Фахівці нашого сайту пропонують докладні інструкції.

Кілька днів тому charter97.org опублікував інформацію про розкриття чергового ботнету, за допомогою якого білоруські спецслужби проникали в комп'ютери білоруських громадян і отримували доступ до конфіденційної інформації.

Багато наших читачів запитували, яким чином можна виявити такий вірус на своєму комп'ютері і як від нього позбутися. Пропонуємо вам докладну інструкцію по виявленню і видаленню бота Andromeda і бекдора на основі Team Viewer. За нашою інформацією, бекдор Team Viewer досі працює на багатьох комп'ютерах білорусів. Повідомте, будь ласка, в коментарях, якщо вам вдалося виявити ці програми у себе.

Хотіли б ще раз висловити брагодарность журналістці Ірині Халіп, яка не тільки не дозволила заразити свій персональний комп'ютер, але і скопіювала исходник вируса, пересланий їй невідомим користувачем через скайп. Нагадуємо, не запускайте на своєму комп'ютері невідомі файли, а також уникайте відвідування підозрілих сайтів.

I. Бот Andromeda

Встановлюється з саморозпаковуваного 7zip архіву, який містить усередині файл з характерним іменем Skype_update.exe.

На поточний момент даний файл детектується більшістю антивірусів: Win32: Kryptik-IHK [Trj] (Avast), BackDoor.Andromeda.2 (DrWeb), Gen: Variant.Barys.505 (F-Secure), Worm.Win32.Gamarue (Ikarus ), Trojan-Spy.Win32.Zbot.dptt (Kaspersky), Worm: Win32 / Gamarue.F (Microsoft), a variant of Win32 / Kryptik.ADZY (NOD32), Troj / Agent-VSS (Sophos), Packed.Generic .362 (Symantec).

Розмір основного модуля бота: 49192 байт
MD5: a902f92b16f195e72f38a5984433ae53

Додаток Skype_update.exe є ботом загрузчиком, який маскується всередині легального системного процесу wuauclt.exe (служба автоматичного оновлення Windows), робить додаткові копії файлу бота, створює настройки для автоматичного запуску після перезавантаження комп'ютера і видаляє з диска оригінальний файл. Працюючи всередині довіреної процесу wuauclt.exe, бот зв'язується з центром управління, завантажує і запускає додаткові компоненти. На даний момент виявлено два типи шпигунських компонентів: клавіатурний шпигун і перехоплювач даних форм введення в браузерах, програмах обміну повідомленнями (включаючи Skype) та інших додатках.

Andromeda бот має можливість завантажувати і запускати додаткові шкідливі програми з центру управління. Одна з виявлених програм, що завантажуються з центру управління ботом є троянської програмою на основі легального засоби віддаленого управління комп'ютером, ізестний як Team Viewer.

Як виявити бот Andromeda?

Існує кілька способів виявлення зараження.

1. Не дивлячись на те, що установник бота самовидаляється, операційна система в деяких випадках автоматично створює Prefetch файл з характерним іменем, що містить Skype_update. Тому, наявність файлу C: \ Windows \ Prefetch \ SKYPE_UPDATE.EXE-XXXXXXXX.pf, де X - може бути будь-якою цифрою від 0 до 9 або буквою від A до F, швидше за все свідчить про зараження поточної системи.

Якщо ви виявили у себе такий файл, рекомендуємо відключити поточну систему від мережі і не використовувати до повного очищення або перевстановлення.

2. Поточний бот Andromeda створює копію файлу Skype_update.exe в директорії C: \ Documents and Settings \ All Users \ Local Settings \ Temp \ під різними іменами і прописує її в Автозапуск в системному реєстрі.

Файл генерується, розширення вибирається зі списку виконуваних розширень для Windows (.exe, .pif, .com, .bat, .scr). Виявити троянську програму можна по наявності файлу по шляху C: \ Documents and Settings \ All Users \ Local Settings \ Temp \ msdubmn *.

Крім цього, наявність троянської програми можна виявити по ключу автозапуску в реєстрі: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ 356 чи іншого вказує на виконуваний файл в C: \ Documents and Settings \ All Users \ Local Settings \ Temp \.

Видалення бота Andromeda

Для видалення бота рекомендуємо виконати наступні дії:

* За допомогою Диспетчера Завдань (Task Manager) рекомендуємо зупинити всі процеси з ім'ям wuauclt.exe.

* За допомогою Редактора Реєстру (regedit.exe) видалити параметр HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ 356

* Видалити файли C: \ Documents and Settings \ All Users \ Local Settings \ Temp \ msdubmn *.

* Перезавантажити систему і переконатися, що вилучені файли і ключ реєстру не з'явились знову. Якщо з якихось причин це не дає бажаного, рекомендуємо звернутися до фахівця або перевстановити систему.

II. Бекдор на основі Team Viewer

Троянська програма, яка встановлюється за допомогою інсталятора nsis (Nullsoft Scriptable Install System) в тихому режимі без відображення будь-яких вікон або повідомлень користувача. На даний момент детектується лише двома антивірусними компаніями: Trojan.Radmin.28 (DrWeb), Suspicious file (Panda).

Інсталятор має наступні характеристики:

Ім'я: loin.exe
Розмір: 2384361 байт
MD5: a88937c15d8314dcb0c36ae3580d44da

Інсталятор розпаковує і прописує в автозапуск програму TeamViewer.

TeamViewer - пакет програмного забезпечення для віддаленого контролю комп'ютерів, обміну файлами між керуючою і керованою машинами, відеозв'язку та веб-конференцій. TeamViewer працює на операційних системах Microsoft Windows, Mac OS X, iOS і Linux (в тому числі Android).

Крім прямого з'єднання, доступ можливий через брандмауер і NAT. «TeamViewer GmbH» була заснована в 2005 році в Німеччині. Відповідно до прес-релізів компанії, TeamViewer використовується більш ніж на 15 мільйонах комп'ютерів, що працюють в 50-ти країнах світу. Для більш докладної інформації про TeamViewer см. тут .

Використання TeamViewer для отримання несанкціонованого доступу можливо завдяки наявності шкідливого компонента avicap32.dll, що встановлюється разом з мінімальним набором файлів TeamViewer і змінює роботу легального програмного забезпечення.

Як виявити бекдор TeamViewer?

При установці, бекдор копіює робочі компоненти в директорію C: \ Documents and Settings \\ Application Data \. Наявність файлів tv.cfg, set.exe, TeamViewer_Resource_ru.dll або avicap32.dll в цій директорії свідчить про зараження поточної системи:

Бекдор також прописується в автозапуску. Його можна виявити по параметру в системному реєстрі: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ svchost

Активно працює процес бекдора set.exe виявити в списку процесів за допомогою Диспетчера Завдань або утиліти Process Explorer не вдається. Троянська програма відстежує запущені процеси і при виявленні Діспетера Завдань або Process Explorer тут же завершує свою роботу. Для виявлення її в списку процесів рекомендуємо скористатися іншими програмами перегляду працюючих процесів, наприклад, вбудованої консольної утилітою tasklist.exe, що входить до складу Microsoft Windows починаючи з версії Windows XP. Для цього відкрийте командний рядок і виконайте команду tasklist. Якщо виявите процес set.exe, який пропадає при перегляді за допомогою Диспетчера Завдань, то система заражена.

Як видалити бекдор TeamViewer?

* Відкрийте Диспетчер Завдань і троянська програма сама завершить роботу.

* Видаліть файли tv.cfg, set.exe, TeamViewer_Resource_ru.dll або avicap32.dll з директорії C: \ Documents and Settings \\ Application Data \.

* За допомогою Редактора Реєстру (regedit.exe) видаліть параметр реєстру HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ svchost

* Перезавантажте систему і переконайтеся, що вилучені файли і ключ реєстру не з'явились знову. Якщо з якихось причин це не дає бажаного, рекомендуємо звернутися до фахівця або перевстановити систему.

Слід зазначити, що в директорії C: \ Documents and Settings \\ Application Data \ взагалі не повинно знаходитися жодних виконуваних файлів. Тому при виявленні програм в цій директорії, рекомендуємо ретельно розібратися, що це за програми, або перевстановити систему.