Winlock`еры, из личного опыта

автор Mechar Вт Мар 08, 2011 1:54 pm

Статья перепечатана "как есть"
с форума Bit-Team, автор John Black.
Пусть именно она служит основой для будущей темы.

Хочу поделиться опытом борьбы с Winlock`ерами, с которыми мне приходилось сталкиваться лично. Может кому-то поможет. А вообще можно организовать в этой теме копилку народной мудрости))) Кто с какими сталкивался и как боролся.
Для начала определение:
Trojan.Winlock - вредоносная софтина, которая блокирует работу пользователя и требует от него отправить СМС на такой-то номер, чтобы получить лекарство - код на разблокировку. СМС конечно отправлять никуда не надо - на это и рассчитано, чтобы бабульки с вашего счёта снять.

Случай первый.
Сижу как-то дома никого не трогаю и тут звонок. Звонит знакомая и рассказывает, что зашла она в Интернет, на Одноклассниках полазить, а у неё окошко на весь экран. В окошке написано, что мол Винда у вас не лицензионная, поэтому работа её заблокирована, отправьте СМС на такой-то номер и вам придёт код разблокировки. И подпись - Microsoft Corporation)))) Удивился я тогда, подумал иш дочего борьба с пиратством дошла. Ладно поехал посмотреть. Приезжаю - действительно окошко на весь экран, ничего делать не даёт. Попробовал в безопасном режиме загрузиться - получилось. Далее run->msconfig, смотрю чего в автозагрузке прописано. Ага - откуда-то взялся второй ctfmon.exe
Цитата
Ctfmon.exe управляет технологиями альтернативного ввода данных. Он запускает языковую панель в системной трее при старте операционной системы, и работает в фоновом режиме даже после закрытия всех программ пакета Microsoft Office, независимо от того, запускались ли программы Office XP. (определение с http://www.securitylab.ru)
Вот только путь к нему ни как положено - C:\Windows\System32\, а просто - C:\Windows\. Ну всё понятно, грохнул этот файлик, убрал с автозагрузки. Затем почистил систему антивирусом и всё заработало)
Такая вот борьба с пиратством)))
Но было это годика 2 назад, потому так просто всё получилось. На данный же момент Lock`еры повзрослели - научились лучше прятаться, лучше блочить, вобщем стали настоящей заразой, от которой ни так просто избавиться. С одним из таких зверей мне и пришлось столкнуться буквально на днях.

Случай второй.
У знакомых залочился комп - ничего не даёт делать это окошко. Попробовал как и в первом случае перезагрузиться в безопасном режиме и поискать в автозагрузке, но нет - и в безопасном режиме то же окно (теперь уже с надписью, что вы мол неправильно вели себя в Интернете за это вас заблокировали, отправьте СМС на номер и будет вам счастье). Что делать?
По-пробовал просканить систему с загрузочного диска от Касперского - тишина (правда скачивал образ где-то месяц назад - возможно устарели базы, потому и не нашёл).
И тут я вспомнил, что как-то читал в журнале Хакер за апрель 2010 года статью о борьбе с такой заразой (кстати статью рекомендую всем). Так вот, описывался там способ как зараза прописывается в системе, что загружается раньше всех. Оказывается если в реестре, в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit, после ...userinit.exe через запятую прописать путь к программе, то эта программа будет запускаться раньше explorera (интерфеса).
Загружаюсь с загрузочного диска ERD Commander, запускаю редактор реестра и точно - после пути к userinit.exe, через запятую, прописан такой-же путь C:\Windows\system32\ только в конце указан файл не userinit.exe, а usrinit.exe. Ну дальше дело техники - убрал из ключа то, что было после запятой, удалил usrinit.exe, все ссылки и записи в реестре на него, перезагрузился - всё работает.

Кстати загрузочный от Касперского мне всё-таки пригодился. Такая же ситуация как и во втором случае была. Касперский обнаружил эту софтину сразу ну и соответственно грохнул её. Правда комп после входа в систему сразу же выключаться стал - троян был пакостливый))) Но и эта проблема решилась - загрузился с диска ERD Commander и восстановил системные файлы.

Ну вот пожалуй и всё. Звиняйте если коряво - первый раз так много написал)

автор Mechar Вт Мар 08, 2011 3:44 pm

Ну что сказать... Подавляющее большинство пользователей всё-же именно те, кто просит помощи в борьбе с проблемой, а не устраняет её самостоятельно... Можно лишь порекомендовать что-то, что немного поможет таким от бедолагам - за счёт которых кстати и живут те самые вирусописаки.

