Virut и Sality - информация и почистване

[Pe6o]

Здравейте,

Нямам реална представа за този вредители, затова ще коментирам написаното за тях отнасящо се до диагностика и превенция:

Night_Raven:

Virut инжектира код в Winlogon.exe, за да забрани защитата на системни файлове на Windows (System File Protection).

След сваляне на свой файл от интернет стартира свое копие на svchost.exe (който сам по себе си е легитимен и важен файл, част от Windows) и започва заразяването на файлове.

Коментар:

1.Инжектирането на код в процес и конкретно в Winlogon.exe не е нещо необичайно. Ако Virut е инжектирал код би трябвало това действие да се види при преглед съдържанието на модулите на Winlogon.exe./важи и за всеки друг файл/

http://img526.imageshack.us/img526/9689/virut2afinal.jpg

2.След като във Winlogon.exe и svchost.exe "Virut" е инжектирал някакъв код, то автоматично се е променило и Hask MD5 на въпросните файлове.

Програмите, който следят този параметър веднага ще реагират. Разбира се няма да ни посочат конкретната причина, на имаме индикация за опасност.

Същото се отнася и за:

нарастване на всички exe и scr файлове с около 9-10KB заради добавения от вируса зловреден код.

Night_Raven:

Впива мазните си пипалца в ntdll.dll чрез т.нар. кука (hook) и всички заявки за създаване на файл, отваряне на файл, създаване на процес, извеждане на информация за даден процес и др. минават първо през него (вируса).

Коментар:

Това действие се засича от antyhook програми: например дебатираните във форума "GMER" или "SysProtAntiRootkit". Сега вече ще имаме яснота за

вредителя. По същество това е пример за използуване на HIPS технологията за користни цели.

"The virus injects its own code into a system process such as explorer.exe or winlogon.exe, and hooks low-level (NTDLL layer) Windows API calls in order

to stay in memory. It hooks the following functions in each running process (NTDLL.DLL):"

NtCreateFile

NtOpenFile

NtCreateProcess

NtCreateProcessEx

http://img526.imageshack.us/img526/5878/virut1final.jpg

Night_Raven:

Отваря задна врата (backdoor) в системата и се свързва чрез IRC към определени чат канали, като предоставя възможност на автора на вируса да подава допълнителни инструкции, които гадинката да изпълнява - най-често изтегляне на още зловреден код и допълнително компрометиране на системата.

Коментар:

Ситуацията "backdoor" предполага отварянето на порт през който вредителят осъществява комуникация с отдалечен сървър. Програма следяща за

работата на портовете ще засече това действие.

"The virus opens a back door on TCP port 65520 by connecting to the Proxima.ircgalaxy.pl

Backdoor Functionality

Virut.BM connects to Internet Relay Channel (IRC) server 'irc.zief.pl' via port 80 using a particular channel. Should this fail, it instead attempts to connect

to 'proxim.ircgalaxy.pl' also using port 80."

Като профилактична мярка може да се блокират тези хостове чрез HOST файла или с настройка на защитната стена. Мрежовият щит на Avast блокира достъпът до: "irc.zief.pl"

Същото важи и за:

Една от тях е заразеният компютър да бъде свързан с IRC канал, за да получи отдалечени команди.

Night_Raven:

Чрез добавяне/промяна/премахване на ключове/стойности от регистратурата вирусът:

- разрешава достъпа си до интернет (преодолявайки защитната стена на Windows, ако има такава);

Коментар:

Подразбира се че става въпрос за ICF. Без значение дали ще я има, тя не контролира изходящите заявки. Интересно е дали вирусът ще преодолее

някой от модерните защитни стени,което смятам за малко възможно.

Night_Raven:

- забранява използването на редактора на регистратурата (Regedit) и диспечера на задачите (Task Manager);

Коментар:

Тук влизат в действие вehavior вlocker'ите, които ще засечат промените в стойностите на ключовете.

Night_Raven:

Може да записва натиснати клавиши и така да събира поверителна информация за банкови сметки и кредитни карти, която да изпраща на автора си.

Коментар:

Това е действие на keylogger. Най елементарната предпазна мярка е да въвеждаме данни чрез използуването на виртуална клавиатура.

/задължително при онлайн банкиране!/ Не представлява трудност да се намери и логфайла в който keylogger'a съхранава информацията

преди да я предаде. Могат да се използуват и специализирани програми.

