Вирусы, вирусы, вирусы…

Алексей Комолов (С.-Петербург)

Вирус netprotocol.exe

Netprotocol.exe – это вирус, с помощью которого хакер может получить доступ и управление к вашему зараженному компьютеру. Он выглядит как обычный исполняемый файл-приложение с расширением *.exe к ОС Windows. Объем занимаемой памяти составляет в упакованном виде 89088 байт, в распакованном – 181 килобайт, при этом чем он упакован — неизвестно.

Вирус написан на языке C++.
Официальное название данного вируса: BackDoor.Butirat.21

В вирусную базу Dr.Web был добавлен еще 26 июня 2011 года, но, как вы понимаете, он до сих пор актуален.

Вирус для обеспечения своей автозагрузки и распространения изменяет в реестре в ветке HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Run строку ‘Netprotocol’ = ‘%APPDATA%netprotocol.exe’

Вредоносная функция заключаются в создании и запуске: %APPDATA%netprotocol.exe

Создает файлы %APPDATA%System.log и %APPDATA%netprotocol.exe.

Удалить netprotocol.exe можно несколькими способами, в зависимости от ОС, которую вы используете.

Если у вас установлена ОС Windows XP, то проделайте следующее.

Перезагрузитесь и во время загрузки компьютера нажмите клавишу F8 – появится меню с выбором способа загрузки компьютера. Выберите “Безопасный режим” и жмите Enter.

Когда компьютер загрузится, идите в Пуск > Выполнить, в открывшемся окне введите: regedit и жмите ОК – вы попадете в редактор реестра. Тут проследуйте в ветку HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Run и удалите строки conime32.exe и netprotocol.exe.

Затем проследуйте в ветку HKEY_LOCAL_MACHINE > Software > Microsoft > и удалите строку Netprotocol.

Далее откройте любую папку и идите в верхнее меню Сервис > Свойства папки > вкладка Вид. Прокрутите полосу прокрутки в самый низ, отметьте пункт “Показать скрытые файлы и папки” и жмите ОК. Затем идите в папку С: > Documents and Settings > *Имя пользователя* > Application Data. Тут необходимо удалить 3 файла: system.exe, netprotdrvss.exe и netprotocol.exe.

Затем идите в папку: С: > Windows > system32 и тут удалите 2 файла: netprotdrvss.exe и netprotocol.dll.

Перезагрузите компьютер и загрузитесь в обычном режиме.

Кстати, если в каталоге Application Data файл netprotocol.exe не удаляется, а Windows выдает сообщение: “Не удается удалить. Нет доступа. Диск может быть переполнен или защищен от записи, либо файл занят другим приложением”, то воспользуйтесь программой Unlocker – она удаляет то, что не удается удалить стандартными средствами.

Если у вас установлена ОС Windows Vista или ОС Windows 7, то вам надо сделать следующее. Перезагрузите компьютер, до загрузки заставки Windows жмите клавишу F8 и “безопасный режим” до момента появления меню выбора вариантов загрузки.

Когда компьютер загрузится, идите в Пуск > Выполнить, в открывшемся окне введите: regedit и жмите ОК – вы попадете в редактор реестра. Идите в ветку HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Run/ Тут удалите строки conime32.exe и netprotocol.exe.

Затем идите в ветку реестра HKEY_LOCAL_MACHINE > Software > Microsoft >
и удалите строку Netprotocol.

Теперь откройте любую папку и идите в верхнем левом углу в меню Упорядочить > Параметры папок и поиска > Вид, тут передвиньте полосу прокрутки вниз, отметьте пункт “Показать скрытые файлы и папки” и жмите ОК.

Далее идите в C: > Пользователи > *Имя пользователя* > AppData > Roaming. Тут удалите 3 файла: system.exe , netprotdrvss.exe и netprotocol.exe.

Затем идите в папку С: > Windows > system32 и тут удалите два файла: netprotdrvss.exe и netprotocol.dll.

Перезагрузите компьютер и загрузитесь в обычном режиме.

