|
С 30 января 2008 года продукты Лаборатории Касперского могут детектировать и лечить вредоносные программы бот-сети Shadow. Имена вредоносных объектов могут отличаться в зависимости от версии вредоносной программы. Ниже представлен список вредоносных программ из бот-сети Shadow уже известных для Лаборатории Касперского:
- Backdoor.Win32.IRCBot.bit
- Backdoor.Win32.IRCBot.biy
- Backdoor.Win32.IRCBot.bjd
- Backdoor.Win32.IRCBot.bjh
- Backdoor.Win32.IRCBot.cja
- Backdoor.Win32.IRCBot.cjj
- Backdoor.Win32.IRCBot.ckq
- Backdoor.Win32.IRCBot.cow
- Backdoor.Win32.IRCBot.czt
- Backdoor.Win32.IRCBot.ekz
- Rootkit.Win32.Agent.aet
- Trojan-Downloader.Win32.Injecter.pj
- Trojan.Win32.DNSChanger.azo
- Trojan.Win32.DNSChanger.bao
- Trojan.Win32.DNSChanger.bck
- Trojan.Win32.DNSChanger.bfo
- Trojan.Win32.DNSChanger.bjh
- Trojan.Win32.DNSChanger.bji
- Trojan.Win32.DNSChanger.bjj
- Trojan.Win32.DNSChanger.bmj
- Trojan.Win32.DNSChanger.bnw
- Trojan.Win32.DNSChanger.bqk
- Trojan.Win32.DNSChanger.bsm
- Trojan.Win32.DNSChanger.buu
- Trojan.Win32.DNSChanger.bwi
- Trojan.Win32.DNSChanger.bxd
- Trojan.Win32.DNSChanger.bxe
- Trojan.Win32.DNSChanger.bxv
- Trojan.Win32.DNSChanger.cap
- Trojan.Win32.DNSChanger.ccg
- Trojan.Win32.DNSChanger.cei
- Trojan.Win32.DNSChanger.cem
- Trojan.Win32.DNSChanger.eag
- Trojan.Win32.DNSChanger.gvb
- Trojan.Win32.Restarter.e
- Trojan.Win32.Restarter.f
- Trojan.Win32.Restarter.g
- Trojan.Win32.Restarter.h
Ниже представлена инструкция по удалению Trojan.Win32.DNSChanger.gvb с компьютера вручную, образец которого был получен специалистами Лаборатории Касперского 6 августа 2008 года.
Расположение вредоносной программы на компьютере
Имена вредоносной программы могут различаться в виду того, что бот не копирует свое "тело" в операционную систему заражаемого компьютера. Тем не менее, используя системный реестр на компьютере, Вы можете определить присутствие бота в системе. Запустите редактор реестра (Пуск -> Выполнить -> Regedit) и раскройте ветку реестра HKEY_CLASSES_ROOT\.htc\Content Type:
Системные администраторы могут посмотреть данную информацию удаленно, используя команду как показано на картинке ниже:
Значение реестра по умолчанию для ветки HKEY_CLASSES_ROOT\.htc\Content должно выглядеть как text/x-component. Если значение отличное, даже при наличии символа {пробел}, то это означает, что компьютер заражен и является частью бот-сети Shadow.
Вы также можете проверить значение в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\. В данном разделе реестра для бота включается разрешение на исходящие соединения путем изменения правил брандмауэра Windows. Бот добавляет себя в лист Доверенных приложений брандмауэра Windows. Правило на разрешение всех исходящих соединений добавляется как Flash Media, однако имя правила может быть отличным.
Данное значение реестра позволяет также проследить имя и путь зараженного объекта. Подобная информация хранится и в ветке реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit.
Системные администраторы могут распознать зараженные машины в сети путем просмотра исходящих соединений на адрес elena.ccpower.ru через порт 3360.
Удаление вредоносной программы с компьютера
Бот изменяет процесс winlogon.exe, который загружен в оперативную память. Это позволяет получить вредоносному коду определенные права в операционной системе для защиты собственных файлов от удаления и защиты значений реестра от каких-либо изменений. Если вредоносный код не запущен в системе, то измененный процесс winlogon.exe перезагрузит его.
Для удаления вреносного кода и полной очистки операционной системы выполните следующее:
.gif)
-
откройте папку, в которой хранится зараженный файл
-
выделите зараженный файл и нажмите правой кнопкой мыши
-
выберите в контекстном меню Свойства
.gif)
-
перейдите на закладку Безопасность
-
нажмите кнопку Добавить
-
добавьте учетную запись, под которой работает текущая сессия Windows
-
поставьте все галки для колонки Запретить
-
нажмите кнопку ОК
.gif)
-
перезагрузите компьютер
-
откройте папку, в которой находится зараженный файл
-
удалите файл
-
восстановите следующие значения системного реестра (представлено в виде "ветка=значение"):
-
удалите следующие значения реестра:
-
обновите антивирусные базы и запустите полную проверку компьютера
| 
144 
08.02.2010 12:22