B-boy/StyLe/

Другата наблюдавана техника Cavity осигурява въвеждането на вирусния код в рамките на файловия код, превръщайки инфектирания файл в трудно откриваем, поради непроменената му големина.

/по "PC World"/

По всяка вероятност става въпрос за "скриването" на вредителя в ADS на инфектирания файл. Действително файловите менъжери не могат да индикират промяната в стойността на инфектирания файл. Може да се разчита на "GMER"/но не и на "SysProtAntiRootkit"/, който показва пълният размер на файла-номинала+съдържанието на ADS, което може да бъде произволно голяма величина. Най-добре е в случая да се използуват услугите на AV праграми, защото проверяват съдържанието на ADS/вкл. и "невидимите" файлове/ и ако имат съответните дефиниций засичат заплахата. Хубавото в случая е че тези файлове са "лечими"-премахвайки кода в ADS не увреждаме файла. Въпроса е как да стане това?

Night_Raven:

Имунизация на системата против Autorun.inf файлове

Това може да се извърши отново с AutoRun Settings, която споменах преди малко.

Стартирайте програмата, поставете отметка на block autorun.inf (also manual by clicking a drive) в долната част и кликнете бутон Apply срещу нея. Готово. (Картинка)

Това ще забрани всякакви Autorun.inf файлове, включително и напълно валидни и безвредни такива.

Тук бих предложил по мекия вариант: Autorun Eater http://oldmcdonald.wordpress.com/

 

http://img523.imageshack.us/img523/3782/3dtextcommandera.gif

http://img147.imageshack.us/img147/5963/nm1aa.gif

[nina.n]

1. Въпросните гадини не могат да заразят архив, който се намира във зоната за сигурност!

Не могат да заразят и имидж, който НЕ се намира в зоната на сигурност!

Но можеш да имаш заразен имидж, когато по време на самото му създаване, windows-a ти е бил заразен.

Например: Имаш 3 имиджа в зоната за сигурност и последният от тях е заразен, понеже докато си го създавал, системата ти е била заразена. Та този заразеният имидж не може да повлияе на останалите имиджи и да ги зарази, независимо дали се намират в зоната за сигурност или не.

 

2. Както и Night_Raven спомена, при връщане на чист имидж, във системният ти дял няма да имаш никакви остатъци от вируси, шпиони......, но е напълно възможно да имаш такива по другите дялове. (Обикновено повечето паразити обичат да си правят точки на възстановяване и при рестарт на РС-то, тихомълком се възстановяват. Затова е препоръчително тази функция/System Restore/ да се изключва за дялове различни от системния. Някои потребители дори напълно изключват тази функция). Все пак това е основната идея на програмите от този тип e да върнеш системата си в работещо състояние и то за минути!

Нищо подобно. Заразяват и още как. Имидж на Acrinis, качен на бутващ диск се оказа заразен от всякъде... В момента се мъча да изчистя някакви остатъци от този гаден virut. Беше ми заразил Авирата и почти целия архив. И аз си мислех, че имиджа е сигурен, но каква неприятна изненада - вирусите бяха вътре отново. Освен ако флашката, която също беше поразена не го е залазила на мига. Не знам, много съм объркана. В момента машината работи, но не знам какво е положението вътре. Пуснах Combofixq , Dr Web, mvirut, инстумент за почистване на тази точно гадина, нищо не намери. Чудя се какво още да опитам. Ако някой има идея, да сподели, моля

mail: artefir@yahoo.com

Благодаря предварително

[Slammer]

1. Въпросните гадини не могат да заразят архив, който се намира във зоната за сигурност!

Не могат да заразят и имидж, който НЕ се намира в зоната на сигурност!

Но можеш да имаш заразен имидж, когато по време на самото му създаване, windows-a ти е бил заразен.

Например: Имаш 3 имиджа в зоната за сигурност и последният от тях е заразен, понеже докато си го създавал, системата ти е била заразена. Та този заразеният имидж не може да повлияе на останалите имиджи и да ги зарази, независимо дали се намират в зоната за сигурност или не.

 

2. Както и Night_Raven спомена, при връщане на чист имидж, във системният ти дял няма да имаш никакви остатъци от вируси, шпиони......, но е напълно възможно да имаш такива по другите дялове. (Обикновено повечето паразити обичат да си правят точки на възстановяване и при рестарт на РС-то, тихомълком се възстановяват. Затова е препоръчително тази функция/System Restore/ да се изключва за дялове различни от системния. Някои потребители дори напълно изключват тази функция). Все пак това е основната идея на програмите от този тип e да върнеш системата си в работещо състояние и то за минути!

