English | Русский  

RSS feed

Star Family Blog

|
09/18/2008 17:19

Вирус "XP Antivirus 2008"

Posted by VladStar

Прибежал ко мне юзер - мол, вчера браузил Интернет, потом вылезли окошки антивируса, потом нажал кнопку подтверждения, потом получил BSOD, после чего гугловские ссылки стали вести не на гугл, а на какие-то порносайты и вообще все стало плохо... Ситуация осложнялась тем, что этому юзеру некоторое время назад были даны админские права, соответственно троян в системе мог наделать что угодно. :( И все это при активных Norton Antivirus'е и Windows Defender'е, со всеми последними апдейтами.


Полез разбираться. Действительно, какая-то хрень подменяет прямые гугловские ссылки на какой-то гугловский редирект (go.google.com), ведущий черти куда. Причем у всех юзеров сразу. Нортоновский антивирус нашел и отправил в карантин несколько файлов. MS Windows Defender тоже как-то вяло отрапортовал пару файлов средней вредности - и на этом все. Убитие найденного хозяйства ни разу не помогло, отключение всех плагинов - тоже. Поставленный Ad-aware ничего полезного не нашел. Чистка подозрительных мест registry тоже результата не дала. Полез в Интернет...


Среди всех anti-трам-пам-пам-ware нашлась только _ОДНА_ софтина, убивающий эту хрень с корнями. Имя ей - Malwarebytes' Anti-Malware, спасибо создателям ! Судя по логам - эта хрень инфицируется через какую-то дыру Firefox'а, после чего цепляется к системе в качестве драйвера, а BSOD был обычной эмуляцией скрин-сейвера. :)



Folders Infected:
C:Documents and SettingsuserApplication Datarhcrcfj0eg7v (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantine (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantineAutorun (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantineAutorunHKCU (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantineAutorunHKCURunOnce (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantineAutorunHKLM (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantineAutorunHKLMRunOnce (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantineAutorunStartMenuAllUsers (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantineAutorunStartMenuCurrentUser (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantineBrowserObjects (Rogue.Multiple)
C:Documents and SettingsuserApplication Datarhcrcfj0eg7vQuarantinePackages (Rogue.Multiple)
Files Infected:
C:WINDOWSsystem32blphcvcfj0eg7v.scr (Fake.BlueScreenError)
C:WINDOWSsystem32tdssadw.dll (Trojan.Agent)
C:WINDOWSsystem32tdssl.dll (Trojan.Agent)
C:WINDOWSsystem32tdssserf.dll (Trojan.Agent)
C:WINDOWSsystem32tdssmain.dll (Trojan.Agent)
C:WINDOWSsystem32tdssinit.dll (Trojan.Agent)
C:WINDOWSsystem32tdsslog.dll (Trojan.Agent)
C:WINDOWSsystem32tdssservers.dat (Trojan.Agent)
C:WINDOWSsystem32driverstdssserv.sys (Trojan.Agent)


А Нортону и Майкрософту - мое презренное "фи". Эта хрень бродит по Интернету аж с середины августа, и они до сих не почесались сделать апдейт к антивирям и антиспайварям. :( А юзерам я, пожалуй, права-то поотстреливаю. Ибо нефиг...


Comments: 2 (click here to reply)    Tags: Влад | Компьютеры | Работа


Comments: (add new comment)
(1-2 of 2)
09/18/2008 17:30   nightblade_   reply   thread
Гы. Вчера только ручками вычистил пару подобных гадостей. Такое ощущение, что популярные виндозные антивирусы кроме сжирания ресурсов вообще нихрена не делают.

hijackthis + FAR/DOS Boot + прямые ручки вполне адекватная замена этому всему гимну.
09/19/2008 11:12   VladStar   reply   thread
В том-то и проблема, что hijack в данном случае был бесполезен (я его запускал). Оно ж не в качестве плагина к браузеру зацепилось...
Name:    E-mail:
Your e-mail is required, but never shown to public, allowed tags: <b><i><u><a><img><blockquote><font>
Message:

Subscribe: No    Replies only    All comments   
Answer:

(1-2 of 2)
Statistics: (last 30 days / total)
Public posts: 0 / 994
Comments: 0 / 2110
Spam comments: 0 / 98

Archive:

Tags:

*Объявления* (11)
Dvd (2)
English (2)
Fundraising (1)
Halloween (1)
How-to (6)
KIA (1)
Lego (2)
Linux (5)
Mazda 6 (4)
Oracle db (1)
Outer Banks (5)
VA Beach (1)
Авто (5)
Алкоголь (1)
Америка (408)
Андрей (151)
Аська (1)
Бензин (1)
Бессонница (2)
Бизнес (1)
Бред (3)
Видео (17)
Винда (2)
Влад (159)
Воспоминания (25)
Генеалогия (3)
Годовщина (3)
Дед (5)
Документы (11)
Дом (49)
Доминикана (5)
Дороги (31)
Досуг (47)
Друзья (27)
Еда (3)
Животные (10)
Заправка (1)
Зима (2)
Знакомство (1)
Игры (24)
Интернет (62)
История (4)
Кино (4)
Книги (6)
Компьютер (3)
Компьютеры (69)
Консульство (6)
Конференция (1)
Кофе (1)
Кроссворд (1)
Кулинария (1)
Лена (44)
Лето (1)
Литература (1)
Лифты (1)
Математика (3)
Машины (73)
Медицина (12)
Мексика (1)
Мичиган (1)
Мозаика (1)
Музыка (13)
Налоги (1)
Новости (9)
Новый год (5)
Ностальгия (2)
Океан (1)
Опрос (1)
Отдых (14)
Отпуск (10)
Паспорт (7)
Полиция (1)
Праздники (91)
Природа (94)
Проблемы (7)
Программирование (7)
Псков (6)
Путешествия (56)
Работа (83)
Радио (1)
Радиоэлектроника (5)
Ремонт (6)
Рисование (1)
Робот вася (1)
Рождество (4)
Россия (38)
Русский язык (1)
Ручки (1)
Сатира (1)
Свадьба (3)
Семья (31)
Синклер (1)
Снег (7)
Сны (1)
Софт (2)
Спорт (11)
Ссылки (9)
Стихи (2)
Телевидение (3)
Телефоны (17)
Тесты (2)
Техническое (2)
Финансы (12)
Флорида (2)
Фотография (30)
Хобби (4)
Чай (1)
Часы (1)
Шахматы (4)
Школа (16)
Шопинг (3)
Электроника (5)
Юмор (39)

000004745
Server OS is powered by FreeBSD - http://www.freebsd.org/