Skocz do zawartości


Zdjęcie

Popularne infekcje


  • Zamknięty Temat jest zamknięty
1 odpowiedź w tym temacie

#1 pawel315

pawel315

    Uzależniony od forum

  • 1549 postów

Napisano 01 11 2012 - 01:59

A więc chyba najpopularniejsza dzisiaj:
 
 


Infekcja UKASH ( Weelsof, ransomware )

Jest to ostatnio bardzo popularny rodzaj infekcji, która blokuje nam komputer i żąda pieniędzy za jego odblokowanie. "Nabawić się" tego można przez nieuważne korzystanie z Internetu ( klikanie w linki od nieznajomych itp. )
 


Charakterystyczny obrazek
34pxpir.png

Przez długi okres i to jak łatwo był on zwalczany przez różnych doświadczonych forumowiczów, trojan przechodził mutacje, poniżej przedstawię kilka z nich:
( Proszę się nie sugerować opisem usuwania jaki jest opisany na wp.pl - jest on błędny )


1. (Działają tryby awaryjne) Utworzenie wpisu w autostarcie i folderów w C:\ProgramData( losowy plik i sygnatura ) co w logu z OTL będzie widoczne jako np.:
O4 - HKCU..\Run: [iamdfoyionnrfzi] C:\ProgramData\iamdfoyi.exe (Sharkoon)
[2012-08-23 19:02:52 | 000,141,824 | ---- | C] (Sharkoon) -- C:\ProgramData\iamdfoyi.exe
[2012-08-23 19:02:53 | 000,000,000 | ---D | C] -- C:\ProgramData\dnalnhkoougcqjh
[2012-08-23 19:02:53 | 000,078,030 | ---- | M] () -- C:\ProgramData\yfcmoysbwjfdtil
  • Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę, lub zlokalizowanie i ręczne usunięcie plików.
2. (Działaja tryby awaryjne) Utworzenie wpisu w autostarcie, który już startuje z folderu Windows, co w logu z OTL będzie widoczne jako np.:

O4 - HKLM..\Run: [Wpc] C:\Documents and Settings\Zioberki\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1017\Wpc.exe ()
  • Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę, lub zlokalizowanie i ręczne usunięcie pliku.
3. (Działa tylko tryb awaryjny z wierszem polecenia) Dodanie do shela pliku msconfig.dat, co w logu z OTL będzie widoczne jako np.:

O20 - HKU\Mama_i_Tata_ON_C Winlogon: Shell - (C:\Documents and Settings\Mama i Tata\Dane aplikacji\msconfig.dat) - C:\Documents and Settings\Mama i Tata\Dane aplikacji\msconfig.dat ()
  • Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę.
4. (Działa tryb normalny - podczas przeglądania Internetu blokuje komputer) Pojawienie sie pliku lsass.exe z sygnaturą Microsoft, który startuje za pomoca ctfmon.lnk i dodatkowo losowy plik *.pad, co w logu z OTL będzie widoczne jako :

O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
C:\ProgramData\lsass.exe
C:\ProgramData\ism_0_llatsni.pad
  • Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę.
Do kazdego z opisanych przypadków można uruchomić program https://www.malwarebytes.org/mwb-download/Malwarebytes anti-malware[/url] i uruchomić skanowanie.

Użytkownik pawel315 edytował ten post 28 12 2014 - 19:55
poprawa linków

  • 1

#2 pawel315

pawel315

    Uzależniony od forum

  • 1549 postów

Napisano 01 11 2012 - 15:19


Fake AV ( fałszywy antywirus ) na przykładzie Live Security platinum


Podczas pzreglądania jakiejś strony wyświetla nam się komunikat, że nasz komputer jest zainfekowany i zachęca nas do pobrania "antyvirusa", który to usunie. Po pobraniu dochodzi do skanowania z błędnymi zawsze wynikami w którym najważniejsze pliki systemowe będą zainfekowane i żeby się ich pozbyć musimy kupić pełną wersję aplikacji. Podczas gdy zingorujemy ten komunikat nasz "antyvirus" zacznie blokować uruchamianie programów takich jak przeglądarka internetowa itp. Dodatkowo te programy mają zdolności "zapraszania" kolegów, np. Live Security Platinum dociąga nam trojana Sirefef


Główne okno programu z wynikami skanowania
Dołączona grafika


1. Jak usunąć?
  • Należy odinstalować program z pozimou "Dodaj lub usuń programy" jednak blokada plików nie ustąpi.
  • Należy usunąć aplikacją o losowo generowanej nazwie, startującą ze startem Windows, co w logu z OTL może być widoczne jako:
    O4 - HKU\S-1-5-21-796845957-839522115-1417001333-1003..\RunOnce: [6F63A58B02ED2D94309E5F9481CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6F63A58B02ED2D94309E5F9481CB3EF3\6F63A58B02ED2D94309E5F9481CB3EF3.exe ()
    i folder ( losowy )
    C:\Documents and Settings\All Users\Dane aplikacji\6F63A58B02ED2D94309E5F9481CB3EF3
    
  • Aplikacje może usunąć skaner DrWeb CureIt i MalwareBytes Anti-malware


Trojan Sirefef ( rootkit ZeroAccsess )


Jest to bardzo groźna infekcja, która potrafi wykradać hasła, wyłączać Windows Update i wiele innych.

Jak zozpoznać? Mogą występować rózne wersje
  • W logu z OTL może występować usługa podpisana jako Oak Technology Inc. i link symboliczny:
    SRV - [2008-04-15 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\WINDOWS\system32\intelide.dll -- (MTC0001_ESB) -> Usługa
    [color=#E56717]========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========[/color]
    [C:\WINDOWS\$NtUninstallKB37650$] -> Error: Cannot create file handle -> Unknown point type -> Link symboliczny
    
  • Może również występować wersja z plikiem consrv.sys którego nie należy usuwać ponieważ system może się nie uruchomić
  • Charakterystycznym objawem niezależnie od wersji jest modyfikowanie łańcucha winsock co można zobaczyć w OTL jako:
    MOD - [2010-01-17 22:37:16 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
    O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found
    
  • Z infekcją radzi sobie program TDSS killer jednak samemu trzeba sobie odbudować uszkodzone prze niego usługi


Brontok


Jest do dość denerwująca infekcja, która co jakiś czas wyświetla na ekranie taki komunikat ( może być okraszone restartami komputera )


Dołączona grafika


Oprogramowanie antywirusowe czasami sobie nie radzi i komputer się resetuje podczas próby usuwania.

Charakterystyczne objawy:
  • Pojawienie się następujących plików w lokalizacji C:\Users\[usr]\AppData\Local\
    C:\Users\[usr]\AppData\Local\Bron.tok.A16.em.bin
    C:\Users\[usr]\AppData\Local\winlogon.exe
    C:\Users\[usr]\AppData\Local\smss.exe
    C:\Users\[usr]\AppData\Local\services.exe
    C:\Users\[usr]\AppData\Local\lsass.exe
    C:\Users\[usr]\AppData\Local\inetinfo.exe
    C:\Users\[usr]\AppData\Local\csrss.exe
    C:\Users\[usr]\AppData\Local\[losowa nazwa].exe ( ten plik jest uruchamiany ze startem Windows )
    Przykład w OTL:
    O4 - HKU\S-1-5-21-3829066140-836857618-3098951380-1001..\Run: [Tok-Cirrhatus-1860] C:\Users\Ewa\AppData\Local\br4743on.exe ()
    O4 - Startup: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
    
  • Utworzenie shela w OTL będzie widoczne jako:
    O20 - HKLM Winlogon: Shell - ("C:\Windows\KesenjanganSosial.exe") - C:\Windows\KesenjanganSosial.exe ()
    
  • Usuwanie MalwareBytes Anti-Malware ( lecz nie zawsze sobie radzi )
  • Wykorzystanie skryptu, w OTL'u, który został przygotowany przez experta na forum


Użytkownik pawel315 edytował ten post 01 11 2012 - 15:20

  • 2




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych