Strona 1 z 1

Infekcje plików wykonywalnych

PostWysłany: 23 Lut 2010, 18:36
przez mateo8898
Infekcje plików wykonywalnych

Popularne wirusy infekujące pliki o rozszerzeniach: .exe, .scr, .dll. Zostają zainfekowane pliki systemowe, przez co Windows zaczyna się „sypać”. Są to ciężkie infekcje, ich usuwanie jest bardzo trudne.

Win32:Sality (Win32.Sector.12 / Win32.Sality.NAJ / PE_SALITY.AS)

• Blokada Menedżera zadań i Edytora rejestru:

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1


• Wyłączone programy zabezpieczające:
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001


• Usługa Sality:
S3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\qkeklq.sys --> c:\windows\system32\drivers\qkeklq.sys [?]

S3 dac970nt;dac970nt;\??\c:\windows\system32\drivers\klllim.sys --> c:\windows\system32\drivers\erknun.sys [?]

R3 dpti930;dpti930;\??\c:\windows\system32\drivers\mqhhkf.sys --> c:\windows\system32\drivers\mqhhkf.sys [?]

R3 asc3360pr;asc3360pr;\??\c:\windows\system32\drivers\gilpki.sys --> c:\windows\system32\drivers\gilpki.sys [?]

R3 WMI_MFC_TPSHOKER_80;WMI_MFC_TPSHOKER_80;\??\c:\windows\system32\drivers\pkignh.sys --> c:\windows\system32\drivers\pkignh.sys [?]

R3 aic32p;aic32p; \??\C:\WINDOWS\system32\drivers\llkeqf.sys []


• Mogą także wystąpić problemy z uruchomieniem trybu awaryjnego.

• Przykłady z forum:
-> menedzer-zadan-nie-dziala-na-koncie-admin-t19619.html?hilit=sality
-> problem-z-mathcad-po-formatowaniu-t18622.html?hilit=sality
-> prosze-o-sprawdzenie-i-pomoc-t18557.html?hilit=sality


Win32:Virut (Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen)

• Mogą (niekoniecznie) pojawić się takie wpisy:
O4 - HKLM..\Run: [reader_s] C:\WINDOWS\system32\reader_s.exe (Microsoft Corporation)
O4 - HKCU..\Run: [reader_s] C:\Documents and Settings\user\reader_s.exe (Microsoft Corporation)
O4 - HKLM..\Run: [services] C:\WINDOWS\services.exe ()


detected NTDLL code modification:
ZwOpenFile


• Przykłady z forum:
-> prosze-o-pomoc-log-z-hijackthisa-t20011.html?hilit=virut
-> problem-z-wirusem-win32-virut-prosze-o-pomoc-t18323.html?hilit=virut


Win32:Jeefo (Win32.Hidrag / Win32.HLLP.Jeefo.A / PE_JEEFO.A)

• Usługa wirusa:
SRV - File not found [Auto | Stopped] -- -- (PowerManager)


• Plik svchost.exe w tej lokalizacji:
C:\WINDOWS\svchost.exe
(systemowy plik znajduje się w C:\WINDOWS\system32\svchost.exe)


Win32:Parite (W32.Pinfi / W32.Pate / PE_PARITE)

• Wycinek raportu z Malwarebytes:
Zainfekowane moduły pamięci:
C:\Documents and Settings\x\Ustawienia lokalne\temp\wha1.tmp (Worm.Parite) -> No action taken.
C:\WINDOWS\temp\dja3.tmp (Worm.Parite) -> No action taken.

Zainfekowane pliki:
C:\Documents and Settings\x\Ustawienia lokalne\temp\wha1.tmp (Worm.Parite) -> No action taken.
C:\WINDOWS\temp\dja3.tmp (Worm.Parite) -> No action taken.
C:\WINDOWS\temp\iia2.tmp (Worm.Parite) -> No action taken.


• Skan zainfekowanego pliku na virustotal:

Win32:Polip (Polipos.a, P2P-Worm.Win32.Polip.a, W32/Polip, W32/Polipos-A, PE_POLIP.A)

• Zainfekowane przez wirusa pliki:

Win32/Ramnit (HTML/Drop.Agent.AB, Win32.Nimnul, Win32.Rmnet)

Infekuje pliki .htm .html .exe i .dll

• W logu z OTL możemy zobaczyć taki wpis:
O20 - HKLM Winlogon: UserInit - (C:\Program Files\hgmgdfhi\pmesniqy.exe) - C:\Program Files\hgmgdfhi\pmesniqy.exe File not found

(nazwa folderu i pliku jest losowa).

