|
Утилита позволяет обнаруживать и лечить Backdoor.Win32.Sinowal.deg и некоторые его модификации даже при активном заражении.
Семейство данных вредоносных программ ведет себя достаточно скрытно, на зараженной системе его нельзя обнаружить штатными средствами, т.к. при обращении к зараженным объектам он «подставляет» оригинальные копии.
Кроме того, основное тело вредоносной программы (драйвер уровня ядра) не присутствует на файловой системе, а расположено в неиспользованной части диска за границей последнего раздела. Вредоносная программа загружает драйвер самостоятельно, без помощи операционной системы. Сама же операционная система не подозревает о наличии драйвера.
Хотя внешних симптомов, мешающих пользователю, практически нет, вредоносные программы семейства Backdoor.Win32.Sinowal представляет серьезную угрозу для пользователя, т.к. предоставляет злоумышленникам удаленный доступ к зараженной машине.
Для обнаружения и лечения системы от Backdoor.Win32.Sinowal.deg следует выполнить действия:
- Cкачать утилиту antiboot.zip. Распаковать ее, используя программу-архиватор, например, WinZip.
- Запустить файл antiboot.exe.
- При запуске файла antiboot.exe на зараженной машине вы увидите следующие сообщения:
- На предложение утилиты вылечить машину следует нажать y.
Утилита произведет лечение и предложит перезагрузить систему:
Для перезагрузки нажмите y и клавишу Enter.
 Из-за особенностей вредоносной программы, лечение будет производиться в момент перезагрузки компьютера.
Вы можете отказаться от перезагрузки, тогда вредоносная программа будет активна до тех пор, пока вы не выключите компьютер или не перезагрузите его средствами операционной системы (Пуск - Завершение работы - Перезагрузка). После перезагрузки компьютер будет вылечен.
Если вы запустите на вылеченной машине утилиту, то увидите соответствующее сообщение No infected disks found
Дополнительные ключи для запуска утилиты antiboot.exe из командной строки:
-l <имя_файла> , где имя файла – файл, куда будет записываться информация о работе утилиты.
Утилита создает дампы загрузочных секторов (MBR) тех дисков, на которых была обнаружена вредоносная программа.
Имена файлов с дампами называются <имя файла>.origmbrXX и <имя файла>.curedmbrXX.
Файлы *.origmbrXX содержат копии MBR до лечения.
Файлы *.curedMBRXX содержат копии вылеченных MBR.
XX – число, зависящее от меcтоположения жесткого диска на шине PCI.
-p <имя_папки> - создание дампа MBR на всех жестких дисках.
| 
450 
02.12.2009 13:42