Итак... Во-первых, далеко не только Каспер (Kaspersky Antivirus) способен на обнаружение и уничтожение нечисти. В пику ему так-же стоит по-моему вспомнить и тот-же NOD32, и уж никак нельзя обойти внимание "заклятого друга" нашего Каспера, антивирус Доктор Веб (Dr. Web).
Стоит напомнить и то, что ни один антивир не даёт защиту на 100%, хотя-бы потому что СНАЧАЛА пишутся вирусы, а уж ПОТОМ (под эти самые вирусы) создаются и обновляются антивирусные сигнатуры. Как правило между этими событиями даже при идеальных условиях существует разрыв во времени, в течении которого вирус делает практически что угодно.

Во-вторых, антивирусы как правило не тормозят троянец "на лету", а начинают его поиск и удаление уже после его попадания в Вашу систему. Что тоже чревато.
Куда лучшими характеристиками на этот счёт обладают "связки" программ типа "антивирус + файрволл" или "антивирус + антивирус" (в последнем случае два разных, хотя есть ощутимые проблемы с их "взаимопониманием").
На первом варианте остановимся подробнее.

Что делает антивирус?.. Это киллер, постоянно прочёсывающий Ваши и вновь поступающие файлы на предмет их опасности для Вашей системы. В случае обнаружения угрозы заражения со стороны некого(-их) файла(-ов), он ведёт себя как потенциальный хирург: или лечит - если может - или уничтожает файл.

Что делает файрволл?.. Это точное соответствие переводу (Firewall - противопожарная перегородка), своего рода щит или экран между Вашей системой и внешними сетевыми подключениями. Кроме того, его действие распространяется не только на внешние связи, но и на все процессы внутри Вашей системы.
В итоге он выполняет роль настоящего жандарма: "Кто идёт? С какой целью? - я доложу Хозяину!" - и ни одна программа не имеет права без Вашего явного (письменного!!!))))) согласия что-либо сделать внутри компа, прописать\выписать\изменить что-либо, соедениться с Инетом или получить что-либо из него. Равно как и внешние (сетевые) ресурсы и программы не получат доступ к Вашей системе без Вашего разрешения.
Кроме всего прочего, он так-же "прикрывает" (именно в военном смысле - обеспечение безопасности и огневого прикрытия) все Ваши порты входа-выхода и соеденения.

Что происходит при их одновременной работе: файрволл, будучи даже программой явно устаревшего образца, не менее эффективно действует против любой программы чем новый. Основой этого успеха служит его молниеносная реакция и блокирование не просто "программ которые что-то делают", а вообще ВСЕХ программ, которым НЕ РАЗРЕШАЛИ ничего. А кроме того, он обладает приоритетным запуском - даже раньше чем Ваш антивирус. И пока он (по Вашему прямому приказу) не разрешит, никакая программа (включая тот-же самый антивирус) не будет запущена вообще.
В итоге, даже новейший баннер, попав из сети в Вашу систему (в идеале это папка C:\Documents and Settings\Admin\Local Settings\Temp со всеми временными файлами поступающими из сети или служащими для обмена с ней, равно как и для внутренней работы системы) блокируется и тормозится на уровне контейнера. Ему просто НЕ ДАЮТ РАСПАКОВАТЬСЯ и прописаться в системе - и тем самым навредить Вам.
После этого сам Файрволл выдаёт предупреждение и запрос о том, что "некая программа занимается подозрительной деятельностью и\или пытается подключиться к сети, либо выполнить какие-то действия" - и спокойно ждёт Вашей дальнейшей реакции.
Если в это время ваш антивирус (если он вообще есть у Вас) не дурак и не дремлет, а его авторы постарались на славу и вовремя обеспечили Вас данными в сигнатурах о таком типе вирусов, - то вы получите ещё в довесок и орущее предупреждение о том, что у вас в системе вирус.

Вам лишь останется спокойно подтвердить файрволлу "добро" на дальнейшее блокирование негодяя, а затем или "разрешить" антивиру скушать его - или сходить самим по вышеуказанному адресу и вручную "отстрелить гаду"... его анатомические особенности.)
Такими вот свойствами обладают связки из программ-"старичков", от которых некоторые зазнайки явно носы воротят. А именно: файрволл COMODO Firewall 3.11 (2009 год, даже без обновлений) + антивирус Dr.Web 5.0.
Проверено лично. И не раз.

