Blog of Khlebalin Dmitriy

(Записки из мира IT…)

Троян-червь dl.exe.


В последние пару месяцев столкнулись с интересным вирусняком Троян-червь dl.exe. Самое интересное, что каспер на него ни как не реагирует, при том даже тогда, когда запускаешь быстрое сканирование,  и только тогда, когда запустишь полное сканирование, тогда каспер уже хоть как то начинает шевелиться и сообщать о том, что обнаружил вирусняк. При том все экзешники уже поражены и не подлежат восстановлению.

Подробней здесь: http://www.securelist.com/ru/descriptions/old88153

Интересно как реагируют на него альтернативные антивири:

Программы, использованные в исследовании и лечении вируса: Nod32 и Anvir.

 

dl.exe является результатом деятельности самого опасного  Win32-Induc вируса.

Вот это происходит при запуске dl.exe (Anvir -> Log):

      05/10 19:14:01   window created by ntvdm.exe    D:\DOCUME~1\Admin016~1\dl.exe

или

      05/10 19:14:03  ntvdm.exe 144 terminated, worked 0:01, CPU 0:00   D:\WINDOWS\system32\ntvdm.exe

Его текст программы следующий (по сути он — батник):

<!DOCTYPE HTML PUBLIC «-//IETF//DTD HTML 2.0//EN»>

<html><head>

<title>301 Moved Permanently</title>

</head><body>

<h1>Moved Permanently</h1>

<p>The document has moved <a href=»http://utenti.multimania.it/vx9/dl.exe»>here</a&gt;.</p>

</body></html>

 Win32-Tenga.gen вирус: является результатом деятельности все того же самого опасного  Win32-Induc вируса. При запуске в диспетчере задач появляется процесс с тем же названием файла (таким образом, червь маскируется, становится незаметным простому глазу, его деятельность можно выявить, только если понаблюдать за загрузкой жесткого диска, например, в anvir, она составляет около 5-20 %). Антивирус не может пресечь деятельность этого процесса.

  Win32-Induc вирус — он самый главный червь — троян, заражающий или поражающий файлы с расширением *.exe. При его деятельности некоторые программы с расширением .exe становятся его клонами. При запуске этого зараженного файла червь проявляет себя уже явно: вылезает досовское окно DL.exe, возникает ошибка какого-нибудь процесса или файла, НАЧИНАЕТСЯ ПРОЦЕСС ПОИСКА, «КРОШЕНИЯ» ФАЙЛОВ .EXE (В ТОМ ЧИСЛЕ И ЗАГРУЗОЧНЫХ!!!) ИЛИ ПРЕВРАЩЕНИЯ ИХ В ТОГО ЖЕ ЧЕРВЯ, а при входе в интернет начинается отправка (до 30 Кб/с) и примем (до 10 Кб/с) интернет-трафика.

При продолжительном его существовании поражаются практически все exe-шники ВО ВСЕМ жестком диске (в основном там, где ты шаришься или запускаешь зараженные файлы или файлы, которые запускаются зараженными приложениями), обычно в тех местах остаются еще файлы dl.exe с соответствующими dl.exe досовским окошком.

Метод лечения  

Для начала необходимо убедиться, что все еще не бушует наш замечетальный…!!! Для этого в диспетчере задач можно позакрывать все процессы с имененм пользователя «admin», кроме explorer.exe

Зараженные файлы опознаются многими антивирусами. Я использовал Nod32. Можно бесплатно скачать сканер с официального сайта http://www.esetnod32.ru. Так как вирусом является только .exe файлы, то нужно найти только exe-файлы и просканировать их на вирусы.

Итак, ведем поиск exe-шников: ПУСК->ПОИСК (НАЙТИ) в строку поиска вводим *.exe и жмем поиск. По завершению поиска выделяем все файлы (Ctrl A), жмем правую кнопку мыши «сканировать программой ESET NOD32». При этом (во время поиска *.exe)  рекомендуется  временно выключить антивирусную защиту (если такая имеется), чтобы не возникала ошибка процесса explorer.exe. Найденные файлы вируса необходимо удалить вручную (если Nod32 их не удалил), а также  провести повторный поиск и сканирование пока не очистятся все черви. В добавок можно поискать оставшиеся файлы dl.exe и тоже их удалить.

ЕСЛИ ВАШ КОМПЬЮТЕР НАХОДИЛСЯ В ЛОКАЛЬНОЙ СЕТИ, НЕОБХОДИМО ПРОСКАНИРОВАТЬ ОБЩИЕ ДОКУМЕНТЫ ВАШИХ «СОСЕДЕЙ» (ЧЕРВЬ МОЖЕТ И ТУДА ПРОНИКНУТЬ), А ЛУЧШЕ ПОЛНОСТЬЮ ВСЕ КОМПЬЮТЕРЫ ПРОСКАНИРОВАТЬ.

Не удивляйтесь, если антивирус будет считать все файлы вирусами — так оно и есть!!! У меня у самого карантин 30 сек грузится (2000 зараженных exe-шников + испорченные). Все испорченные exe-шники можно удалить на всякий случай.

Подробное обсуждение данной проблемы здесь: http://forum.kaspersky.com/lofiversion/index.php/t9019.html

Всем хорошей работы !!!

Реклама

25.09.2012 - Posted by | antiviruses

Sorry, the comment form is closed at this time.

%d такие блоггеры, как: