andmisha


Все, как мы любим, это просто мысли вслух.. (С) Гуф


Previous Entry Share Next Entry
Удаляем порнобаннеры
andmisha
По долгу службы, да и вообще, часто приходится иметь дело с вирусней. Частенько видишь совсем запущенные варианты - бывает что и "винду" переставить проще. Но есть и масса примеров, когда перестанавливать ОС крайне не желательно - бухгалтерский компьютер с кучей специализированного добра, которое потом не найдешь нигде и тд. И процесс чистки превращается в удивительный квест :-) Об одном из таких квестов и хотелось бы поведать - блокировщики Windows (winlocker'ы) или в простонародье  - порнобаннеры.


Вообще, написать этот пост побудили меня мои студенты. Мы как раз на лекциях обсуждали вопрос безопасности ОС, смотрели видеоролики взломов, анализировали причины и тд.
На просторах интернета достаточно много информации по методам и средствам удаления этой гадости. Но как то все разбросано, где-то уже все устарело, где-то непонятным языком написано и тд. Поэтому систематизирую все и по мере появления новых "зверьков", пост буду обновлять.
Для начала "винлокеры" можно поделить на типы внедрения их в систему:
1. Банальное прописывание в автозагрузку (обычно ветки реестра HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE)
2. Замена оригинальных файлов в ОС (как правило userinit.exe)
3. Прописывание в загрузочную область жесткого диска (mbr)
Пройдемся по каждому типу, посмотрим ему в лицо и проведем хирургическое вмешательство по удалению бяки

1. Банальное прописывание в автозагрузку
1329476811_16
Открываем редактор реестра - Пуск - Выполнить - regedit. Ищем путь:
НKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Видим в нем примерно такую строчку:

Test="С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\"

Параметр на самом деле может быть с разным именем, как и путь к файлу. В настоящее время имена файлов бывают вида 1437714529...exe (числовые), бывают и такие sp89812...exe. Вариантов миллион :-)



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Здесь вирус находится в 2-ух местах:
правильный выглядит так:
Userinit="с:\\windows\\system32\\userinit.exe
зараженный выглядит так:
Userinit="с:\\windows\\system32\\userinit.exe,с:\\windows\\system32\\test.exe"

Параметр "Shell":
правильный выглядит так:
Shell="explorer.exe"
зараженный выглядит так:
Shell="explorer.exe" "С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\"

Еще одно место:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Пример параметра со ссылкой на вирус:

"RTHDBPL"="С:\\Documents and Settings\\Admin\\Application Data\\SystemProc\\lsass.exe"

Не должен системный процесс lsass.exe запускаться из такой папки как "Documents and Settings", он должен находиться в "system32".



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Здесь необходимо искать либо название схожее с системными файлами, либо полностью случайное название типа "1437714529.exe".



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe

Если найдена в реестре эта ветка то с логином могут быть большие проблемы.

Строка типа: "Debugger"="C:\\WINDOWS\\temp\\as.exe" должна быть однозначно удалена.

2. Замена оригинальных файлов в ОС

Сейчас уже достаточно редко встречаются модификации "винлокеров" такого типа - я думаю из-за того, что очень легко вычисляются. Это на самом деле так. И так, при загрузке компьютера  мы видим такое окно
winlocker
Не впадаем в панику, вставляем загрузочный диск с Windows PE, перезагружаем компьютер и ждем загрузку Windows PE.
Сразу же смотрим файл C:\windows\system32\userinit.exe и C:\windows\system32\taskmgr.exe. Они могут быть заменены "винлокером". Вернуть родные достаточно просто - просто скопировав их с другой ОС. Соответственно для Windows XP с XP, для Windows 7 с 7 и тд.
3. Прописывание в загрузочную область жесткого диска
Winlocker в загрузочной области жесткого диска
Ну и последний на сегодня тип "винлокеров". Сама идея конечно шикарна :) "Винда" не грузится, у человека полнейшая паника вида "все пропало!!!". Многие по незнанию кидаются сразу переустанавливать систему, не разобравшись с проблемой, либо начитавшись коментов на всяких Ответах майл-гугл. На самом деле, не все потеряно, даже наоборот - все просто. Для лечения, нам понадобится загрузочный диск Hirens BootCD, как в 2-ух предыдущих случаях. Но спешу заметить, что по мимо восстановления загрузочной области, необходимо будет найти и удалить сам исполняемый файл вируса, так же, как я это делал в 2-ух предыдущих случаях.
1. Загружаем HirensBoot CD
2. В меню выбираем пункт DOS - DOS и ждем загрузку.
3. В командной строке вводим команду fdisk /mbr. Если кто-то помнит, тулза fdisk использовалась во времена dos и первых windows (вплоть до Windows Mellenium) для разметки жесткого диска пред установкой ОС. Параметр /fdisk обозначает очистку загрузочной области жесткого диска.
4. Выполняем поиск исполняемого файла, как я описал выше
5. Собственно все. Далее перезагружаем компьютер и если у вас Windows XP, то она загрузится автоматически. Если Windows 7 - то необходимо выполнить с установочного диска восстановление загрузочной области.

В интернетах есть еще один вариант фикса mbr - утилита BOOTICE.
1. Загружаемся в WIndows PE
2. Запускаем BOOTICE.exe
3. Нажимаем кнопку Process MBR
4. Откроется окно Master Boot Record
5. Тулза сама определит вашу ОС, остается лишь нажать кнопку Install / Config
6. И опять таки наслаждаемся работающим компьютером и без переустановки ОС.

?

Log in