SI-CERT 2012-13 / Ukash virus

  1. описание Вирус Ukash (также Reveton, Urausy) требует от пользователя уплаты штрафа под предлогом...
  2. Удаление инфекции
  3. Удаление с помощью Microsoft Windows Defender Offline
  4. Ручное удаление
  5. Технический анализ инфекции (1-й вариант)
  6. защита

описание

Вирус Ukash (также Reveton, Urausy) требует от пользователя уплаты штрафа под предлогом незаконной загрузки защищенного авторским правом контента. При запуске пользователь отображает ложное сообщение от словенской полиции, где требуется штраф для компенсации совершенных преступлений. В последнее время мы наблюдаем рост вымогательства аналогичным образом, как и в случае заражения, но в этом случае при просмотре веб-страниц открывается поддельное полицейское уведомление , обычно в увеличенном окне браузера на весь экран. В этом случае это не заражение , пользователям нужно только закрыть веб-браузер ( или просто вкладка ) и не должен восстанавливать сеанс браузера при следующем запуске браузера.

Анализ инфекции

Система пользователя заражена при просмотре веб-сайтов, на которых расположен код (это диск с загрузкой). Последний пытается использовать любые дыры в безопасности браузера для установки вредоносного кода. В случае успешного заражения на зараженной системе при запуске отображается предупреждающее сообщение. В то же время этот процесс также блокирует другие действия, которые не позволяют отображать уведомление. Больше примеров ложной информации от словенской полиции, которые показаны различными вариантами вируса, можно найти на сайте https://www.botnets.fr/index.php/Landings_SI ,

В большинстве случаев, которые были рассмотрены в SI-CERT, заражение произошло из-за использования уязвимости в старых версиях программного пакета Java. Мы рекомендуем пользователям установить последняя версия Java и регулярно обновляется. Если им не нужна Java, их следует удалить через панель управления.

Удаление инфекции

Инфекция препятствует использованию системы или Запускать программы, но можно удалить следующими способами. Существует несколько версий вируса Ukash, SI-CERT знаком с шестью версиями, которые были распространены среди словенских пользователей.

Удаление с помощью Microsoft Windows Defender Offline

Вы можете удалить инфекцию, создав загрузочный компакт-диск или USB-ключ, который можно использовать с защитником Microsoft Windows в автономном режиме. Скачайте программу с сайта Microsoft на чистый компьютер

http://windows.microsoft.com/sl-SI/windows/what-is-windows-defender-offline

Запустите программу на чистом компьютере и следуйте инструкциям. Он создаст специальный загрузочный компакт-диск или USB-ключ, который вы вставите в зараженный компьютер, а затем запустите компьютер с него. Как запустить компьютер с загрузочного CD или USB, зависит от модели компьютера, поэтому, пожалуйста, обратитесь к инструкции вашего компьютера. Если у вас нет инструкций, попробуйте помочь с инструкциями на сайте

http://www.wikihow.com/Boot-a-Computer-from-a-CD

Когда компьютер запускается с загрузочного компакт-диска, на экране появляется сообщение:

Нажмите любую клавишу для загрузки с CD или DVD ...

Нажмите любую клавишу, и компьютер загрузится в специальную среду, в которой антивирусная программа просканирует весь диск и попытается удалить инфекцию. Когда вы предлагаете варианты сканирования, выберите полный обзор вашего компьютера. Этот обзор может занять несколько часов.

Ручное удаление

Удаление вручную может быть быстрее и не требует доступа к другому компьютеру с установленной операционной системой Windows. Для ручного удаления выполните следующие действия.

Windows 7

1. Перезагрузите компьютер. При запуске системы Windows, непосредственно перед появлением логотипа Windows, нажмите клавишу «F8». Если вы видите логотип Windows, вы слишком сильно нажали кнопку F8, в этом случае выключите компьютер и попробуйте снова.

2. В меню выберите «Безопасный режим с командной строкой» и нажмите Enter

В меню выберите «Безопасный режим с командной строкой» и нажмите Enter

3. Если вы видите окно входа в систему, войдите в систему, а затем дождитесь появления командной строки на экране.

