Сегодня с утра на работе сотрудница словила троян, требующий отправки SMS на короткий номер.

Тут должна быть картинка с трояном, но что самое смешное, я не смог запустить его на виртуалке. Даже в автозагрузку его прописывал, ну не хочет работать и всё. В общем, если желающие сделают скриншот, то будет очень неплохо. Сам троян для опытов можно скачать отсюда. При этом я видел окно только мельком, но выглядело оно красиво :).

Распишу про первую часть, про лечение. Кстати, первоначально было подозрение в том, что это дыра в IE8, на практике оказалось что скорее всего вирус проник через дыру в Java или Flash. Так что, в принципе, не защищён ни один из браузеров. Анализ логов показал, что сайты посещались достаточно безобидные, на каком из них завёлся iframe с дроппером, выяснить не удалось (не все же перебирать, в самом деле).

Теперь, собственно про лечение. Способов по идее много, но я расскажу, как это сделать по сети, не подходя к жертве и не мучаясь с тем, как разобраться с этим окошком (это, кстати помогает и против других вирусов).

Все дальнейшие действия делаются с другого компьютера:
Ищем вредный процесс tasklist /s computer_name. В нашем случае им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с первого раза глаз не цепляется за название).
Убиваем его через taskill /s computer_name /pid process_id
Запускаем regedit и подключаем сетевой реестр с данного компьютера. Ищем, где напакостил вирус. Оказалось, что он подменил себя в в качестве шелла:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe
Также выяснилось что вирус установил политику «запрет запуска TaskManager», так что его просто так было не убить. Быстрый поиск в гугле (это было быстрее чем применять политику) показал что надо убить ветку:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
Перегружаемся, запускаем Cure-It и добиваем останки вируса из временных папок.

В общем всё просто, а главное со своего рабочего места. Естественно на компьютере не должны быть зафаирволлен удалённый доступ, не отключен удалённый реестр.

И напоследок, немного из другой области: в случае заражения вирусами компьютера, рекомендую по-возможности сканировать его с другой машины, тоже по сети. Неоднократно были прецеденты, когда вирус пудрил мозги антивирусам изображая своё отсуствие, а другому компьютеру это естественно у него не получалось.

via Habrahabr.ru

Кросс-пост с сайта http://procontent.ru

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – на своем сайте опубликовала пресс-релиз, в котором, обращаясь к представителям официальных властей, просит обратить пристальное внимание на проблему СМС-мошенничества в России, достигшей колоссальных размеров. Их помощь в обнаружении людей, регистрирующих префиксы на коротких номерах, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, мы призываем операторов сотовой связи блокировать эти номера по первым же жалобам абонентов. «Доктор Веб» предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей. Эти же сотни миллионов рублей, только со знаком «плюс» являются предположительными «доходами» мошенников и предоставляющих им доступ к коротким номерам сотовых операторов и контент-провайдеров.
Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

Данную тенденцию хорошо иллюстрирует и активность на форуме портала Procontent.Ru, освещающего жизнь рынка дополнительных услуг сотовой связи (VAS). Если год назад количество сообщений в рубрике «Мошенничество, разводки, недобросовестное обслуживание» исчислялось единицами в месяц, то в начале 2010 года таковых уже десятки в сутки.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.