Fake AV ( fałszywy antywirus ) na przykładzie Live Security platinum
Podczas pzreglądania jakiejś strony wyświetla nam się komunikat, że nasz komputer jest zainfekowany i zachęca nas do pobrania "antyvirusa", który to usunie. Po pobraniu dochodzi do skanowania z błędnymi zawsze wynikami w którym najważniejsze pliki systemowe będą zainfekowane i żeby się ich pozbyć musimy kupić pełną wersję aplikacji. Podczas gdy zingorujemy ten komunikat nasz "antyvirus" zacznie blokować uruchamianie programów takich jak przeglądarka internetowa itp. Dodatkowo te programy mają zdolności "zapraszania" kolegów, np. Live Security Platinum dociąga nam trojana Sirefef
Główne okno programu z wynikami skanowania
1. Jak usunąć?
- Należy odinstalować program z pozimou "Dodaj lub usuń programy" jednak blokada plików nie ustąpi.
- Należy usunąć aplikacją o losowo generowanej nazwie, startującą ze startem Windows, co w logu z OTL może być widoczne jako:
O4 - HKU\S-1-5-21-796845957-839522115-1417001333-1003..\RunOnce: [6F63A58B02ED2D94309E5F9481CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6F63A58B02ED2D94309E5F9481CB3EF3\6F63A58B02ED2D94309E5F9481CB3EF3.exe () i folder ( losowy ) C:\Documents and Settings\All Users\Dane aplikacji\6F63A58B02ED2D94309E5F9481CB3EF3
- Aplikacje może usunąć skaner DrWeb CureIt i MalwareBytes Anti-malware
Trojan Sirefef ( rootkit ZeroAccsess )
Jest to bardzo groźna infekcja, która potrafi wykradać hasła, wyłączać Windows Update i wiele innych.
Jak zozpoznać? Mogą występować rózne wersje
- W logu z OTL może występować usługa podpisana jako Oak Technology Inc. i link symboliczny:
SRV - [2008-04-15 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\WINDOWS\system32\intelide.dll -- (MTC0001_ESB) -> Usługa [color=#E56717]========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========[/color] [C:\WINDOWS\$NtUninstallKB37650$] -> Error: Cannot create file handle -> Unknown point type -> Link symboliczny
- Może również występować wersja z plikiem consrv.sys którego nie należy usuwać ponieważ system może się nie uruchomić
- Charakterystycznym objawem niezależnie od wersji jest modyfikowanie łańcucha winsock co można zobaczyć w OTL jako:
MOD - [2010-01-17 22:37:16 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found
- Z infekcją radzi sobie program TDSS killer jednak samemu trzeba sobie odbudować uszkodzone prze niego usługi
Brontok
Jest do dość denerwująca infekcja, która co jakiś czas wyświetla na ekranie taki komunikat ( może być okraszone restartami komputera )
Oprogramowanie antywirusowe czasami sobie nie radzi i komputer się resetuje podczas próby usuwania.
Charakterystyczne objawy:
- Pojawienie się następujących plików w lokalizacji C:\Users\[usr]\AppData\Local\
C:\Users\[usr]\AppData\Local\Bron.tok.A16.em.bin C:\Users\[usr]\AppData\Local\winlogon.exe C:\Users\[usr]\AppData\Local\smss.exe C:\Users\[usr]\AppData\Local\services.exe C:\Users\[usr]\AppData\Local\lsass.exe C:\Users\[usr]\AppData\Local\inetinfo.exe C:\Users\[usr]\AppData\Local\csrss.exe C:\Users\[usr]\AppData\Local\[losowa nazwa].exe ( ten plik jest uruchamiany ze startem Windows ) Przykład w OTL: O4 - HKU\S-1-5-21-3829066140-836857618-3098951380-1001..\Run: [Tok-Cirrhatus-1860] C:\Users\Ewa\AppData\Local\br4743on.exe () O4 - Startup: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
- Utworzenie shela w OTL będzie widoczne jako:
O20 - HKLM Winlogon: Shell - ("C:\Windows\KesenjanganSosial.exe") - C:\Windows\KesenjanganSosial.exe ()
- Usuwanie MalwareBytes Anti-Malware ( lecz nie zawsze sobie radzi )
- Wykorzystanie skryptu, w OTL'u, który został przygotowany przez experta na forum