Koobface worm заражает компьютеры через сообщения в социальных сетях Facebook, Twitter, Myspace и др. Само сообщение имеет примерно такой вид:

 

Сообщение содержит ссылку. После перехода по ссылке выскакивает сообщение с предложением обновить adobe flash, хотя на самом деле это инсталлятор червя koobface. Koobface содержит бот-компоненты, которые позволят проводить загрузку и установку других вредоносных кодов в будущем.

 

Симптомы в логе HijackThis

O4 – HKLM\..\Run: [sysldtray] c:\windows\ld15.exe
O4 – HKLM\..\Run: [pp] c:\windows\pp12.exe
O4 – HKLM\..\Run: [sysfbtray] c:\windows\freddy80.exe
O4 – HKLM\..\Run: [sysfbtray] c:\windows\freddy75.exe
O4 – HKLM\..\Run: [sysmstray] c:\windows\mstre24.exe
O4 – HKLM\..\Run: [Captcha7] rundll “C:\Program Files\captcha.dll”,captcha

 

Черви Worm.Win32.Sasser.a и Worm.Win32.Sasser.b эксплуатируют уязвимость в службе LSASS Microsoft Windows. Данная "дыра" позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).

Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP.

Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.

 

При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe

Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack.

 

Лечение:

1. Ставим заплатки на компьютер для русской Винды и для английской

2. Используем утилиту fxsasser.exe [148.14 Kb] для удаления червей

Trojan-Keylogger.WIN32.Fung – это имя под которым маскируется другой опасный троян, который используется для распространения поддельных антиспайварных программ. В случае заражения компьютера появляется предупреждение системы безопасности Windows, говорящие о том, что встроенный брандмауэр (firewall) обнаружил на вашем компьютере активность трояна Trojan-Keylogger.WIN32.Fung и предлагается заблокировать его.

 

Это предупреждение – подделка и вам нужно просто его игнорировать. В любом случае у трояна одна задача, вынудить вас скачать и установить поддельную антиспаварную программу. Эта программа выполнит сканирование вашего компьютера и наёдет множество вирусов и троянов. После чего будет требовать купить её, чтобы активировать функцию «удаления» вредоносных программ. Делать этого не нужно, так как и предупреждение системы безопасности Windows описанное выше, так и результаты сканирования – это части одного обмана.

 

HijackThis показывает заражение:

O4 – HKCU\..\Run: [asus32] “%UserProfile%\Application Data\Google\mupd1_2_1711951.exe

Троян TDSServ – это опасный троян, так же известный под именами Backdoor.Win32.TDSS, Backdoor.TDSS и Backdoor.Tidserv. Это очень опасный троян который использует руткит технологии для того чтобы скрыть собственное присутствие на компьютере. Для этого троян TDSServ использует разные имена для своих компонентов, регистрирует основной компонент как скрытый драйвер, а так же перехватывает обращение к реестру и файловой системе. Поэтому с помощью большинства программ вы даже не сможете найти файлы этого трояна.
После заражения блокируется доступ пользователя к большинству антивирусных сайтов, а также запуск антивирусных и антиспайварных программ. Троян TDSServ распространяется не в одиночку, а в основном он идёт в комплекте с трояном (trojan.fakealert), который показывает поддельные сообщения о заражении компьютера и предлагающего скачать и установить на компьютер поддельную антиспайварную программу.

Рассмотрим как удалить троян TDSSserv и сопутствующие вредоносные программы.

1. Отключаем основной компонент (скрытый драйвер) трояна TDSSserv.

• Кликните правой клавишей мыши по иконке Мой компьютер.
• В открывшемся меню выберите пункт Свойства.
• В открывшемся окне Свойства системы выберите вкладку Оборудование.
• Кликните по кнопке Диспетчер устройств.
• Кликните Вид, в открывшемся меню кликните по пункту Показать скрытые устройства.
• В списке устройств найдите пункт Драйверы устройств не Plug and Play.
• Кликните по + слева от наименования этого пункта.
• В открывшемся списке кликните правой клавишей по пункту TDSSserv или TDSSserv.sys или TDSSxyz.sys где xyz случайные символы. Так же отключите драйвера clbdriver.sys, seneka.sys (это тоже трояны, которые могут идти в комплекте).
• В открывшемся меню выберите Отключить.
• Кликните Да для подтверждения ваших действий.
• Закройте все окна и перезагрузите компьютер.

Троян Vundo – это опасный и широкораспространённый троян, так же известен как VirtuMonde, WindowsUpd, Adware.VirtuMonde, TrojanDownloader.Win32.Agent.e, ADW_TARGETSOFT.A. Этот троян довольно трудно удалить с компьютера, при этом часто с ним не справляются многие именитые антивирусные и снтиспайварные программы. Причина этому – полиморфизм трояна, каждый компьютер заражён индивидуальным образом, при этом при каждой перезагрузке часть компонентов меняет свои имена и CLSID. Но при этом троян Vundo обладает рядом признаков, по которым опытный специалист его сразу узнает.

Основные симптомы заражения трояном Vundo.

• Множество вплывающих окон.
• Резкое замедление работы компьютера.
• Поддельные сообщения службы безопасности о том, что компьютер заражён и необходимо скачать специальную программу, чтобы вылечить компьютер. ОБЯЗАТЕЛЬНО игнорируйте это сообщение, ни в коем случае не скачивайте и не устанавливайте никаких дополнительных программ.
• Ваш антивирус сообщает об заражении компьютера трояном Vundo и не может его удалить.

HijackThis показывает заражёние.

O2 – BHO: WTLHelper Object – {75DC57F8-D831-4AB8-86B7-4F826F4A0873} – C:\WINDOWS\system32\unnqw.dll
O2 – BHO: (no name) – {10654df0-1449-4b62-82e9-9a6f61cc2ed7} – C:\WINDOWS\system32\yehifuni.dll (file missing)
O4 – HKLM\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s
O4 – HKLM\..\Run: [CPM3b906d0c] Rundll32.exe “c:\windows\system32\henemate.dll”,a
O4 – HKLM\..\Run: [38a35e90] rundll32.exe “C:\WINDOWS\system32\wavemile.dll”,b
O4 – HKLM\..\Run: [prunnet] “C:\WINDOWS\system32\prunnet.exe”
O4 – HKLM\..\Run: [jsf8j34rgfght] C:\DOCUME~1\user\LOCALS~1\Temp\winloggn.exe
O4 – HKCU\..\Run: [gadcom] “C:\Documents and Settings\user\Application Data\gadcom\gadcom.exe” 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 – HKUS\S-1-5-19\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘LOCAL SERVICE’)
O4 – HKUS\S-1-5-20\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘NETWORK SERVICE’)
O20 – AppInit_DLLs: c:\windows\system32\kabunabo.dll c:\windows\system32\pasaruwe.dll c:\windows\system32\vinomisu.dll c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\tazeyubo.dll C:\WINDOWS\system32\wifufulu.dll c:\windows\system32\gesekise.dll c:\windows\system32\kelinepe.dll c:\windows\system32\henemate.dll
O21 – SSODL: SSODL – {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} – c:\windows\system32\kelinepe.dll
O22 – SharedTaskScheduler: STS – {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} – c:\windows\system32\kelinepe.dll

Примечание: как вы видите из примеров выше в качестве имён файлов используется случайный набор символов. Трояно Vundo поражает практически все возможные способы автозапуска, причём HijackThis не показывает все эти способы.