Также можно написать скрипт для удаления netprotocol.exe с помощью AVZ.
Для этого запустите AVZ, идите в меню Файл > Выполнить скрипт и вставьте туда, скопировав, следующий скрипт:
begin
ShowMessage(‘Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.
‘+#13#10+’После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме’);
ExecuteFile(‘net.exe’, ‘stop tcpip /y’, 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(‘C:Documents and SettingsUserApplication Datanetprotocol.exe’,»);
DeleteFile(‘C:Documents and SettingsUserApplication Datanetprotocol.exe’);
RegKeyParamDel(‘HKEY_CURRENT_USER’,’SoftwareMicrosoftWindowsCurrentVersionRun’,’Netprotocol’);
RegKeyStrParamWrite(‘HKEY_CURRENT_USER’,’SoftwareMicrosoftWindowsCurrentVersionRun’,
‘AutoCreateQuarantine’, ‘»‘ + GetAVZDirectory + ‘avz.exe’ + ‘»‘ + ‘ Script=’ + ‘»‘ + GetAVZDirectory +
‘Script.txt’ + ‘»‘);
AddLineToTxtFile(GetAVZDirectory + ‘Script.txt’, ‘begin’+#13#10+’ CreateQurantineArchive
(GetAVZDirectory’ + ‘ + ‘ + Chr(39) + ‘quarantine.zip’ + Chr(39) + ‘);’+#13#10+’
RegKeyParamDel(‘+Chr(39)+
‘HKEY_CURRENT_USER’+Chr(39) + ‘, ‘ +Chr(39)+’SoftwareMicrosoftWindowsCurrentVersionRun’
+Chr(39)+ ‘, ‘+Chr(39)+’AutoCreateQuarantine’+Chr(39)+’);’+#13#10+’ ExecuteFile(‘+Chr(39)+
‘explorer.exe’+Chr(39) + ‘, ‘ +
‘GetAVZDirectory, 1, 0, false);’+#13#10+’ ExitAVZ;’+#13#10+’end.’);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard(‘SCU’,2,3,true);
RebootWindows(true);
end.

Жмите “Запустить”.

Вирус Tilon, созданный на основе трояна Silon

По сообщению в блоге Trusteer, эксперты антивирусной компании обнаружили троянское приложение Tilon, созданное на базе вируса Silon, ставшего известным в 2009 году из-за функции обхода двухфакторной аутентификации.

Как и его предшественник, троян Tilon ориентирован на хищение учетных данных пользователей систем дистанционного банковского обслуживания и прочей финансовой информации. Кроме того, вирус способен скрыть свое присутствие на системе от большинства современных антивирусных продуктов.
Троянская программа использует так называемую MitB-технологию (Man in the Browser – человек в браузере): вирус внедряется в программное обеспечение, после чего берет под свой контроль весь трафик, проходящий между web-обозревателем пользователя и web-сервером.

Tilon имеет внушительный список поддерживаемых основных браузеров: Microsoft Internet Explorer, Mozilla Firefox, Google Chrome и, возможно, другие.

Tilon выделяется среди подобных ему Zeus, SpyEye и Shylock своим механизмом, позволяющим избежать обнаружения и удаления. При заражении системы троян встраивается в один из легитимных процессов системы и восстанавливает исполняемый файл в случае его удаления в течение нескольких секунд.

Кроме того, вредоносная программа намеренно некорректно устанавливается на виртуальную машину, что, в свою очередь, затрудняет изучение трояна.

Бэкдор Bafruz удаляет антивирусы с компьютера

Компания Microsoft обнаружила «уникальный» бэкдор Win32/Bafruz: он устанавливает P2P-соединения с другими зараженными компьютерами, управляется через C&C-серверы, оснащен несколькими вредоносными модулями. Различные модули Win32/Bafruz обладают разными возможностями: копирование паролей от сетей Facebook и «Вконтакте», осуществление DDoS-атак, майнинг Bitcoin, скачивание дополнительные модулей с удаленного сервера и т.д. Но самое интересное: он способен отключать антивирусные программы и файрволы.

