Popularne wirusy infekujące pliki o rozszerzeniach: .exe, .scr, .dll. Zostają zainfekowane pliki systemowe, przez co Windows zaczyna się „sypać”. Są to ciężkie infekcje, ich usuwanie jest bardzo trudne.
Win32:Sality (Win32.Sector.12 / Win32.Sality.NAJ / PE_SALITY.AS)
• Blokada Menedżera zadań i Edytora rejestru:
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
• Wyłączone programy zabezpieczające:
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
• Usługa Sality:
S3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\qkeklq.sys --> c:\windows\system32\drivers\qkeklq.sys [?]
S3 dac970nt;dac970nt;\??\c:\windows\system32\drivers\klllim.sys --> c:\windows\system32\drivers\erknun.sys [?]
R3 dpti930;dpti930;\??\c:\windows\system32\drivers\mqhhkf.sys --> c:\windows\system32\drivers\mqhhkf.sys [?]
R3 asc3360pr;asc3360pr;\??\c:\windows\system32\drivers\gilpki.sys --> c:\windows\system32\drivers\gilpki.sys [?]
R3 WMI_MFC_TPSHOKER_80;WMI_MFC_TPSHOKER_80;\??\c:\windows\system32\drivers\pkignh.sys --> c:\windows\system32\drivers\pkignh.sys [?]
R3 aic32p;aic32p; \??\C:\WINDOWS\system32\drivers\llkeqf.sys []
• Mogą także wystąpić problemy z uruchomieniem trybu awaryjnego.
• Przykłady z forum:
menedzer-zadan-nie-dziala-na-koncie-admin-t19619.html?hilit=sality problem-z-mathcad-po-formatowaniu-t18622.html?hilit=sality prosze-o-sprawdzenie-i-pomoc-t18557.html?hilit=salityWin32:Virut (Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen)
• Mogą (niekoniecznie) pojawić się takie wpisy:
O4 - HKLM..\Run: [reader_s] C:\WINDOWS\system32\reader_s.exe (Microsoft Corporation)
O4 - HKCU..\Run: [reader_s] C:\Documents and Settings\user\reader_s.exe (Microsoft Corporation)
O4 - HKLM..\Run: [services] C:\WINDOWS\services.exe ()
detected NTDLL code modification:
ZwOpenFile
• Przykłady z forum:
prosze-o-pomoc-log-z-hijackthisa-t20011.html?hilit=virut problem-z-wirusem-win32-virut-prosze-o-pomoc-t18323.html?hilit=virutWin32:Jeefo (Win32.Hidrag / Win32.HLLP.Jeefo.A / PE_JEEFO.A)
• Usługa wirusa:
SRV - File not found [Auto | Stopped] -- -- (PowerManager)
• Plik svchost.exe w tej lokalizacji:
(systemowy plik znajduje się w C:\WINDOWS\system32\svchost.exe)C:\WINDOWS\svchost.exe
Win32:Parite (W32.Pinfi / W32.Pate / PE_PARITE)
• Wycinek raportu z Malwarebytes:
Zainfekowane moduły pamięci:
C:\Documents and Settings\x\Ustawienia lokalne\temp\wha1.tmp (Worm.Parite)
C:\WINDOWS\temp\dja3.tmp (Worm.Parite)
Zainfekowane pliki:
C:\Documents and Settings\x\Ustawienia lokalne\temp\wha1.tmp (Worm.Parite)
C:\WINDOWS\temp\dja3.tmp (Worm.Parite)
C:\WINDOWS\temp\iia2.tmp (Worm.Parite)
• Skan zainfekowanego pliku na virustotal:
Win32:Polip (Polipos.a, P2P-Worm.Win32.Polip.a, W32/Polip, W32/Polipos-A, PE_POLIP.A)
• Zainfekowane przez wirusa pliki:
Win32/Ramnit (HTML/Drop.Agent.AB, Win32.Nimnul, Win32.Rmnet)
Infekuje pliki .htm .html .exe i .dll
• W logu z OTL możemy zobaczyć taki wpis:
O20 - HKLM Winlogon: UserInit - (C:\Program Files\hgmgdfhi\pmesniqy.exe) - C:\Program Files\hgmgdfhi\pmesniqy.exe File not found
(nazwa folderu i pliku jest losowa).
• Wycinek raportu ze skanowania zainfekowanego systemu:
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdbgui.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\Alcmtr.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\Alcmtr.exe
• Przykłady z forum:
html-drop-agent-ab-t22988.html nie-moge-zaktualizowac-avasta-oraz-wejsc-na-strone-avasta-t22986.html avira-ciagle-wywala-wirusy-i-nie-uruchamiaja-sie-pliki-exe-t22307.html#p120364Win32:Tenga (inne nazwy wirusa - W32.Licum / W32.Gael / W32.Stanit)
Charakterystyczne występowanie plików na dysku:
cback.exe
dl.exe
gaelicum.exe
Pojawiający się komunikat systemowy:
16-bitowy podsystem MS-DOS
dl.exe
NTVDM CPU: napotkano niedozwoloną instrukcję.
cs:06da ip:fff6 op:ff ff 00 Wybierz przycisk "Zamknij". aby zakończyć działanie aplikacji.
UWAGA!
Robak dostaje się do systemu poprzez niezamknięty port DCOM 139. Należy ten port koniecznie zamknąć!!. W tym celu należy posłużyć się WWDC
otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88597Win32/Mabezat
Infekcja tworzy charakterystyczne pliki:
%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dll
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\zPharaoh.dat
C:\zPharaoh.exe
C:\autorun.inf