4а. В командной строке выполните одну из следующих команд (нажмите Enter для каждой команды):

cd% appdata% dir / o: d / a

Последняя команда отображает список файлов, отсортированных по времени создания. В правой части списка убедитесь, что существует файл с одним из следующих имен:

other.res data.dat cache.dat AltShell.dat skype.dat msconfig.dat

Если это так, удалите его с помощью команды «удалить». Например, если вы найдете файл data.dat, вы удалите его командой:

часть data.dat

и перейти к делу. пятые

4b. Если вы не найдете ни одного из следующих файлов в списке файлов, введите следующие команды:

cd% appdata% cd Microsoft Windows cd "Меню Пуск" cd Программы cd Автозагрузка dir / o: d / a

Последняя команда снова покажет вам список файлов, отсортированных по времени создания. В списке убедитесь, что файл ctfmon.lnk или файл длинных имен и расширений .lnk находится в конце. Если это так, удалите его с помощью команды "part", например:

часть ctfmon.lnk

Если вы не найдете ни одного из этих файлов, ваш компьютер, скорее всего, заражен новым вариантом вируса. В этом случае попробуйте очистить компьютер с помощью Microsoft Windows Defender Offline или контакт чтобы отправить вам дальнейшие инструкции.

5. Перезагрузите компьютер, введя команду ниже и нажав Enter:

shutdown -r -t 0

6. Просмотрите систему с обновленной антивирусной программой.

Если вы сможете очистить свой компьютер в соответствии с приведенными выше инструкциями, мы будем очень рады сообщить вам об этом, отправив нам электронное письмо. сообщение для [email protected] ,

Windows XP

1. Перезагрузите компьютер. При запуске системы Windows, непосредственно перед появлением логотипа Windows, нажмите клавишу «F8». Если вы видите логотип Windows, вы слишком сильно нажали кнопку F8, в этом случае выключите компьютер и попробуйте снова.

2. В меню выберите «Безопасный режим с командной строкой» и нажмите Enter.

В меню выберите «Безопасный режим с командной строкой» и нажмите Enter

3. Если вы видите окно входа в систему, войдите в систему, а затем дождитесь появления командной строки на экране.

4а. В командной строке выполните одну из следующих команд (нажмите Enter для каждой команды):

cd% appdata% dir / o: d / a

Последняя команда отображает список файлов, отсортированных по времени создания. В правой части списка убедитесь, что существует файл с одним из следующих имен:

other.res data.dat cache.dat AltShell.dat skype.dat msconfig.dat

Если это так, удалите его с помощью команды «удалить». Например, если вы найдете файл cache.dat, удалите его с помощью команды:

del cache.dat

и перейти к пункту 5.

4b. Если вы не найдете ни одного из следующих файлов в списке файлов, введите следующие команды:

cd% userprofile% cd «Меню Пуск» cd Программы cd Запуск dir / o: d / a

Последняя команда снова покажет вам список файлов, отсортированных по времени создания. В списке убедитесь, что файл ctfmon.lnk или файл длинных имен и расширений .lnk находится в конце. Если это так, удалите его с помощью команды "part", например:

часть ctfmon.lnk

Если вы не найдете ни одного из этих файлов, ваш компьютер, скорее всего, заражен новым вариантом вируса. В этом случае попробуйте очистить компьютер с помощью Microsoft Windows Defender Offline или контакт чтобы отправить вам дальнейшие инструкции.

5. Перезагрузите компьютер, введя команду ниже и нажав Enter:

shutdown -r -t 0

6. Просмотрите систему с обновленной антивирусной программой.

Если вы сможете очистить свой компьютер в соответствии с приведенными выше инструкциями, мы будем очень рады сообщить вам об этом, отправив нам электронное письмо. сообщение для [email protected] ,

Windows 8 / 8.1

Windows 8 и 8.1 изменили процесс загрузки в безопасном режиме. В большинстве случаев это невозможно сделать нажатием клавиши F8 во время запуска (1). В этом случае мы рекомендуем пользователям удалить инфекцию, как описано в разделе «Удаление с помощью Microsoft Windows Defender Offline».