Программа действует следующим образом: при инфицировании компьютера она показывает фальшивое сообщение якобы от антивируса о нахождении вредоносного ПО. В отличие от других фальшивых антивирусов, здесь не блокируются файлы и не требуется отправить платную SMS. Злоумышленники хотят только, чтобы вы перезагрузили компьютер по нажатию кнопки Remove.

После этого начинается основное действие: после нажатия Remove, компьютер перезагружается в безопасном режиме, в котором Bafruz удаляет из системы компоненты антивирусов. Удаление антивирусов и файерволов осуществляется по списку, который присутствует в коде Bafruz.

По окончании загрузки вредоносная программа демонстрирует пользователю сообщение, что компьютер теперь работает в режиме «улучшенной защищенности».

Шпионская программа Shamoon стирает MBR, чтобы замести следы

Антивирусные компании разоблачили очередную таргетированную атаку, на которую неизвестные злоумышленники потратили немало сил, времени и денег. Новому трояну дали название Shamoon, по названию папки, прописанной в исполняемом файле — C:ShamoonArabianGulfwiperreleasewiper.pdb.

«Лаборатория Касперского» присвоила трояну название Trojan.Win32.EraseMBR и Trojan.Win64.EraseMBR.

Троян скрывает свою работу от антивирусов и собирает информацию на зараженном компьютере, что выглядит весьма тривиально. Как обычно для таких таргетированных атак, малое количество зараженных машин гарантирует вирусу достаточно долгий срок работы, прежде чем сигнатура попадет в антивирусные базы данных.
В случае с Shamoon внимание исследователей привлек факт, что программа имеет функциональность стирать файлы и перезаписывать загрузочную область диска (MBR). Это выглядит очень странно, но специалисты из «Лаборатории Касперского» напомнили, что точно такие же странные инциденты со стиранием файлов были зарегистрированы в Иране. После расследования вредоносной программы Wiper обнаружился пресловутый Flame.

На этом аналогии не заканчиваются. Шпионская программа Shamoon тоже занимается сбором документов на зараженных компьютерах и отправляет их на внутренний IP-адрес внутри локальной сети, чтобы не привлекать внимание к своей подозрительной активности. Примерно так же работал и Flame. В общем, авторы такого рода программ заимствуют друг у друга продвинутые методы маскировки шпионского ПО.

Шпион отправляет пакеты на внутренний IP-адрес 10.1.252.19. Вероятно, там находится прокси-сервер, который уже связывается напрямую с C&C-сервером.

Что же по поводу стирания файлов и перезаписи MBR, то это может быть просто операция по удалению следов своей активности, которую троян выполняет после сбора данных.

Сертификат драйвера, который стирает MBR, подписан компанией EldoS Corporation, как сказано у них на официальном сайте, компания ставит целью «давать людям уверенность относительно безопасности и цельности своей конфиденциальной информации».

В данный момент специалисты не могут сказать, против кого была нацелена атака. «Лаборатория Касперского» говорит, что у них есть всего два образца Shamoon, да и те от специалистов по безопасности, и ни одного факта реальных заражений. С другой стороны, Websense сообщает, что пострадала как минимум одна компания из энергетического сектора, а проактивное детектирование Shamoon/DistTrack началось с 13 декабря 2010 года.

Червь Dorifel шифрует файлы Word и Excel

Антивирусные компании предупреждают об эпидемии нового червя Dorifel, который шифрует документы Word и Excel.

Вирус обнаружили сначала на территории Нидерландов, потом он появился и в Германии. Вполне возможно, что эпидемия охватит и другие страны. Dorifel распространяется различными путями, в том числе в приложениях по электронной почте. Говорят, что в Нидерландах он буквально «парализовал работу коммерческих компаний и государственных организаций».

Вредоносная программа занесена в сигнатурные базы как Trojan-Ransom.Win32.Dorifel (Emsisoft) или Worm.Win32.Dorifel (Kaspersky). «Лаборатория Касперского» предупредила об угрозе еще 10 августа.