 

Нищо подобно. Заразяват и още как. Имидж на Acrinis, качен на бутващ диск се оказа заразен от всякъде... В момента се мъча да изчистя някакви остатъци от този гаден virut. Беше ми заразил Авирата и почти целия архив. И аз си мислех, че имиджа е сигурен, но каква неприятна изненада - вирусите бяха вътре отново. Освен ако флашката, която също беше поразена не го е залазила на мига. Не знам, много съм объркана. В момента машината работи, но не знам какво е положението вътре. Пуснах Combofixq , Dr Web, mvirut, инстумент за почистване на тази точно гадина, нищо не намери. Чудя се какво още да опитам. Ако някой има идея, да сподели, моля

mail: artefir@yahoo.com

Благодаря предварително

 

Та кое казваш, че било заразено?

[draco_volans]

Night_Raven

Внимавайте какви външни/преносими памети свързвате към компютъра си. Особено "флашки". Една много добра идея е да забраните autorun функцията и/или да отваряте съмнителни/чужди памети през Windows Explorer, т.е. не с двоен клик, а кликайки дървовидната структура от Windows Explorer.

 

Не съм сигурен дали и другаде във форума не е писано за това как точно се спира AutoRun-а, но аз реших да отбележа тук 2 метода... Съжалявам, ако споделям информация, която много Advanced потребители знаят, но съм сигурен, че има и такива по-назаднали, като мен, на които не им е известно как точно да спрат AutoRun-функцията на Windows... Та

 

1. Първият метод, който видях ето от тук, включва копирането в текстов документ на следното нещо:

 

REGEDIT4 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

 

След това, текстовото документче се запазва с разширение reg (на регистрите) и иконката му става една такава на кубчета ( ). После се цъка 2 пъти на нея, при което Windows пита, дали наистина искаме информацията да бъде прибавена към регистрите. Потвърждаваме и сме готови. Изпробвах го (преди това си направих и точка на възстановяване, за всеки случай) и сработи. Забодените флашки и пуснатите дискове не ми се самостартираха. Специално за дисковете, след завъртане на записвачката, съдържанието им се отваряше за преглеждане в Expolorer.

 

2. Вторият метод, който във времето прилагах преди първия, се състои в следното:

Забождам флашката и веднага натискам и задържам Shift, Със самостартиращи дискове, пак същото. При това, AutoRun-а не се пускаше. Този мурафет го видях от един коментар в Remove-Malware.com. Според мен, много интересен сайт, откъдето човек може да види как се тестват различни антивирусни програми Life.

 

Това е... Пак се извинявам, ако повтарям нещо вече казано или известно на болшинството потребители.

[Night_Raven]

Първият метод, който си описал, е споменат в първия коментар в текущата тема в абзац "Имунизация на системата против Autorun.inf файлове".

[draco_volans]

Първият метод, който си описал, е споменат в първия коментар в текущата тема в абзац "Имунизация на системата против Autorun.inf файлове".

 

Прав си Night_Raven... Това изглежда съм го проспал, а уж четох статият още в деня, в който я публикува... Аз по принцип от известно време си ползвам този номер с шифта и просто днес попаднах на първия метод... Сега, като видях че си посочил методчета, искам да питам:

1. Това, което аз се опитах да обясня, съотносимо ли е по ефективност на забраняване на AutoRun-а с описаното от теб?

2. Ако не е, мога ли/трябва ли да използвам ъпдейта за Windows XP SP3, който ти си посочил или той няма да е съвместим, тъй като аз ползвам XP със SP2? Не ми се щеше да упгрейдна директно, за да не се получи някой издън... Един приятел така упгрейдна от SP2 на SP3 и му възникнаха някои проблемчета... Смятам да мина на SP3 с чиста преинсталация.

3. За имунизацията на флаш устройства (предпазване от заразяване), мога ли да я приложа на флашки, които не са заразени или е валидна само за такива, на които AutoRun-а е заразен? Има ли риск от повреда на флашката? В смисъл, те са Plug-and-play и доколкото знам си носят някакви драйвери за разпознаване при забождане на различни компютри. Ако изтрия AutoRun-а в следствие от вирусна зараза (в общия смисъл), или го забраня (чрез имунизацията?), това няма ли да блокира възможността на устройството да разпознава/бъде разпознавано от компютъра?

 

При всяко положение, въпросите ми не са много компетентни, но предпочитам да питам и да добия яснота по въпроса...

