?

Log in

No account? Create an account
Поймал херню. - Хроника затяжного прыжка [entries|archive|friends|userinfo]
maxtar

[ website | My Website ]
[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Поймал херню. [Mar. 3rd, 2010|10:07 am]
maxtar
Сегодня, включив компьютер был вынужден любоваться на порно-баннер, выскочивший на большую часть экрана и блокирующий работу (не запускался ни TaskManager, ни что-либо иное). Я, конечно, не против веселых картинок, настраивающих на игривый лад прямо с утра, но это все оказалось как-то не в кассу. К тому-же зверушка занималась откровенным шантажом, требуя послать SMS для разблокировки.

Не приходя в сознание - перегрузился в safe-mode, запустил AnVir Task Manager, который всячески рекомендую (ссылка), нашел и уничтожил бяку, которая пряталась в автозагрузке по адресу "C:\Program files\Plugin.exe". Поиск по интернету выявил, что вредная зверушка обзывается Trojan-Downloader.Win32.Piker.awz ( BitDefender: Gen:Trojan.Heur.TP.ry0@bCEK6wcc, AVAST4: Win32:Malware-gen ). Причем она как-то пропускается не только DrWeb'ом, но и Касперским и прочими антивирусами.

Тем не менее - впорос оставался открытым: каким образом гадость просочилась в систему, защищенную брендмауером, антивирусом (Dr.Web) и опытом пользователя? Сомнительные сайты не посещал, вел себя примерно, новый софт не ставил. Дата создания файла трояна фигурировала 20:30 02.03.2010, от этого решил плясать. Была найдена утилита IEHistoryView (ссылка), позволяющая получить точное время посещения сайтов из History IE.

Выяснилось, что в это время был посещен только fastpic.ru (просмотр скрин-шота к раздаче на rutracker.org игры для КПК) с которого была проведена переадресация на dooprqb.info. С одного из этих сайтов гадость и загрузилась. Whois показывает:
Domain Name:DOOPRQB.INFO
Created On:01-Mar-2010 17:08:44 UTC
Last Updated On:01-Mar-2010 17:09:14 UTC


Итак, рассадник гадости обнаружен. Добавил его в restricted sites (впрочем ничего не мешает зарегистрировать им новый сайт). Офигеть - теперь даже скриншоты посмотреть невозможно! А вопрос остается актуальным: как вирус просочился в систему и прописался в реестре?
LinkReply

Comments:
[User Picture]From: igorbasic
2010-03-03 07:15 am (UTC)
А браузер какой? У меня недавно подобная херня была
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-03 08:18 am (UTC)
IE8
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: fortochnik
2010-03-03 07:34 am (UTC)
Через IE повесилась скорее всего.
Ты можешь мне этот exe в запароленном виде скинуть?
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-03 08:18 am (UTC)
Увы, файл был прибит.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: aledr
2010-03-03 08:20 am (UTC)
А, т.е. эта фигня только в Автозапуск пишется и лечится удалением? Мне ужасы рассказывали про то, что она чуть ли не на уровне БИОС или системных файлов.
Если в Автозапуск, то с этим еще можно что-то делать.

FireFox с плагином NoSkript может спасти от такой фигни. Хотя, конечно, гарантий никаких.
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-03 08:31 am (UTC)
Эта конкретная - пишется в секцию Run в реестре и блокирует работу (т.е. при загруженной невозможно нифига сделать). При помощи safe-mode легко лечится, как и прочие вирусы.

В крайнем случае, если пишется на уровне совсем страшных системных файлов - может помочь "точка восстановления системы".

Короче - неприятно, но жить можно.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: djljdjhjnbr
2010-03-03 08:48 am (UTC)
А какой версии у тебя Acrobat Reader ?
Нынче большинство вирусов через дыры в нем лезут.
(Reply) (Thread)
[User Picture]From: borbelyua
2010-03-03 09:00 am (UTC)
ага, + еще флеш
(Reply) (Parent) (Thread)
[User Picture]From: borbelyua
2010-03-03 09:00 am (UTC)
система со всеми обновлениями? такое как 445порт закрыто?
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-03 09:27 am (UTC)
Да, да.
(Reply) (Parent) (Thread)
[User Picture]From: expolit
2010-03-03 09:33 am (UTC)
Нефиг пользоваться IE8, сам виноват. Юзай всё что угодно - кроме ие - лучше - фф.
getfirefox.com
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-03 10:16 am (UTC)
Не хочу. Меня IE устраивает.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: yumpie
2010-03-03 11:35 am (UTC)
У меня тоже такая же штука всплыла на днях на одном из компов. Причем я пользуюсь только Firefox, на тот момент была 3.5.7 с установленным NoScript.

