMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogo
nнайти ключ "C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1 ALLUSE~1\APPLIC~1\blocker.exe" и убрать лишнее, то есть должно быть так: "C:\WINDOWS\system32\userinit.exe"
Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности броузера. В частности данные вирусы, как предполагается, проникают через исполнение javascript. Хотя тут дело тонкое - его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.

Добавлено (27.03.2011, 12:30)
---------------------------------------------
Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации
Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы.
«Лаборатория Касперского» рекомендует пользователям убедиться в том, что их антивирус использует новейшие базы данных. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для ОС Windows.
http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Ручное удаление
1. Удалить ключ системного реестра:
[HKLMSYSTEMCurrentControlSetServicesnetsvcs]
2. Удалить строку "%System%.dll" из значения следующего параметра ключа реестра:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"
3. Перезагрузить компьютер
4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
5. Удалить файл:
%System%.dll, где - случайная последовательность символов.
6. Удалить следующие файлы со всех съемных носителей:
:autorun.inf
:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.
Можно также использовать KidoKiller v.3.4.7
Avira Premium Security suite 9.0.0.76 довольно неплоко грохнула кидошку :ex:


 
ГостьДата: Вторник, 10.07.2012, 15:45 | Сообщение # 2
Trojan.Winlock.6426 номер 9171548106
 
AnymousДата: Вторник, 10.07.2012, 16:43 | Сообщение # 3
.::Создатель::.
Сообщений: 863
Репутация: 53 ±
Награды: 24 +
Антивирусные Live CD на USB носителе Всем в помощь, быстро и удобно!)
Как создать скриншот? | Как создать лог файл HijackThis?
Причины, по которым может тормозить компьютер | Правила сайта!
 
  • Страница 1 из 1
  • 1
Поиск:


Чтобы добавить сообщение или создать новую тему, необходимо зарегистрироваться или зайти под своим ником!
вверх
Файлы для обмена предоставлены пользователями сайта. Администрация не несёт ответственности за их содержание. На сервере хранятся только торрент-файлы. Это значит, что мы не храним никаких нелегальных материалов, а так же материалов охраняемых авторским правом.
RudSOFT © 2010 - 2024 | Карта сайта | Карта форума | Хостинг от uCoz Cвязь с Администрацией | Информация для правообладателей