• Wycinek raportu ze skanowania zainfekowanego systemu:
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdbgui.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\Alcmtr.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\Alcmtr.exe

• Przykłady z forum:
-> html-drop-agent-ab-t22988.html
-> nie-moge-zaktualizowac-avasta-oraz-wejsc-na-strone-avasta-t22986.html
-> avira-ciagle-wywala-wirusy-i-nie-uruchamiaja-sie-pliki-exe-t22307.html#p120364


Win32:Tenga (inne nazwy wirusa - W32.Licum / W32.Gael / W32.Stanit)

Charakterystyczne występowanie plików na dysku:

cback.exe
dl.exe
gaelicum.exe



Pojawiający się komunikat systemowy:

16-bitowy podsystem MS-DOS
dl.exe
NTVDM CPU: napotkano niedozwoloną instrukcję.
cs:06da ip:fff6 op:ff ff 00 Wybierz przycisk "Zamknij". aby zakończyć działanie aplikacji.


UWAGA!
Robak dostaje się do systemu poprzez niezamknięty port DCOM 139. Należy ten port koniecznie zamknąć!!. W tym celu należy posłużyć się WWDC -> otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88597

Win32/Mabezat

Infekcja tworzy charakterystyczne pliki:
%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dll
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\zPharaoh.dat
C:\zPharaoh.exe
C:\autorun.inf

Re: Infekcje plików wykonywalnych

PostWysłany: 23 Lut 2010, 18:38
przez mateo8898
Usuwanie:

• Wyłączamy przywracanie systemu na wszystkich dyskach -> Instrukcja
• W zależności od infekcji używamy (kilka razy dotąd, dopóki nic nie znajdzie) odpowiedniej szczepionki:
- Sality -> http://support.kaspersky.com/downloads/utils/salitykiller.zip
- Virut -> http://www.symantec.com/security_response/writeup.jsp?docid=2009-022016-4444-99
- Jeefo -> http://www.sophos.com/support/disinfection/jeefoa.html
- Parite -> http://www.bitdefender.com/VIRUS-1000025-en--Win32.Parite.A-B-C.html
- Polip -> http://vil.nai.com/vil/stinger/polipstinger.asp
- Tenga -> http://download.avg.com/filedir/util/avg_rem_sup.dir/vcleaner.exe
- Mabezat -> http://download.avg.com/filedir/util/avg_rem_sup.dir/rmmabez/rmmabez.exe

• Następnie pobieramy Dr.Web CureIt (możemy także użyć Kaspersky Virus Removal Tool). Zapisujemy go z rozszerzeniem .com i pod losową nazwą np. 2423.com
• Wykonujemy pełne skanowania kilka razy dotąd, dopóki skaner nie będzie nic znajdował. Leczymy co się da, resztę usuwamy.
• Po dezynfekcji podajemy odpowiednie logi na forum.


W razie problemów z pobraniem któregoś z narzędzi (infekcja może to uniemożliwiać) proszę pisać na forum, podamy alternatywny link.

Inną bardzo dobrą opcją jest użycie bootowalnego skanera Dr.Web LiveCD lub ewentualnie Kaspersky Rescue Disk , gdyż dezynfekcja z zewnątrz daje lepsze rezultaty. Skaner pobieramy i wypalamy na płycie na innym nie zainfekowanym komputerze.

Jeśli po udanym leczeniu wystąpią problemy z działaniem systemu należy wykonać Instalację Nakładkową.

Uwaga :!:
Ważne jest, aby używać tylko wymienionych tutaj skanerów, gdyż w przeciwieństwie do innych potrafią one leczyć zainfekowane pliki.

Jeżeli żadna z metod nie daje rezultatów lub nie chcemy tracić czasu i zdecydujemy się na format, należy pamiętać o kilku bardzo ważnych rzeczach:
• Sformatowane muszą zostać wszystkie partycje i dyski bez wyjątku
• Dokumenty, zdjęcia, muzykę możemy przegrać na płyty CD/DVD, za to nie kopiować żadnych plików .exe, .scr, .dll (programy, instalki itp). Także archiwa zawierające te pliki mogą być zarażone.
• Przed skopiowaniem dokumentów na świeży system należy przeskanować je programem antywirusowym (np. jednym z podanych wcześniej skanerów), gdyż ostatnio coraz częściej się słyszy, że one także mogą ulec zainfekowaniu (Virut).

Zakaz kopiowania bez zgody autora.