Технический анализ инфекции (1-й вариант)

После загрузки вредоносная программа внедряет код в процесс svchost.exe:

12: 03: 41,2713843, "ttvke9443gcw8q7l.exe", "1124", "Процесс создания", "C: \ WINDOWS \ explorer.exe", "SUCCESS", "PID: 2012, Командная строка: \ WINDOWS \ system32 \ svchost.exe "," УСПЕХ "," C: \ WINDOWS \ system32 \ svchost.exe "," PID: 148, командная строка: "" C: \ WINDOWS \ system32 \ svchost.exe "" "

Затем он копируется в файл% userprofile% \ Application Data \ msconfig.dat (Windows XP). % userprofile% \ Appdata \ Roaming \ msconfig.dat (Windows 7) и создает загрузочный ключ в реестре:

12: 03: 43,5709439, "svchost.exe", "148", "RegSetValue", "HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ shell", "SUCCESS", "Тип: REG_SZ, 144, Данные: explorer.exe, C: \ Documents and Settings \ user \ Application Data \ msconfig.dat "

Подключается к одному из веб-серверов по адресу tdzzf.ru или. cxcyp.su, откуда в зашифрованном виде получает код веб-страницы, где расположен текст, который он отображает пользователю:

GET / 555657550A896FA373AC286F5D17EF074B954434DD0E32AC1C1B HTTP / 1.1 Пользователь-агент: Our_Agent Хост: tdzzf.ru Кэш-контроль: no-cache HTTP / 1.1 200 OK Сервер: nginx / 0.7.67 Дата: Пн, 08 окт. 2012 14:14:46 GMT Содержание- Тип: application / octet-stream Соединение: keep-alive X-Powered-By: PHP / 5.2.6-1 + lenny16 Cache-Control:filename = 44456 Content-Transfer-Encoding: двоичный Content-Length: 79618

Код сайта отличается в зависимости от местоположения IP-адреса зараженного компьютера. Например, если система с словенским IP-адресом заражена, веб-сервер отправляет уведомление от словенской полиции, а в случае заражения IP-адресом в США веб-сервер отправляет уведомление ФБР. Веб-сервер также отправляет локальные сообщения в случае компьютерных инфекций в других европейских странах.

Сайт содержит код JavaScript, который проверяет правильный синтаксис, введенный ukash или. код paysafecard:

if (! (text.length! = 0 && / ^ 633718 [0-9] {13} $ /. test (text) && cval> 0) && type == 0) {fdialog ('showerror', 'block' , 0);возвращение;} if (! (text.length! = 0 && / ^ 0 [0-9] {15} $ /. test (text) && cval> 0) && type == 1) {fdialog ('shower', 'block ', 0);возвращение;}

Если код синтаксически правильный, он отправляет его в виде сценария на указанные веб-серверы с помощью запроса HTTP GET, например:

GET / 555657550A896EC413A0E86F5D17EF074B9BG834E18970A1C1A3728CA184524B95C138CDB4E366ECADC7D078E2235213F08 HTTP / 1.1Пользователь-агент: Our_Agent Хост: tdzzf.ru Кэш-контроль: нет

защита

Пользователям рекомендуется регулярно устанавливать последние исправления операционной системы, выбранного браузера и его плагинов, в частности программного пакета Java, с целью защиты системы. В то же время им следует избегать использования программного обеспечения неизвестного происхождения, поскольку последнее может также содержать вредоносное программное обеспечение. Мы также рекомендуем регулярное резервное копирование системы.

(1)

http://windows.microsoft.com/sl-si/windows-8/windows-startup-settings-including-safe-mode

http://www.7tutorials.com/5-ways-boot-safe-mode-windows-8-windows-81

Последнее обновление: 3.3.2014