Порнобаннер

Печать

21 Апреля 2010

JW_DISQUS_VIEW_COMMENTS

И снова баннер "отправьте СМС". Окно размером почти на весь экран с тремя веселыми картинками и просьбой выслать денег обнаружилось у очередного продвинутого пользователя. В тексте было написано, что отправить СМС надо непременно в течение 3 дней, поэтому дядя честно ждал трое суток, потому что картинки были ну очень скучными. Доктор Вэб мирно спал в углу.

 Что ж, попробуем найти заразу. Сначала быстро поглядим, кто у нас тут вообще живет. Запускаем HijackThis... опп-па, перезагрузка! Ох как я не люблю, когда они сопротивляются. Ладно, достаю загрузочный диск, выставляю в БИОСе загрузку с CD, и пока еще болванка лежит в коробочке, загружаемся сперва в безопасном режиме. А вдруг?

Ура! Баннер не выскочил, значит AppInit_DLLs тут не виноваты, наверное. Устанавливаю AVPTools. Странно. Установилось, сканируется. Жаль экранчик маленький и не получается добраться до настроек, чтоб уменьшить максимальное время сканирования одного файла, но вот Каспер отыскал первую жертву в папке с Windows. Запишем название: kesenjanganSocial.exe. На этом процесс пришлось остановить, так как на этом файле сканер висел несколько минут. Придется все-таки воспользоваться LiveCD, тем более что фамилию одного гада я уже знаю.

Перезагружаемся на этот раз с диска. Но диск оказывается не тот, что нужно. Вот блин! Значит позавчера Visual Studio 2010 я записал на болванку с ERD Commander'ом. Ну да ладно. Тут по крайней мере есть Total Commander и редактор реестра, а нам пока больше ничего и не надо. В корне диска С обнаружился еще один паразит 7668-NendangBro.com. Убит. Моя флешка, кстати, также уже заражена аутораном. Что ж, вылечим и ее. Теперь очередь реестра. Но в отличии от ERD на этом диске реестр зараженной машины надо еще подключить. Лезу в меню: Load Hive, нахожу software в папочке windows\system32\config, подключаю. Что бы просмотреть в первую очередь? Посмотрим сперва на Run. Интересного мало. Только уже обнаруженный чуть ранее kesenjangan и незнакомый пока RakyatKelaparan.exe, спрятанный в windows\ShellNew, загружаемый под кодовым именем Bron-Spizaetus.

В сервисах копаться вручную не хотелось, поэтому следующий кандидат на проверку - это наш любимый Shell в Microsoft\Windows NT\CurrentVersion\Winlogon. Ага! А вот и наш второй подозреваемый сознался во всех грехах. Пристроился Rakyat возле Explorer.exe за что и был наказан методом удаления. Попробуем теперь перезагрузиться, не забыв выгрузить Hive.

Загружаем систему в обычном режиме (нам теперь бояться нечего) и, здравствуйте, баннер продолжает висеть. Значит, не все найдено. Но под баннером начал хрустеть винтом Касперский, не отключенный из безопасного режима. Что ж, пусть он теперь поработает. За 15 минут антивирус обнаружил порядка 20 ненужных программ, в том числе и восстановленный кем-то RakyatKelaparan.exe и kesenjanganSocial.exe, который сидел в той же папке windows. Главное окно сканера закрывали своей грудью три тетьки с картинок, поэтому мне не было видно, почему вдруг Каспер остановил свой поиск на пол-пути. Что ж, мы уже и так слишком много знаем, попробуем еще раз посмотреть на безопасный режим, тем более что тетьки там показываться почему-то стесняются. Странно, там же безопасно.

Тяжело работать на маленьком мониторе, да еще когда выставляется расширение 640x480. Так что Касперский теперь пусть отдохнет, раз уж я до его настроек добраться не могу. Посмотрим, что нам расскажет HijackThis. Но перед этим замечаем, что при загрузке появляется обнадеживающее окошко, информирующее нас о том, что RakyatKelaparan.exe не является приложением. Ну что ж, значит почему-то не смог загрузиться. Смотрим логи Джека. Плохих парней среди загруженных процессов нет, так что работать никто мешать не должен. Но кто-то все-таки восстановил Shell, пристроив к эксплореру соседа: F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe". А вот рядышком и еще один новенький сидит: O4 - HKCU\..\Run: [system] rundll32.exe syscom.dll start. Пока еще не знаком с ним лично, но загружаться таким наглым образом явно нельзя. И тут же воскрес в автозагрузке RakyatKelaparan.exe. Недалеко от них как-будто бы из засады появлялся на свет O4 - HKCU\..\Run: [Tok-Cirrhatus-1464] "C:\Documents and Settings\Admin\Local Settings\Application Data\br3951on.exe". Да вот вроде бы и все. Осталось только спасти из плена отключенный врагами Regedit. Проверка - редактор реестра разблокирован. И напоследок убрать мусор из файла hosts, поскольку там наследил какой-то GeoCites.

Теперь уже бесстрашно перезагружаемся в обычном режиме и в отсутствии баннера спокойно добиваем остатки пока еще не удаленным AVPTools. Червяк сильно наследил в системе, так что выметать его поганой метлой придется вручную, записав на бумажку пути, найденные сканером. Мне понравилось описание, найденное у Авиры. Да и я теперь запомню его фамилию - Brontok. Попутно Каспер распознал еще в одном файле PinkBlocker, но поскольку баннер к этому моменту все-таки уже пропал, можно посчитать, что это он прижал его хвост. И также был успешно удален без моего вмешательства Troyan-Downloader.Java.Agent. Осталось только при помощи AVZ убедиться, что поганцев вымели всех. AVZ нашел AdWare.Win32.MyWebSearch.bm в файле Toolbar.exe, а значит, можно сказать, тоже поучавствовал в процессе.

 Ну что ж, очередная игрушка-порнушка была сломана менее, чем за 2 часа.

< Предыдущая   Следующая >