[Night_Raven]

1. Не схванах точно за кое питаш. Твоето първо предложение за добавяне на стойност в регистратурата е идентично с това, което ти посочих в моя коментар. Опцията в програмата, която съм дал, прави точно това, което ти си описал.

2. Обновлението е за SP2 и SP3. Никой не ми е обърнал внимание на обърканата цифра преди линка.

3. Важи за всякакви флаш устройства. Риск от повреда не трябва да има. Устройствата не носят драйвери, те просто се идентифицират на операционната система чрез чипа в тях и ако се идентифицират като стандартни флаш устройства, Windows си зарежда съответните стандартни драйвери и всичко си е тип-топ. Съдържанието на самата флашка няма никакво отношение спрямо разпознаването й.

[draco_volans]

Благодаря за отговорите Night_Raven. Всъщност, ти ми отговори на първия въпрос и явно с това, което описах се постига същото, както и с твоя подход, само че при мене, без допълнителните Tool-чета... Един вид по-директен подход...

 

Пробвах да дръпна програмата за флашките (Flash_Disinfector) от линка, който си посочил, но не се полочи и ми дава Page not Found... За това я дръпнах от тук (129kb) и приложих имунизацията...

[Night_Raven]

Пробвах да дръпна програмата за флашките (Flash_Disinfector) от линка, който си посочил, но не се полочи и ми дава Page not Found... За това я дръпнах от тук (129kb) и приложих имунизацията...

Явно са я премахнали от официалния сайт. Пренасочих линка към локален файл.

[Dr. Epstein]

Много гнусен вирус, когото преживях преди седмица и ще си позволя коментар.

Пресинсталирах комп. Наложи се да му сложа фонетична. Моят комп се пазеше от Avira и вградената огнена стана на "прозореца". Изтеглих bg phonetic.exe и Avira изписука, но аз не обърнах нужното внимание и игнорирах (бързах). После преточих на флаш диск за нуждите на инсталирания комп. Не помня точно своите действия, но убих и двата компа, плюс флашката. Това чудо започва да помпи процеси в task manager. Уби Avira и вградената огнена стена на "прозореца".

В C:\Documents and Settings\ .. името ви ..\Application Data се появява reader_s.exe, a още в C:\WINDOWS\system32.

 

Видя ми се странно, че този reader_s.exe можеш ръчно да го местиш в кофата, но на следващия рестарт пак там. Чичо Гуг ме светна, че това е тумор и няма спасение. Теглих разни тулчета от нортон, авг и микромеките. Всяко едно "дъвча" по 2 часа, маха нещо си, но ефекта бе половинчат. На следващия рестарт reader_s.exe изригваше на указаните места. Чистене с SUPERAntiSpyware и подобни водеше до внезапни рестарти.

Преинсталираният комп не изгря и се размина с преинсталация от начало, докато моя тръгваше. Имам тежки програми и преинсталацията ми идваше в много. Сложих zonealarma и започнаха сюрпризите. След всяко влизане в поща от моя страна, zonealarma ме информираше, че пет нови процеса искат да пратят писма на определени пощенски адреси. Тези процеси искаха разрешение за достъп до нета и започваше едно бучене на процесора и изяждане на памет. Всички .exe- та на инсталирани програми в C:\Program Files бяха убити и това ме отказа от всякакви битки. Последва преинсталация, която преживя един час. В мига на инсталиране на Avira тя изписука за W32/Virut и тъпия reader_s.exe бе на описаните места. Тъпо, а бях махнал кабела на нета превантивно. Virut се бе преселил в D:\ и поразил много .exe- та, за което разбрах в последствие. Свалих диска и го сканирах на друга машина. Virut се откри в над 15 програми. Той прави мимикрия. Иконата е същата и жертвата след като тръгне да инсталира WINAMP да речем, инсталира и вируса. Пълен формат на двата дяла и така се оттървах. Флашката помислих за убита. Тя също имаше .ехе-та и ме посрещаше с надпис I/O проблем при ключване в USB порт. Реших с фирмения й тул за форматиране на ниско ниво да пробвам и така я върнах в живите.

 

Вирусът много вещо е написан и е backdoor. Поразява наред, следи вашата дейност, изпраща писма и инсталира въшни приложения.

[avalon72]

Много гнусен вирус, когото преживях преди седмица и ще си позволя коментар.

