Полезное

Trojan Winlock на казахстанский лад или SMS баннер за 3000 тенге

Сегодня принесли 2 ноутбука с заблокированной Windows. Висевший на экране SMS баннер просил отправить на кошелек Qiwi №918-107-62-93 сумму в 3000 тенге. Вот тебе на! Владельцы ноутбуков мягко сказать были в шоке )).



Ясно было, что это Trojan Winlocker, на сайте Drweb Unlocker судя по скрину наш вымогатель звался Trojan Winlocker.3300, но на Drweb код разблокировки для него отсутствовал.

описание в рис. отличается от существующего, просто я не смог скриншот снять

1. Ладно смотрим. Ноутбук с Windows Vista с установленным антивирусом Avira Antivirus Free 10 с обновленной базой. Загрузился с загрузочного USB устройства с системой LiveUSB Win7PE MacStyle 4.0. Далее запустил встроенный AntiWinlocker, им были проверены: блокировки реестра, профилей пользователей, диспетчера задач, оболочки winlogon, командной строки и другое и... в конце было обнаружено вредоносное тело 22CC6C32.exe, который был им удален и исправлен режим загрузки. Перезагрузка и Vista нормально загрузилась. Установил антивирус Avast Free 6.0. Посоветовал также просканировать дома ноутбук утилитой Drweb Cureit!

2. Следующий ноутбук с Windows XP SP3 с установленным антивирусом Eset Smart Security 4.0 с обновленной базой. Запустил AntiWinlocker, вылезла ошибка что нужно восстановить файлы userinit и taskmgr (располагаются в папке system32), которые вероятно заражены. Восстановление ни к чему не привело. Понятное дело, это же XP, а значит дубликаты этих файлов в папке-хранилище system32\dllcache также заражены. У Vista/7 к примеру хранилище базовых файлов в репозитарии WinSxS гораздо надежнее защищено.

Далее качаю с подобного компьютера с установленной XP эти файлы и заменяю на новые. Снова запускаю AntiWinlocker, который все там исправляет. Также пока я этим занимался прочитал на сайте forum.virlab.info о Trojan Winlocker.3300 и методах лечения:

Изменяет в реестре значения:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Модифицирует системные файлы:
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe

Переименовывает себя и копирует в указанную папку:
C:\Documents and Settings\All Users\Application Data\bqGWbrHWcrH.exe
C:\Documents and Settings\All Users\Application Data\fvk0fvl0gwl.exe
C:\Documents and Settings\All Users\Application Data\N3iyO3jzO4j.exe

Переименовывает системный файл:
Из C:\WINDOWS\system32\userinit.exe
в C:\WINDOWS\system32\03014D3F.exe (название может отличаться от указанного).

Значит я шел правильным путем. Удалил дополнительно зараженный файл в C:\Documents and Settings\All Users\Application Data\22CC6C32.exe и скопировал файл с незараженного компьютера C:\WINDOWS\system32\logonui.exe.

P.S.: Мне кажется казахстанские вирусмейкеры сами не писали этот вирус, просто нашли (купили) исходник Trojan Winlocker.3300 изменили в коде некоторые строки и "замутили" с кошельком Qiwi и заразили несколько казахстанских сайтов - online кинотеатров, т.к. пользователи ноутбуков сказали что заразились именно при просмотре фильмов в онлайне в прошедшие выходные.

Такие пироги..

Поделиться с друзьями:

1 комментарий

Оставить комментарий


 Какая последняя буква в слове owzus ?