Исследователи «Лаборатории Касперского» внимательно изучили сервер, с которого Dorifel скачивает вредоносные модули и обнаружили, что он неправильно сконфигурирован, так что есть возможность посмотреть файлы в некоторых разделах сервера. Они с удовольствием воспользовались этим шансом и обнаружили на сервере много интересного, в том числе новый тип Java-эксплойта (теперь он классифицирован как Exploit.Java.CVE-2012-0507.oq и Exploit.Java.Agent.hl), фальшивый антивирус (Trojan-FakeAV.Win32.SmartFortress2012.ctq), лог-файлы с финансовой информацией: номерами кредитных карт, CCV и именами, статистику заражений Dorifel, веб-инжекты для фишинговых сайтов, административные панели для наборов эксплойтов.

Антивирусные компании предупреждают, что червь Dorifel распространяется не в одиночку, а с целым набором других вредоносных программ. Признаком заражения является сетевой трафик на IP-адреса 184.82.162.163 и 184.22.103.202.

Троянец BackDoor.IRC.Codex.1 ворует пароли FTP-клиентов и участвует в DDoS-атаках

Вредоносная программа BackDoor.IRC.Codex.1 запускает на инфицированной машине загруженные из Интернета файлы, участвует в DDoS–атаках и ворует пароли от популярных FTP-клиентов и данные веб-форм. Троянец функционально похож на другую популярную вредоносную программу, BackDoor.IRC.Aryan.1, заразившую большое число пользовательских компьютеров по всему миру.

Как и его предшественники, BackDoor.IRC.Codex.1 использует для координации своих действий технологию IRC (Internet Relay Chat) — протокол, предназначенный для обмена сообщениями в режиме реального времени. Запустившись на компьютере жертвы, троянец ищет в памяти и удаляет процесс командного интерпретатора Windows (cmd.exe), после чего сохраняет свою копию в одной из папок и модифицирует реестр Windows, прописывая путь к месту расположения исполняемого файла в ветвь, отвечающую за автоматическую загрузку приложений. При этом BackDoor.IRC.Codex.1 постоянно следит за состоянием этой ветви реестра и восстанавливает необходимые значения в случае их удаления.
После запуска BackDoor.IRC.Codex.1 выполняет ряд манипуляций, направленных на противодействие анализу этой вредоносной программы: троянец ищет в памяти инфицированного компьютера процессы некоторых отладчиков, а также определяет, не запущен ли он в виртуальной машине. Также троянец проверяет наличие себя в операционной системе, сравнивая папку, из которой он был запущен, с директорией, в которую он сохраняет собственную копию. Затем BackDoor.IRC.Codex.1 встраивает собственную процедуру во все активные процессы, а также запускает ее в виде отдельного потока в собственном процессе.

Эта вредоносная программа обладает достаточно развитым функционалом: она способна загружать с удаленного сервера и запускать на инфицированном компьютере различные приложения, принимать участие в DDoS-атаках, передавать злоумышленникам информацию, вводимую пользователем в веб-формы, и красть пароли от популярных FTP-клиентов.

Первый в истории троянец для Linux и Mac OS X, похищающий пароли

Компания «Доктор Веб» сообщает о появлении первого кросс-платформенного бэкдора, способного работать в операционных системах Linux и Mac OS X. Эта вредоносная программа предназначена для кражи паролей от ряда популярных интернет-приложений. BackDoor.Wirenet.1 — первый в своем роде троянец с подобным функционалом, способный одновременно работать в этих операционных системах.

Механизм распространения этого троянца, добавленного в вирусные базы Dr.Web под именем BackDoor.Wirenet.1, еще выясняется. Данная вредоносная программа является бэкдором, способным работать как в операционной системе Linux, так и в Mac OS X.

В момент запуска BackDoor.Wirenet.1 создает свою копию в домашней папке пользователя. Для взаимодействия с командным сервером, расположенным по адресу 212.7.208.65, вредоносная программа использует специальный алгоритм шифрования Advanced Encryption Standard (AES).