Удаляется, она к счастью, тоже просто - хотя taskmanager не дает смотреть - Regedit спокойно грузится. Там и прибиваешь ее в Run и потом ресёт.

Как эта дрянь смогла туда прописаться - для меня тоже большая загадка.
На другом компе стоит Outpost - там всё чисто.
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-03 03:01 pm (UTC)
Я по памяти не помнил, где секция RUN тусуется. Пришлось safe-mode пользовать.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: addicted_to_q
2010-03-03 11:40 am (UTC)
А пользователь с какими правами? С администраторскими небось? ;) Это я просто к тому, что ни антивирусы, ни обновления, ни файрволлы, ни освященная клавиатура решительно никак не могут помочь против этой заразы. Снизить риск разве что, но никаких гарантий даже близко. Единственный кажущийся разумным способ - изоляция браузера от системы. Или хотя бы изоляция пользователя под которым работает браузер. В Vista и далее товарищи из MS придумали костыль - IE там можно запускать в защищенном режиме и он будет работать с низким мандатом доступа, т.е. сможет править только те файлы которые ему разрешено править. При таком подходе дрянь хотя бы в автораны не сможет прописаться. В данном случае повезло, что сейф-мод заработал, а то бывает не помогает даже он или вирь прописывается внутрь системных компонентов. Ну а антивирусы эти смс-кидалова почему-то не очень оперативно замечают. Видимо сишком прибыльное дело, и негодяи к нему относятся внимательно. Сам видел людей которые шлют смс на эти номера.
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-03 03:05 pm (UTC)
Конечно, с администраторскими. Пробовал иначе - коряво получается, гемор сплошной. Все хочу перейти на Win7, там вроде с этим проще.

Другое непонятно - вся эта бодяга с вирусом является статьей УК, причем серьезной. И доказуема на ура - посылаем СМС, код подходит = виновности. Хотя там есть засада - сложно доказать распространение, домен со скрытым владельцем (специально для таких случаев сервис).
(Reply) (Parent) (Thread) (Expand)
From: yugen99
2010-03-03 11:48 am (UTC)
я тоже недавно эту фигню подхватил. браузером ФФ.. диспетчер сразу закрывается при открытии, но запустил тотал коммандер с плагином диспетчера задач и оттуда удалил процесс, потом все почистил :)
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-03 02:58 pm (UTC)
О! А мне выше писали, что ФФ лучше всех и на него надо переходить, чтобы такого не случилось. :)
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: 4erni44ka
2010-03-04 11:35 pm (UTC)
ух ты, прям детективное расследование!
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-05 06:46 am (UTC)
Это профессиональное, со временем проводится автоматически, не приходя в сознание. :)
(Reply) (Parent) (Thread)
[User Picture]From: sfisenk
2010-03-05 04:37 pm (UTC)
Вообще-то если у тебя каспер такое пропустил, то это не значит, что Касперский плохой. Возможно дело в настройках антивируса, возможно в нерегулярном обновлении. У КИС 2010 есть защита от баннеров. Наверно у тебя какая-то старая версия каспера. Кроме того, у Касперского есть хорошая утилита:Kaspersky Virus Removal Tool , которая неплохо справляется с поиском вирусов или вот есть Сервис деактивации вымогателей-блокеров: http://support.kaspersky.ru/viruses/deblocker.
(Reply) (Thread)
[User Picture]From: maxtar
2010-03-06 06:23 am (UTC)
У меня не Каспер, а DrWeb. Вывод, что он пропускается касперским я сделал из треда на форуме Касперского, где для поиска такого вируса и удаления его дырок в системе нужно было использовать не сам KIS, а отдельные утилиты: TDSKiller и еще какую-то.
(Reply) (Parent) (Thread) (Expand)