Лечение компьютерных вирусов и троянов в примерах
Самостоятельное лечение компьютера с помощью спец утилит (AVZ, UVS...)

Навигация

Главная страница

Инструменты

Примеры лечения вирусов/троянов

Форум

Гостевая книга

Контакты

Ссылки

 

Лечение зловреда своими руками (шпион KeyLogger.Ardamax)

Дата публикации: 26.08.2012.
Подопытный: шпион KeyLogger.Ardamax (TrojanSpy:Win32/Ardamax.BI)
Анализ Virus Total: смотреть (на дату публикации).


Данный зловред является программных шпионом, который следит за всеми действиями пользователя и отправляет логи через сеть злоумышленнику. Отличительной особенностью зловреда является возможность создать инсталляционный файл, который в автоматическом режиме будет установлен на компьютер жертвы. Т.е. злоумышленнику не нужен доступ к компьютеру жертвы, чтобы установить и настроить шпион, достаточно с помощью Социальной инженерии заставить пользователя запустить один программный файл, который будет выдан за полезный софт или за фотографию/видео.

- Удаление зловреда с помощью AVZ -

Создайте лог AVZ в соответствии с мануалом "Инструкция по использованию утилиты AVZ".

Изучаем раздел лога "Список процессов". Зловредные файлы:

  • c:\windows\system32\28463\mkmp.exe (подозрительная папка расположения, отсутствует Описание и Copyright). Жмем "Завершить", "Удалить".

Раздел Модули. Зловредные файлы:

  • C:\WINDOWS\system32\28463\MKMP.006 (подозрительная папка расположения, подозрительное расширение, отсутствует Описание и Copyright). Жмем  "Удалить".
  • C:\WINDOWS\system32\28463\MKMP.007 Поступает по аналогии с предыдущем файлом.

Раздел "Автозапуск". Зловредные файлы:

C:\WINDOWS\system32\28463\MKMP.exe Данный файл уже был обработан, но ничего страшного, если и здесь его обработаем. Критерии подозрительности такие же.

Раздел "Подозрительные объекты". AVZ выделил файлы зловреда:

  • c:\windows\system32\28463\mkmp.006
  • c:\windows\system32\28463\mkmp.007

которые уже были отработаны выше.

Получаем скрипт лечения:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\windows\system32\28463\mkmp.exe');
DeleteFile('c:\windows\system32\28463\mkmp.exe');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.006');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.007');
DeleteFile('c:\windows\system32\28463\mkmp.006');
DeleteFile('c:\windows\system32\28463\mkmp.007');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Папку c:\windows\system32\28463 удалить вручную.

- Удаление зловреда с помощью UVS -

Утилита Universal Virus Sniffer не выделила элементы зловреда во вкладку "Подозрительные и вирусы", поэтому только информации "Краткой инструкции по использованию утилиты Universal Virus Sniffer" будет недостаточно для удаления этого зловреда.

После выполнения разделов "Начало" и "Запуск UVS" краткой инструкции, выберите вкладку "Процессы".

Вкладка "Процессы" UVS

Смотрим запущенные процессы. Файл MKMP.EXE сразу бросается в глаза, т.к. у него подозрительный Каталог и отсутствует Производитель. Двойной щелчок по записи, чтобы получить больше информации по файле.

Внимательно изучите ее. Особое внимание загруженным НЕИЗВЕСТНЫМ DLL: узнаем пару DLL зловреда (MKMP.006 и MKMP.007) - еще найдены цели для уничтожения. Т.к. эти DLL находятся в папке файла MKMP.EXE, то нет никаких сомнений, что это зловредные DLL. К тому же, расширения у этих DLL крайне подозрительные и прибавьте ко всему этому отсутствие Производителя.  Закройте окно с дополнительной информацией.

Снимите сигнатуру с файла MKMP.EXE для добавления в вирусную базу UVS (как снимать сигнатуру - читайте в Краткой инструкции по UVS).

Выберите вкладку "Модули в памяти". Здесь мы видим пару DLL, которые уже были отмечены выше (MKMP.006 и MKMP.007).

Критерии подозрительности уже указаны выше. Добавьте их сигнатуры в вирусную базу UVS.

Также данные зловредные DLL вы можете наблюдать во вкладке "Неизв. модули в изв. процессах".

Больше никаких зловредных записей не обнаружено, нажмите "Проверить список". Будет автоматически выбрана вкладка "Подозрительные и вирусы", где вы можете увидеть все файлы зловреда, с которых были сняты сигнатуры.

Для уничтожения зловреда нажмите "Убить все вирусы". Затем перезагрузите компьютер.

Папку c:\windows\system32\28463 удалить вручную.

назад | наверх

  При использовании материалов с данного сайта, просьба указывать ссылку на www.av-help.narod.ru
Hosted by uCoz