BackDoor.Wirenet.1 обладает функционалом кейлоггера (т. е. способен фиксировать нажатия пользователем клавиш и отправлять полученные данные злоумышленникам), кроме того, он крадет пароли, вводимые пользователем в браузерах Opera, Firefox, Chrome, Chromium, а также пароли от таких приложений, как Thunderbird, SeaMonkey, Pidgin. Антивирусное ПО производства компании «Доктор Веб» успешно распознает и удаляет этот бэкдор, в связи с чем данная угроза не представляет серьезной опасности для пользователей Антивируса Dr.Web для Mac OS X и Антивируса Dr.Web для Linux.

Вирус Frankenstein использует легитимное ПО пользователей против них

Согласно сообщению исследователей информационной безопасности Вишвоса Мохана (Vishwath Mohan) и Кевина Хамлена (Kevin Hamlen) из Университета штата Техас в Далласе, им удалось создать вредоносное приложение способное избегать обнаружения неизвестным ранее способом.
Вирус, получивший название Frankenstein, способен постоянно модифицировать свою структуру за счет «кусков» кода имеющихся на системе приложений, которые распознаются антивирусами как легитимные.

По словам экспертов, это заметно затрудняет работу «функционала по определению вредоносного ПО с помощью сигнатур».
«Предварительный анализ показывает, что обнаружение всего нескольких программ на системе позволяет вирусу надежно защититься», — следует из доклада исследователей.

Отметим, что работа Мохана и Хамлена частично финансировалась управлением научных исследований ВВС США. Кроме того, достижения Frankenstein были представлены в двух докладах на семинаре USENIX Workshop on Offensive Technologies.

Поддельные уведомления от PayPal содержат троян

Компания Webroot сообщает о кибератаке, нацеленной на пользователей платежной системы PayPal. Злоумышленники рассылают потенциальным жертвам письма электронной почты, в которых их уведомляют о получении платежей на сумму $208. Однако в письме не указывается, за какие услуги или товары был проведен платеж.
Стоит отметить, что письмо содержит в себе вложенный файл, в котором якобы содержится подробная информация об осуществленном платеже.

На самом деле вложенный файл содержит троянскую программу. Вредонос распознается практически всеми антивирусными программами.

Отметим, что это уже не первый случай, когда злоумышленники используют Paypal для осуществления преступной деятельности. В частности, в мае текущего года мошенники рассылали пользователям спам-письма, которые содержали ссылки на web-ресурс с двумя Java сценариями, которые перенаправляют жертв на вредоносный сайт, содержащий набор эксплоитов.

Microsoft сообщает о новом семействе рекламных вирусов

Корпорация Microsoft сообщает о новом семействе вирусов Medfos, которое последние несколько месяцев активно распространяется во всем мире. Medfos для инфицирования системы обычно использует компонент загрузчика, который распространяется несколькими отдельными способами. Так, злоумышленники часто используют взломанные web-сайты для переадресации пользователей на страницы с эксплиоитами, а также обращаются к владельцам уже развернутых бот-сетей и загружают вирус на скомпрометированные ранее системы.

Загрузочный компонент Medfos устанавливается в каталог %AppData% и добавляет свои записи в системный реестр для усложнения его детектирования.

После первичной установки вируса на систему с командного сервера загружается и устанавливается дополнительный компонент. Основная задача этого компонента, как и всего вируса в целом, состоит в подмене результатов поиска в интернете.

Для выполнения своей функции Medfos встраивается в работу web-обозревателей, и может делать это различными способами. Так, основной модуль вируса может внедряться в процесс Internet Explorer, что не позволяет пользователю определить вредоносную активность. В остальные браузеры, например, Mozilla Firefox, вредоносная программа вставляет собственный плагин, который на первый взгляд выглядит легитимным и выполняет полезные функции.

Если пользователь зараженной системы отправляет поисковый запрос одной из популярных поисковых систем, командный сервер получает данные как о содержимом этого запроса, так и об используемой поисковой системе. После этого система пользователя переходит по URL адресу, который присылает C&C сервер.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *