Питерское "гнездо" флуда

Плюсик хочешь

В России эпидемия Trojan.Winlock. Заражены миллионы компьютеров.

Эпидемия троянцев семейства Trojan.Winlock набирает обороты, говорится в сообщении компании «Доктор Веб», российского разработчика средств информационной безопасности. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.



Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).



С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).



Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.



В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.



Итог заражения вирусом Trojan.Winlock – появление при загрузке Windows сообщения: Отправить SMS.

Система не загружается ни в каком режиме, в том числе и безопасном, переключиться на диспетчер задач невозможно. Компьютер становится неработоспособен.



Диагноз.


Часть 1. Дня три назад мне пришло по “одноклассникам” письмо от моего доброго друга, со ссылкой – типа, глянь. Доверяя сайту и своему другу – я прошел по ссылке, которая, как выяснилось, была просто “разводиловом” на деньги. Судя по всему, вирус Trojan-Downloader.Win32.Small.jls я там и подхватил (сказался низкий уровень защиты Internet Explorer, выставленный мной для работоспособности Siebel CRM). Вот похожий опыт, по данным антивирусного форума. На мое удивленное письмо друг ответил, что это хакеры взломали его пароль на “одноклассниках” и шлют спам. Пока на том я и успокоился.



Часть 2. Загруженный, по-видимому, червь (не опознаваемый еще антивирусом) закачал Trojan.Winlock и запустил его. Все защиты одновременно сработали, но ничего полезного не сделали – комп завис, пришлось его перезапускать. После перезапуска – получил то самое окно, что изображено выше…

Выводы.

Ситуация серьезная. Подхватить заразу можно, зайдя практически на любой сайт. Ни антивирус, ни файрволл помочь не смогли. Снять вирус без специальных ухищрений (описаны ниже) невозможно.



Удаление вируса вручную.
Для того, чтобы что-то сделать, необходимо заранее “подстелить соломки”. А именно – завести себе загрузочный CD, (Скачать Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.



Далее – дело техники:
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin – это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll – это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp – там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки “праздника” из реестра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска “servises.exe”
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ “C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe” и убрать лишнее, то есть должно быть так: “C:\\WINDOWS\\system32\\userinit.exe”



Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности браузера. В частности данные вирусы, как предполагается, проникают через исполнение javascript. Хотя тут дело тонкое – его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.



Чего ни в коем случае не нужно делать
1. Высылать СМС – то есть платить деньги злоумышленникам
2. Переходить по сомнительным ссылкам, даже полученным от друзей
3. Открывать непонятные файлы, даже полученные от друзей