Теперь о том "где это взять"... Для тех кому интересно.
Некоторые антивирусы последних выпусков имеют в себе возможности такой комбинированной защиты, и состоят из нескольких модулей - включая и сам антивирус, и файрволл. Другие - распространяются как "самодостаточные одиночные" программы... оставлю их самодостаточность на совести их разработчиков.
Третьи даже будучи в "пакете программ" имеют очень и очень разный уровень эффективности. Как пример можно назвать тот-же COMODO, в составе пакета которого прямо таки изумительный файрволл - и в то-же самое время крайне ненадёжный антивирус.
Слава Богу, эти программы допускают модульную а не полную установку (полная установка их пакета - условно бесплатная, с периодом в 60 дней) и комбинирование с другими, более лучшими образцами. Так что кому нужен их бесплатный файрволл - смело кликайте название марки и попадёте на официальный сайт COMODO, с бесплатным скачиванием. Должен только сказать, что он англоязычный.
Потребуется или русификатор (под данную модель), или знание языка.
Наверное где-то есть и другие модели и фирмы... Если честно, то не искал!)))))

Антивирусы... смотрите сами, где какой Вам ближе и роднее.)))))))

Лечущую утилиту от Dr.Web (не полноценный антивирус, а модуль для автономного поиска вирусов внутри Вашей сети, Вашего компа) Вы сможете абсолютно бесплатно на http://www.freedrweb.com/cureit/. С помощью утилиты Dr.Web CureIt!® без установки Dr.Web в системе Вы можете быстро проверить Ваш компьютер и, в случае обнаружения вредоносных объектов, вылечить его.

Получить более действенную помощь по разблокировке компа, поражённого трояном, или сделать свой запрос для поиска кодов разблокировки (чтобы в железе не копаться) Вы сможете на http://www.drweb.com/unlocker/. Троянец заблокировал Windows и требует отправить SMS? Не надо платить преступнику! Используйте бесплатно разблокировщик Dr.Web от Trojan.Winlock.

Скачать образ диска аварийного восстановления системы Вы сможете на http://www.freedrweb.com/livecd/. Если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановите работоспособность пораженной системы бесплатно с помощью Dr.Web LiveCD!
Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и скопировать важную информацию на сменные носители или другой компьютер, а также попытается вылечить зараженные объекты.

Ну а про работу программ-файрволлов, я надеюсь, получится рассказать ниже - и куда подробнее...

Всем удачи! Здоровья Вам и Вашим компам!)))

автор Альбатрос Ср Фев 15, 2012 2:51 pm

Толковая тема, спасибо! Сам использую Outpost Firewall Pro 2009, и не однажды он меня выручал. Не думаю, что все тут же ломануться что то там себе скачивать и создавать какие то загрузочные диски, но обезопасить себя, ну хотя бы по минимуму, все же надо бы, чтоб не было поздно "..пить Боржоми когда печень ни в ...(далее по тексту)" Smile

автор Mechar Чт Фев 16, 2012 7:35 am

Да и не за что)))
А вообще темка создавалась не в расчёте на то чтобы учить "как правильно", а в расчёте на тех кто ищет решение по горящему вопросу, так что.... Просто список добрых советов, не более.)

Относительно COMODO - дополнение:
Версий продукта много, для старых исправно выходят дополнения и обновления. Правда, сам сайт как был англоязычным, так и остался.))
Приятная новость: с некоторых пор русский язык вписан в саму программу. Так что "лангаж" - и вперёд. Прямо при установке.
Совет: попутно с ним может идти "менеджер решения проблем" - своего рода тот-же тулбар, только имеющий доступ ко всему что на компе... Его установка и активация - дело личное. Как и согласие "сотрудничать" в области сбора статистики и прочей информации с Вашего компа.
Пользование их (комодошным) сервером прокси так-же на любителя.

Относительно Dr.Web - дополнение:
Что касается версий продукта - выбор за Вами: 5.0, 6.0, 7.0. Даже 4.33 до сих пор кое-где встречается.)
Но - о главном... С недавних пор (с Н.Г. точнее) компания стала проводить более жёсткую политику по выкачиванию денег из населения: те функции что ранее были бесплатны, переведены в ранг "условно-бесплатных" и т.д.
Например, публикуемые ежемесячно короткие ключи для антивируса (1-2 месяца) грозят стать "именными" - по ним невозможно будет защитить более одного компа. "- Кто успел, того и тапки", - как любит говорить Фоменко..
Про утилиту Cureit могу сказать следующее: они сделали выбор - или при скачивании указываешь почтовый ящик и соглашаешься опять-же на сбор данных с компа (как они выразились - оперативных), или приобретаешь эту-же утилиту уже платно. Вот такие перемены к лучшему...(

Кстати, если у кого-то есть что сказать, объективно предложить какие-то другие сервисы и доходчиво описать их функции - милости прошу. Всегда буду рад любому дополнению в этой теме.