Posiadanie
Najprostszym sposobem posiadania tego syfa jest kliknięcie w zarażony link przesyłany przez komunikator Gadu-Gadu.
Jak wyglądają linki?
Linki z niespodzianką mogą wyglądać wpodobie do tych które stawiam w [/code].
h##p://www.hsqvyrpzeh.info/?ywfdwb.jpg h##p://www.jvjjuynmfbh.info h##p://www.andrewmills.org/news_listopad_2006_artukyl_11023.php h##p://www.sunlitspace.com/artykul13260.html
Oczywiście nie klikamy w linki od nieznajomych. Gdy dostaniesz link od znajomego pierw zapytaj się czy on wysłał tego linka. Również dobrze mógł być to robot spamujący osoby z listy kontaktów poprzez zainfekowanie twojego znajomego.
Jakie szkody wyrządza?
Spamuje twoich znajomych z listy kontaktów linkami w których są ukryte groźne bonusy. Zostajesz zbanowany na Gadu-Gadu. Czas ban`a trwa około 24 godzin jednakże przed odbanowaniem trzeba się uporać z usunięciem gada. Niemożliwość wysyłania wiadomości.
Indentyfikacja trojana.
Tego wirusa można zidetyfikować np. poprzez narzędzie Hijack This oraz Silent Runners.
W Hijack This mamy następujący wpis:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
Natomiast w Silent Ruuners ujrzymy taki wpisik:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> rpcc\DLLName = "C:\WINDOWS\System32\rpcc.dll”
Usuwanie szkodnika.
1. Jedną, możliwe że najłatwiejszą metodą jest zaopatrzenie się w narzędzie Pocket KillBox. A więc tak.
a) Ściągamy KillBox`a
Odpalamy program w trybie Awaryjnym.
W polu Full Path of File wklejamy lokalizację pliku:
C:\WINDOWS\System32\rpcc.dll
Usuwamy plik z opcji 2 czyli zaznaczamy Delete on reboot.
Na koniec pozostaje nam nacisnąć czerwony X i zresetować komputer.
b ) Otwieramy Notatnik i wklejamy:
Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
Plik -> Zapisz jako -> Zmieniamy rozszerzenie z .txt na wszystkie pliki -> Zapisujemy pod nazwą FIX.REG.
Przechodzimy do trybu Awaryjnego. Odpalamy utworzony plik FIX.REG i akceptujemy dodanie do rejestru. Następnie restartujemy komputer.
c) W trybie Normalnym odpalamy Hijack`a i fix`ujemy nim wpis:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
2. Inna metoda na wykonanie punktu a).
W trybie Normalnym wyłączamy Przywracanie systemu. Startujemy do trybu Awaryjnego. Włączamy pokazywanie plików ukrytych.
-> Plik szukamy ręcznie i znajdując go klikamy PPM na nim i dajemy Usuń. Następnie opróżniamy Kosz i gotowe.
Tam metoda może jednak nie zadziałać ponieważ plik jest jednym z mocniejszych.
Punkt b ) oraz c) się nie zmienia.
3.
a) W trybie Normalnym otwieramy Notatnik i wklejamy:
CD C:\WINDOWS\System32 DEL rpcc.dll
Plik -> Zapisz jako -> Zmieniamy rozszerzenie z .txt na wszystkie pliki -> Zapisujemy pod nazwą FIX.BAT.
Przechodzimy do trybu Awaryjnego. Odpalamy utworzony plik FIX.BAT i akceptujemy dodanie fix`u. Następnie restartujemy komputer.
Punkt b ) i c jest taki sam jak w poprzednich wersjach usuwania.
4.
a) Pobieramy narzędzie The avenger.
Wypakowujemy program np. WinRar`em. Uruchamiamy program i zaznaczamy opcję Input script manually. Następnie klikamy w "lupkę" a w okienku które nam się otworzy wklejamy taki tekst:
Files to delete: C:\WINDOWS\System32\rpcc.dll
Klikamy klawisz Done a następnie zielone światło. Na komunikat który się wyświetli odpowiadamy OK.
b ) Nie powinno być już wpisu w rejestrze ale dla pewności wykonujemy standardowo punkt b ).
c) Fix`ujemy wpis podany w 1 opcji usuwania.
Jednakże, możemy się także spotkać z podobny plikiem rpccd.dll więc zamiast pliku rpcc.dll wszędzie w usuwaniu podstawiamy plik rpccd.dll. Przy usuwaniu wpisu w rejestrze w opcji b ) fix będzie wyglądał tak:
Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpccd]
Jak się przed nim chronić?
-> Zmieniamy komunikator internetowy, np. na Tlen bądź AQQ.
-> Nie klikamy na linki wysyłane przez komunikator Gadu-Gadu
-> Zmieniamy przeglądarkę internetową na Firefox lub Opera
Mam nadzieję że 4 opisy usuwania dają możliwość wyboru więc zamiast formatowania dysków pobawmy się z tym trojankiem.
