Ай Ком Сервис Записки молодого админа - 17 Июля 2010 - Наш Блог - Ай Ком Сервис
Главная » 2010 » Июль » 17 » Записки молодого админа
18:57
Записки молодого админа
Пару дней назад мне на стенке в контакте один из друзей оставил граффити с сообщением, что он взломал мой аккаунт, т.ж. там была ссылка на сайта vk-****.msk.ru. Ну да... Еще бы... :) Ему я сразу отписал, чтобы полечил себя да пароль сменил. Но вот ссылка меня все же заинтересовала, хотя я точно знал, что это троян (именно он меня и заинтересовал). Решил сходить по этой ссылке. В результате мне предложили скачать программу, которая якобы юзает недавно найденную уязвимость контакта и позволяет взломать любую учетку. В общем поржал немного и скачал эту дрянь :) Уж очень захотелось вспомнить студенческие года, когда изучал вирусы. Да и почитывая блог другана порой накаляет меня - это же как охота на дичь :)
В этом посте опишу этого троя, че делает, как работает, какую диструктивную активность проявляет, как лечить, а так же дам самописную программку для вычистки этой гадости с потрохами. А в конце приведу техническую информацию для IT'шников и исходники вышеупомянутой программки.

Краткое описание
Троянская программа mvk.exe не попадает на компьютер без ведома пользователя, как это бывает с другими. Пользователь сам скачивает и запускает его т.к. думает, что это другая программа (для взлома контакта). Простенькая социальная инженерия :)

Что творит в системе или деструктивная активность
После запуска файла mvk.exe он удаляется, после чего появляется окно, в котором предложено ввести ID юзера "В Контакте". Если ввести любой ID и нажать кнопку, то появляется сообщение, что не возможно получить данные, т.к. уязвимость контакта уже закрыли.
Т.ж. троян создает 3 файла во временной папке пользователя (%TMP%), один ярлык в папке автозагрузки, который запускает файл из %WinDir% (этот файл тоже трой делает) и 1 файл в %System%. Т.е. получается 6 файлов.
В добавок трой изменяет ключ запуска проводника в реестре. И файл hosts.

А теперь конкретнее... Файлы:
%WinDir%\activate.exe
%System%\loio.jho
%TMP%\2.tmp
%TMP%\3.tmp
%TMP%\4.tmp
%StartDir%\Quick Office.lnk

И реестр:
Ветка - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, параметр - Shell, его значение - Explorer.exe rundll32.exe loio.jho soalsv. А должно быть просто - Explorer.exe.

Как лечить
Загрузиться в безопасном режиме (жать F8 после включения компа). Открыть диспетчер задач (Ctrl+Alt+Del или Ctrl+Shift+Esc) и "убить" процесс "activate.exe", если таковой имеется. Потом удалить файлы C:\Windows\activate.exe и C:\Windows\System32\loio.jho, удалить ярлык из папки Автозагрузка (Пуск -> Программы -> Автозагрузка) и удалить все файлы из временной папки пользователя (обычно C:\Documents and Settings\ИМЯ_ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp). Открыть редактор реестра (Пуск -> Выполнить..., ввести regedit и нажать ОК), перейти в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, найти параметр Shell, дважды щелкнуть по нему мышкой и заменить его значение на "Explorer.exe" (без кавычек). Т.ж. нужно перейти в папку C:\Windows\System32\Drivers\etc\, открыть файл hosts в блокноте и удалить из него все строки за исключением "127.0.0.1 localhost".
Категория: Защита и безопасность | Просмотров: 586 | Добавил: Administrator | Теги: удаление вируса, компьютерные вирусы, Компьютеры, удаление трояна, Антивирусы, защита компьютера, троян, вконтакте, ремонт компьютера | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]