compcapital

Меню сайта

Новости почтой

Хотели бы вы получать уведомления о новостях сайта по почте?

Ваш e-mail:

Сделай сам

Диски и файлы

Windows 7

Нужно знать

Форма входа

Поиск

Мы ВКонтакте

Создать сайт

Защита компьютера


Всесторонняя защита от интернет-угроз

Защитите ваш домашний компьютер от всех современных интернет-угроз.

Простое и надежное решение для защиты домашнего компьютера

Игровая площадка

Раздор

Rail Nation

Neverwinter

Войны престолов

Еще больше игр

Прокачай мобилу


Статистика


Онлайн всего: 1
Гостей: 1
Пользователей: 0
Главная » 2012 » Август » 30 » Охота на Trojan Mayachok 1
06:04
Охота на Trojan Mayachok 1


Здравствуйте, дорогие друзья!

О том, что такое «троян» (или «троянец») вы, надеюсь, знаете: это не персонаж из древнегреческих мифов, а вполне реальный (хоть и виртуальный) негодяй, поражающий вашу «железяку». Мир «троянцев» весьма разнообразен. Вот об одном из таких «троянцев» мы и поговорим сегодня: как идентифицировать, найти и удалить. Итак!

Однажды, теплой летней ночью, я, как обычно, «зашел» в Интернет, с целью «пошариться» и потрепаться о том о сем с друзьями. Нажав в «Закладках» нужную веб-страничку я стал терпеливо дожидаться её появления. Но прождав целых две секунды (с ума сойти, как долго), я, с удивлением, лицезрел сообщение, что данный ресурс недоступен! Ну, бывает: какая-то там профилактика, то, сё. Но каково же было мое изумление, когда при попытке войти на страницы любых сайтов я неизменно терпел фиаско: ни фига вообще не грузилось и везде было одно и то же сообщение — о недоступности ресурса!

Самое интересное было в том, что и «аська» и «скайп» — работали на «ура»! Антивирус молчал как рыба об лед и всё время чего-то там подгружал. Почесав свою «репу», я стал думать думу: это что же такое?! Ясный пень, что раз «антивирь» молчит, страницы не грузятся, а скайп с «тетей асей» пашут, то дело в вирусах или «троянцах». Будем искать.

Обычные методы лечения проверенными антивирусами с последними базами не помогли. При каждой перезагрузке системы выдается сообщение об обнаружении в памяти Trojan.Mayachok.1 Интернет работает "не корректно". Браузеры тормозят, падают, отказываются загружать страницы. При посещении популярных ресурсов можно увидеть одну из подставных страниц





Как работает Trojan Mayachok 1

Запустившись на компьютере-жертве, вирус первым делом создает себя в виде файла dll в директории System32. Имя для себя подбирает согласно серийному номеру текущего тома. При таком грамотном подходе на каждой машине его имя будет уникальным. Но абсолютно точно можно выделить, что его имя состоит из 6-7 латинских символов, а размер 58-64 Кб. Далее вирус копирует себя в папку временных файлов под именем flash_player_update.exe и запускает этот файл каждые 10 секунд. Затем вносит себя в автозагрузочный сектор реестра и перезагружает компьютер. Кстати, этот последний штрих, наверное, повидал немало изумленных глаз пользователей. Как часто вы наблюдаете ни с того, ни с сего штатную перезагрузку компьютера? После перезагрузки Trojan Mayachok 1 продолжает свою гнусную деятельность. Первым делом создается конфигурационный файл по адресу C:/Documents and Settings/All Users/Application Data/cf (размер 2 Кб). В этом файле хранятся сведения о том, как дурить пользователей, что им подсунуть вместо популярных сайтов, которые они, вероятно, захотят открыть. А перечень этих сайтов достаточно велик. Вообще, назначение вируса Trojan Mayachok 1 сугубо материальное, создатели просто хотят развести пользователей, подписав на платную услугу, и делают это довольно хитро. одна страница Ростелеком чего стоит. Вообще, присутствие негодника просто нельзя не ощутить, машина заметно тормозит. В особенности это касается доступа в интернет. Браузеры неистово чудят в присутствии Trojan Mayachok 1. Как ни странно, стабильнее всего себя показал Internet Explorer. Он мог прогружать некоторые сторонние страницы. Именно через него мне удалось найти информацию о том, как победить негодяя. Опера и Мозилла выдавала ни что иное, как исходный код страницы, которую якобы надо построить в окне браузера, но этого почему-то не происходит. Google Chrome и вовсе спотыкался, падал, страницы не грузил вообще. В последствии, когда вирусу надоели попытки прогрузить кое-какие страницы, он вывел подмененную страницу Ростелеком. Текст весьма забавный и на лицо подвох:



Как удалить Trojan Mayachok 1

Сперва о трудностях. Они состоят в том, что некоторые антивирусы к нему не готовы. Возможно мое заражение пришлось на начало волны. Не важно. Факт в том, что ESET не обнаружил ничего. Доктор Веб находил вирус под именем Trojan Mayachok 1 и даже приписывал ему статус "Обезврежен". Вот только что обезвредил Доктор Веб не понятно, ибо вирус как гулял, так гуляет, прикрываясь за всеми запущенными процессами. Кстати, это его интересная фишка, из-за чего его тяжело обнаружить. Создается иллюзия, что Trojan Mayachok 1 заразил каждый запущенный процесс. В действительности это не так. Ведь этот зловред представляет из себя динамическую библиотеку (DLL файлик), он подгружается в адресное пространство всех запущенных процессов. Поэтому, антивирусы, сканирующие системные процессы натыкаются на него в разных местах, и ничего не могут сделать. Хотя сейчас, по заверению компании Доктор Веб, их продукты прекрасно справляются с вирусом Trojan Mayachok 1. В обычном режиме вирус блокирует работы некоторых программ и запустить что-то достаточно сложно, зато в безопасном режиме - милое дело. Можно запуститься в безопасной режиме, натравить на зловреда Dr Web CureIt и выжидать, пока "кот отыщет мышь". Теперь рассмотрим способы удаления Trojan Mayachok 1 без использования антивирусов, используя только голову и знания.

Как самому удалить Trojan Mayachok 1

Перво-наперво определимся, что мы знаем о вирусе Trojan Mayachok 1
Его динамическая библиотека хранится в директории System32. Ее имя из 6-7 латинских символов и весит примерно 58-64 Мб. Файлик DLL.
Знаем, что его конфигурационный файл сидит по адресу C:/Documents and Settings/All Users/Application Data/cf (кстати, Apllacation Data - скрытая папка).
У него есть фрагменты во временных файлах.
Он вносит изменения в загрузочную область реестра Теперь посмотрим, как можно все это использовать.

Способ 1

Поскольку нападение на меня пришлось в самое начало. К тому моменту Доктор Веб только выпустила некоторые сведения где предположительно сидит Trojan Mayachok 1 и где его конфигурационный файл. Я поступил очень просто. Зашел в директорию System32, упорядочил значки по дате создания и двинулся вниз списка. Внизу в глаза бросилось все пара файлов, созданных якобы сегодня. Один из них - тот самый зловред - файлик DLL. В моем случае он имеет название kxwoolh.dll (даже сохранил на память). У людей встречалось имя tvhihgf.dll. В обычном режиме его переместить не удалось, защищается подлец. Зато в безопасном режиме - без проблем. Файлик банально перемещаешь, затем перегружаешься и все - дело в шляпе. Рекомендуется сразу после загрузки отправиться к файлу hosts и посмотреть не подделан ли он, а также грохнуть конфигурационный файл. К слову, файл flash_player_update.exe во временных файлах (да и вообще везде) я так и не нашел. И поиском его разыскивал. Интересно было, где он. Но не нашлось ничего.

Способ 2

Идем в «Редактор реестра»: «Пуск» — «Выполнить». В поле «Открыть» пишем команду regedit и давим клавишу «Ок» (или «Ввод»). Попадаем в реестр системы. Там ищем «ветку» вот с такими данными: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Нашли? Хорошо. Кликаем на папку Windows и открываем её. Теперь вы видите на правой стороне окна список параметров. И там есть вот такой параметр: AppInit_DLLs. Это именно то, что вам необходимо! Наводим на него курсор и кликаем два раза левой кнопкой мышки. Вы откроете небольшое окошко «Изменение строкового параметра». В этом окошке будут два поля — «Параметр» (в этом поле будет стоять параметр AppInit_DLLs) и «Значение». Внимание: в поле «Значение» будет прописан некий файл, примерно такого вида — trethiuerht.dll. (или как сказано выше) Возьмите лист бумаги и запишите его точное название! Теперь просто удалите этот файл из поля «Значение» (сотрите его и всё). Внимание: параметр AppInit_DLLs удалять ни в коем случае нельзя! Повторяю: очищаем только поле «Значение»! Жмите на «Ок» и перезагрузите компьютер.

Как только система загрузится — идем «Пуск» — «Поиск» и вписываем поисковик название того файла, который вы стерли из строки «Значение» (то есть — вот этот: trethiuerht.dll). Жмем «Найти» и ждем, пока поисковик закончит поиск. Файл trethiuerht.dll находится в системной папке system32. Как только поисковик отыщет его — удаляйте этот файл! Если рядом с файлом trethiuerht.dll будут файлы типа .tmp и с похожим названием — их тоже отправляйте в виртуальный ад! Перезагружаем систему и пробуем войти на сайты: «троянец» Trojan.Mayachok.1 побежден и сайты снова рады вас видеть!

Удачи и до новых встреч!

Категория: Безопасность | Просмотров: 2175 | Добавил: Алексей | Рейтинг: 0.0/0

Видеокурсы для самостоятельного обучения

Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]