Проверяет уже 17ч — проверено
всего 19%. Что делать дальше не понятно, т. к. "Лечить все" не
приводит ни к каким действиям. При попытке Удалить предупр: "При
выполнении данной операции будут удалены записи отчета о произошедших событиях.
Продолжить? "
Trojan.Injector.Win32 – семейство троянских программ внедряющих свой код в память других программ.
Методы распространения
Данные программы рраспространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и ключей, и т.п. Чем побуждают пользователя скачать их и запустить у себя на компьютере. Также, они активно рраспространяются по почте в виде писем с вложениями.
Техническое описание
Большое семейство троянских программ написанных на различных языках, в основном на Microsoft Visukl С++ или Assembler. Отличительной особенностью данного семейства является то что после запуска троянская программы внедряет (Inject – англ.) свой код в адресное пространство одной из запущенных программ. Как правило, для этого выбирается один из системных процессов или программа имеющая доступ в Internet.
Эта методика применяется для скрытия троянской программы в системе, перехвата системных API, а также для осуществления скрытой сетевой активности. Внедренный процесс не будет отображаться ни в диспетчере задач, ни в любой другой программе мониторинга.
Из-за внедрения в адресное пространство чужой программы сетевые запросы троянца выглядят как запросы, генерируемые легальной программой. К примеру, если троянская программа внедряет часть своего кода в адресное пространство браузера Internet Explorer, то все сетевые запросы троянской программы будут выглядеть как сетевая активность браузера Internet Explorer. Данная методика позволяет обманывать как продвинутых пользователей, так и простые программы Firewall, которые разрешают программам доступ к сети на основании имени процесса, но при этом не контролируют целостность самого процесса.
В большинстве случаев, после запуска, троянская программа создает копию своего тела в одной из системных папок Windows. Для автоматического запуска при каждом старте системы, добавляет ссылку на свой файл в один из ключей автозапуска системного реестра.
В качестве защиты от удаления, троянские программы применяются широко известные приёмы:
- Отключение диспетчера задач
- Отключение отображения скрытых файлов и папок
- Отключение встроенного Firewall Windows
- Закрытие окон антивирусных программ и т.п.
Деструктивные особенности
Большое количество модификаций в семействе обеспечивает ему широкий вредоносный функционал, благодаря внедрению в память других процессов вредоносные действия имеют сетевую направленность:
- Воруют логины и пароли к различным интернет ресурсам.
- Воруют авторизационные данные к On-line играм
- Собирают E-mail сохранённые на компьютере и отсылают их злоумышленнику
- Шпионят за действиями пользователя, как с целью хищения информации, так и для сбора информации о самом пользователе
- Скрытно устанавливают в систему другие вредоносные программы.
Записки молодого сисадмина
Я бы сделал Мир лучше, но исходники отсутствуют
Последнее время широкое распространение на компьютерах получил вирус, который маскирует на съемных носителях директории, делая их скрытыми. Нет, такие и раньше были, но новая модификация уж больно противная. Возможное назначение заразы — создание ботнета с управлением по IRC.
Итак, признаки того, что ваш носитель заражен:
- С носителя исчезли папки, а вместо них появились lnk-файлы с иконками под папку. Детектится следующим образом: в окне файлового менеджера папки идут вперемешку с файлами;
- В скрытой папке RECYCLER находится файл f4448e25.exe размером 189 952 байт, MD5 8A7D08325007B971CC24E3DCEF7737C6;
- Ярлыки ссылаются на объект "%windir%system32cmd.exe /c "start %cd%RECYCLERf4448e25.exe &&%windir%explorer.exe %cd%[Имя_директории]"
- Невозможно снять атрибут "Скрытый" с папок (переключатель неактивен).
Все совпало? Как выйти из ситуации:
- Удаляем КЕМ вирусное тело из папки RECYCLER (можно всю папку, на флешке ей не место, а вот с внешними HDD будьте аккуратны: эта папка может оказаться частью "корзины"!);
- Удаляем созданные вирусом lnk-файлы;
- Просто так атрибут "Скрытый" снять не получается. Нам понадобится Тотал коммандер (или ФАР, к примеру). Выделяем скрытые папки, идем "Файл"->"Изменить атрибуты". Снимаем галки со всех атрибутов и жмем Ок. Спустя некоторое время папки возвращаются к первозданному виду.
Советы:
- Используйте в качестве файлового менеджера что-нибудь, отличное от проводника. Тотал коммандер (платный), FAR (для жителей xUSSR — бесплатный) — вариантов хватает. Так сразу можно заметить подвох;
- Отключите автозапуск съемных носителей (с помощью групповой политики). Так вы защитите свой компьютер от всей заразы, передающейся через съемные устройства;
Кроме того, есть такая идея: создаем на носителе папку RECYCLER, в ней создаем файл f4448e25.exe и ставим ему атрибут "только для чтения". Теоретически, сидящий в системе вирус может решить, что носитель уже заражен, и ничего не делать с ним. Увы, проверить сейчас возможности нет, т.к. нет под рукой зараженной системы. Постараюсь в ближайшее время проверить идею и сообщить о результатах.Не помогло. Думаем дальше.
Осталось теперь еще разобраться, как выкурить эту заразу из системы, если она туда попала. Но об этом в другой раз.