Как бороться с вредоносными программами бот-сети Shadow

 

 

О вирусах: Борьба с вирусами

 
 
 

Как бороться с вредоносными программами бот-сети Shadow

К разделу "Борьба с вирусами"
2013 мар 07 ID: 1846
 
 
 
 

С 30 января 2008 года продукты Лаборатории Касперского могут детектировать и лечить вредоносные программы бот-сети Shadow. Имена вредоносных объектов могут отличаться в зависимости от версии вредоносной программы. Ниже представлен список вредоносных программ из бот-сети Shadow уже известных для Лаборатории Касперского:

  • Backdoor.Win32.IRCBot.bit
  • Backdoor.Win32.IRCBot.biy
  • Backdoor.Win32.IRCBot.bjd
  • Backdoor.Win32.IRCBot.bjh
  • Backdoor.Win32.IRCBot.cja
  • Backdoor.Win32.IRCBot.cjj
  • Backdoor.Win32.IRCBot.ckq
  • Backdoor.Win32.IRCBot.cow
  • Backdoor.Win32.IRCBot.czt
  • Backdoor.Win32.IRCBot.ekz
  • Rootkit.Win32.Agent.aet
  • Trojan-Downloader.Win32.Injecter.pj
  • Trojan.Win32.DNSChanger.azo
  • Trojan.Win32.DNSChanger.bao
  • Trojan.Win32.DNSChanger.bck
  • Trojan.Win32.DNSChanger.bfo
  • Trojan.Win32.DNSChanger.bjh
  • Trojan.Win32.DNSChanger.bji
  • Trojan.Win32.DNSChanger.bjj
  • Trojan.Win32.DNSChanger.bmj
  • Trojan.Win32.DNSChanger.bnw
  • Trojan.Win32.DNSChanger.bqk
  • Trojan.Win32.DNSChanger.bsm
  • Trojan.Win32.DNSChanger.buu
  • Trojan.Win32.DNSChanger.bwi
  • Trojan.Win32.DNSChanger.bxd
  • Trojan.Win32.DNSChanger.bxe
  • Trojan.Win32.DNSChanger.bxv
  • Trojan.Win32.DNSChanger.cap
  • Trojan.Win32.DNSChanger.ccg
  • Trojan.Win32.DNSChanger.cei
  • Trojan.Win32.DNSChanger.cem
  • Trojan.Win32.DNSChanger.eag
  • Trojan.Win32.DNSChanger.gvb
  • Trojan.Win32.Restarter.e
  • Trojan.Win32.Restarter.f
  • Trojan.Win32.Restarter.g
  • Trojan.Win32.Restarter.h

Ниже представлена инструкция по удалению Trojan.Win32.DNSChanger.gvb с компьютера вручную, образец которого был получен специалистами Лаборатории Касперского 6 августа 2008 года.

 

Расположение вредоносной программы на компьютере

Имена вредоносной программы могут различаться в виду того, что бот не копирует свое "тело" в операционную систему заражаемого компьютера. Тем не менее, используя системный реестр на  компьютере, Вы можете определить присутствие бота в системе. Запустите редактор реестра (Пуск -> Выполнить -> Regedit) и раскройте ветку реестра HKEY_CLASSES_ROOT\.htc\Content Type:

Системные администраторы могут посмотреть данную информацию удаленно, используя команду как показано на картинке ниже:

Значение реестра по умолчанию для ветки HKEY_CLASSES_ROOT\.htc\Content должно выглядеть как text/x-component. Если значение отличное, даже при наличии символа {пробел}, то это означает, что компьютер заражен и является частью бот-сети Shadow.

Вы также можете проверить значение в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\. В данном разделе реестра для бота включается разрешение на исходящие соединения путем изменения правил брандмауэра Windows. Бот добавляет себя в лист Доверенных приложений брандмауэра Windows. Правило на разрешение всех исходящих соединений добавляется как Flash Media, однако имя правила может быть отличным.

Данное значение реестра позволяет также проследить имя и путь зараженного объекта. Подобная информация хранится и в ветке реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit.

Системные администраторы могут распознать зараженные машины в сети путем просмотра исходящих соединений на адрес elena.ccpower.ru через порт 3360.

 

Удаление вредоносной программы с компьютера

Бот изменяет процесс winlogon.exe, который загружен в оперативную память. Это позволяет получить вредоносному коду определенные права в операционной системе для защиты собственных файлов от удаления и защиты значений реестра от каких-либо изменений. Если вредоносный код не запущен в системе, то измененный процесс winlogon.exe перезагрузит его.

Для удаления вреносного кода и полной очистки операционной системы выполните следующее:

  • запретите любой доступ к зараженному файлу: откройте Мой компьютер, выберите меню Сервис, пункт меню Свойства папки. На закладке Вид снимите галку для опции

  • откройте папку, в которой хранится зараженный файл
  • выделите зараженный файл и нажмите правой кнопкой мыши
  • выберите в контекстном меню Свойства

  • перейдите на закладку Безопасность
  • нажмите кнопку Добавить
  • добавьте учетную запись, под которой работает текущая сессия Windows
  • поставьте все галки для колонки Запретить
  • нажмите кнопку ОК

  • перезагрузите компьютер
  • откройте папку, в которой находится зараженный файл
  • удалите файл
  • восстановите следующие значения системного реестра (представлено в виде "ветка=значение"):
    • “HKCR\.htc\Content Type” = "text/x-component"
    • “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit” = “C:\WINDOWS\system32\userinit.exe”
  • удалите следующие значения реестра:
    • “HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Flash Media”
    • “HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
  • обновите антивирусные базы и запустите полную проверку компьютера

 

 
 
 
 
Была ли информация полезна?
Да Нет
 

 
 

Отзыв о сайте

Напишите нам, если не нашли нужную информацию на странице, или оставьте отзыв о работе сайта, чтобы мы сделали его лучше.

Отправить Отправить

Спасибо за отзыв!

Лаборатория Касперского ценит каждое мнение.
Ваш отзыв будет принят во внимание