Лечение компьютерных вирусов и троянов в примерах
Самостоятельное лечение компьютера с помощью спец утилит (AVZ,
UVS...)
Примеры лечения вирусов/троянов
Дата публикации: 26.08.2012.
Подопытный: шпион KeyLogger.Ardamax
(TrojanSpy:Win32/Ardamax.BI)
Анализ Virus Total:
смотреть (на дату публикации).
Данный зловред является программных шпионом, который следит за всеми действиями пользователя и отправляет логи через сеть злоумышленнику. Отличительной особенностью зловреда является возможность создать инсталляционный файл, который в автоматическом режиме будет установлен на компьютер жертвы. Т.е. злоумышленнику не нужен доступ к компьютеру жертвы, чтобы установить и настроить шпион, достаточно с помощью Социальной инженерии заставить пользователя запустить один программный файл, который будет выдан за полезный софт или за фотографию/видео.
- Удаление зловреда с помощью AVZ -
Создайте лог AVZ в соответствии с мануалом "Инструкция по использованию утилиты AVZ".
Изучаем раздел лога "Список процессов". Зловредные файлы:
- c:\windows\system32\28463\mkmp.exe (подозрительная папка расположения, отсутствует Описание и Copyright). Жмем "Завершить", "Удалить".
Раздел Модули. Зловредные файлы:
- C:\WINDOWS\system32\28463\MKMP.006 (подозрительная папка расположения, подозрительное расширение, отсутствует Описание и Copyright). Жмем "Удалить".
- C:\WINDOWS\system32\28463\MKMP.007 Поступает по аналогии с предыдущем файлом.
Раздел "Автозапуск". Зловредные файлы:
C:\WINDOWS\system32\28463\MKMP.exe Данный файл уже был обработан, но ничего страшного, если и здесь его обработаем. Критерии подозрительности такие же.
Раздел "Подозрительные объекты". AVZ выделил файлы зловреда:
- c:\windows\system32\28463\mkmp.006
- c:\windows\system32\28463\mkmp.007
которые уже были отработаны выше.
Получаем скрипт лечения:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\windows\system32\28463\mkmp.exe');
DeleteFile('c:\windows\system32\28463\mkmp.exe');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.006');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.007');
DeleteFile('c:\windows\system32\28463\mkmp.006');
DeleteFile('c:\windows\system32\28463\mkmp.007');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Папку c:\windows\system32\28463 удалить вручную.
- Удаление зловреда с помощью UVS -
Утилита Universal Virus Sniffer не выделила элементы зловреда во вкладку "Подозрительные и вирусы", поэтому только информации "Краткой инструкции по использованию утилиты Universal Virus Sniffer" будет недостаточно для удаления этого зловреда.
После выполнения разделов "Начало" и "Запуск UVS" краткой инструкции, выберите вкладку "Процессы".
Смотрим запущенные процессы. Файл MKMP.EXE сразу бросается в глаза, т.к. у него подозрительный Каталог и отсутствует Производитель. Двойной щелчок по записи, чтобы получить больше информации по файле.
Внимательно изучите ее. Особое внимание загруженным НЕИЗВЕСТНЫМ DLL: узнаем пару DLL зловреда (MKMP.006 и MKMP.007) - еще найдены цели для уничтожения. Т.к. эти DLL находятся в папке файла MKMP.EXE, то нет никаких сомнений, что это зловредные DLL. К тому же, расширения у этих DLL крайне подозрительные и прибавьте ко всему этому отсутствие Производителя. Закройте окно с дополнительной информацией.
Снимите сигнатуру с файла MKMP.EXE для добавления в вирусную базу UVS (как снимать сигнатуру - читайте в Краткой инструкции по UVS).
Выберите вкладку "Модули в памяти". Здесь мы видим пару DLL, которые уже были отмечены выше (MKMP.006 и MKMP.007).
Критерии подозрительности уже указаны выше. Добавьте их сигнатуры в вирусную базу UVS.
Также данные зловредные DLL вы можете наблюдать во вкладке "Неизв. модули в изв. процессах".
Больше никаких зловредных записей не обнаружено, нажмите "Проверить список". Будет автоматически выбрана вкладка "Подозрительные и вирусы", где вы можете увидеть все файлы зловреда, с которых были сняты сигнатуры.
Для уничтожения зловреда нажмите "Убить все вирусы". Затем перезагрузите компьютер.
Папку c:\windows\system32\28463 удалить вручную.