Пресинсталирах комп. Наложи се да му сложа фонетична. Моят комп се пазеше от Avira и вградената огнена стана на "прозореца". Изтеглих bg phonetic.exe и Avira изписука, но аз не обърнах нужното внимание и игнорирах (бързах). После преточих на флаш диск за нуждите на инсталирания комп. Не помня точно своите действия, но убих и двата компа, плюс флашката. Това чудо започва да помпи процеси в task manager. Уби Avira и вградената огнена стена на "прозореца".

В C:\Documents and Settings\ .. името ви ..\Application Data се появява reader_s.exe, a още в C:\WINDOWS\system32.

 

Видя ми се странно, че този reader_s.exe можеш ръчно да го местиш в кофата, но на следващия рестарт пак там. Чичо Гуг ме светна, че това е тумор и няма спасение. Теглих разни тулчета от нортон, авг и микромеките. Всяко едно "дъвча" по 2 часа, маха нещо си, но ефекта бе половинчат. На следващия рестарт reader_s.exe изригваше на указаните места. Чистене с SUPERAntiSpyware и подобни водеше до внезапни рестарти.

Преинсталираният комп не изгря и се размина с преинсталация от начало, докато моя тръгваше. Имам тежки програми и преинсталацията ми идваше в много. Сложих zonealarma и започнаха сюрпризите. След всяко влизане в поща от моя страна, zonealarma ме информираше, че пет нови процеса искат да пратят писма на определени пощенски адреси. Тези процеси искаха разрешение за достъп до нета и започваше едно бучене на процесора и изяждане на памет. Всички .exe- та на инсталирани програми в C:\Program Files бяха убити и това ме отказа от всякакви битки. Последва преинсталация, която преживя един час. В мига на инсталиране на Avira тя изписука за W32/Virut и тъпия reader_s.exe бе на описаните места. Тъпо, а бях махнал кабела на нета превантивно. Virut се бе преселил в D:\ и поразил много .exe- та, за което разбрах в последствие. Свалих диска и го сканирах на друга машина. Virut се откри в над 15 програми. Той прави мимикрия. Иконата е същата и жертвата след като тръгне да инсталира WINAMP да речем, инсталира и вируса. Пълен формат на двата дяла и така се оттървах. Флашката помислих за убита. Тя също имаше .ехе-та и ме посрещаше с надпис I/O проблем при ключване в USB порт. Реших с фирмения й тул за форматиране на ниско ниво да пробвам и така я върнах в живите.

 

Вирусът много вещо е написан и е backdoor. Поразява наред, следи вашата дейност, изпраща писма и инсталира въшни приложения.

Значи си се заразил от файла bg phonetic.exe, така ли? Откъде го свали?

[TonyWolf]

Поздрави на всички и по специално на Night Raven!!!Евалла ти правим,бе човек-не само за помоща,която оказваш на всеки,влязъл в този сайт,но и за проявената отзивчивост от твоя страна!Ето и моят въпрос към теб-когато споменаваш по горе за цялостен формат на харддиска, как би следвало да се извърши това?Благодаря ти предварително за отговора!!

[Night_Raven]

Пълното форматиране може спокойно да се извърши по време на инсталацията на Windows. Инсталациите на XP, Vista и 7 разполагат с възможности за работа с дялове. Не са толкова способни, колкото да речем PartitionMagic или Disk Director Suite, но са достатъчни. Просто се изтриват всички дялове по време на инсталацията на дадената операционна система и се създават наново, след което се форматира системния дял и се продължава с инсталацията. След като Windows се инсталира, се форматират и останалите дялове с едно бързо форматиране.

В общи линии това е почти същото като една нормална преинсталация на Windows, просто преди да се форматира системния дял се нацепва наново твърдия диск.

 

Отново държа да заява, че методът с пълно форматиране не е задължителен и единствен. Той е просто най-сигурен.

[TonyWolf]

Мерси много,NRaven!!Трябва да преинсталирам една щайга,но все още съм нов в занаята-та за това и питам.Поздрави на теб и на всички приятели на Softvisia!!!

[SegaSega]

Следвах всички стъпки,но като се опитам да използвам AutoRun -а той непрекъснато връща настройките секунди след като съм ги направил....изтеглих ъпдейта от линка и рестартирах компа,но пак същото.

 

Имам 2 заразени флашки с Sality и искам да ги изчистя,но непрекъснато ми излиза

 

http://s246.photobucket.com/albums/gg115/Junichirogod/?action=view&current=untitled-1.jpg

 

Като изключим вируса,няма друго на флашките.Същото ми излиза и като искам да ги формат >.< Как да ги изчистя тотално