В продолжении темы о трояне Trojan.WinLock

[quest4sanity]

В продолжении темы о трояне Trojan.Winlock

Ранее уже писал о трояне Trojan.WinLock и о том, что неразумно платить деньги за разблокировку своего компьютера. Но, если раньше я имел дело исключительно с чужими рассказами и выправлением ситуации по телефону, то намедни в мои руки попал самый что ни на есть зараженный компьютер, и я мог лицезреть это "чудо", так сказать, в его естественной среде обитания.

Разлочен компьютер был стремительно, благо под рукой был его собрат (в смысле компьютер), и можно было легко получить код разблокировки. Но вот дальше все оказалось не так легко и радужно. Дело в том, что слухи, будто разблокировка не удаляет самого трояна с комьютера, оказались вовсе не слухами. Троян действительно продолжает оставаться в системе. Что он там делает, я точно сказать не могу, но вспоминая матчасть по вирусологии могу навскидку сделать несколько предположений из разряда "возможно, но необязательно":

• Рассылает свои копии на другие компьютеры;


• Следит за вводом данных и собирает логины и пароли;


• Рассылает спам;


• Делает из компьютера интернет зомби, позволяя автору трояна в любой момент использовать его для приченения кому-нибудь вреда (вроде DDoS атак)

Итак. Получив после разблокировки доступ на свой компьютер, я попробовал разобраться и с трояном. Имеющиеся у меня в наличии антивирусники его опознать не смогли, хотя его следы (в виде странных файлов на диске) были видны даже "невооруженным глазом". Поиграв с антитрояновскими программами я тоже не смог добиться успеха. К тому же данный троян переконфигурировал систему так, чтобы обнаружить его было трудно, и сразу же убивал программы, с помощью которых можно было его вычистить (вроде regedit). Продолбавшись с ним полдня, я в результате решил откатить систему на несколько месяцев назад, воспользовавшись старыми образами диска C: чего и всем остальным теперь в подобной ситуации буду советовать.

Итак, резюме истории гласит.

• Господа, платите за разблокировку или не платите, а полного контроля над своим компьютером после заражения вполне возможно вы уже не получите (по крайней мере, пока разработчики антивирусного обеспечения не подберут "ключи" конкретно к вашему штаму). Так что уж лучше сразу откатывайтесь на заранее подготовленные, например, Acronis-ом, рубежи.


• В современной ситуации обеспечить безопасность и устойчивость работы своего компьютера простая "домохозяйка" без помощи грамотного специлиста не сможет (даже с учетом крупный вложений в дополнительный софт). Таким образом все преимущества Windows перед Linux в одношении юзабильности, про которые так любит рассказывать майкрософт, в подобных ситуациях оказываются банальным Пшиком. В большинстве случаев вам все равно придется обращаться или к опытным в отношении компьютеров друзьям, или к коммерческим специалистам. Так стоит ли овчинка выделки? Может быть все таки, с учетом всех баталий с авторскими правами ( свободу Torrents.ru!!! и т.п. ) и патентами на программное обеспечение, имеет смысл попробовать перейти на Linux (Ubuntu - чем не вариант?).


• Запускать стремные программы (например кейгены) и ходить по стремным сайтам в интернете стоит только в виртуальной машине (например VirtualBox). Ее как правило не жалко угробить, ведь важных данных на ней как правило не хранится. Таким образом, когда она окажется зараженой, ее всегда можно оперативно и без лишних эмоций восстановить из предварительно сохраненного образа. А то, что виртуальные машины требуют много памяти - так ведь и память нынче стала довольно дешева. За 3 т.р. вполне можно купить 4 гигабайта, которых более чем достаточно для запуска одновременно 3-5 виртуальных машин с WindowsXP на борту.


• Люди, которые удовольствуются одной лишь разблокировкой, и оставляют все остальное как есть, подобны скрытым носителям венерических заболеваний на которых в советские времена распространялся закон о принудительном лечения.

Вобщем, имеющий голову, да разберется, что к чему.

Comments

[cdplayer.livejournal.com]

Не имело ли смысла попытаться выковырять троян, загрузившись с другого диска (на ум приходят специальные ЦД с антивирусниками или чем там)?

[quest4sanity.livejournal.com]

Ну, я не фанат до охоты на вирусы. Тем паче, что там все самое интересно находится в регистрах, а как получить доступ к регистрам, принадлежащим другой копии Windows я не знаю, и соответствующего софта не имею. К тому же, навыков такого рода копания у меня нет, а в сложившейся ситуации надо было действовать сравнительно оперативно. Так что я не стал особо долго заморачиваться. Просто потыкался несколькими известными мне способами, получил по всем им отлуп и применил "оружие массового поражения".

[cdplayer.livejournal.com]

Понятно. Я думал, что с "интересным" разберутся антивирусы, запущенные с ЦД, без дополнительной "ручной" работы.

Я тоже не спец по войне с заразой под винду. :)

[quest4sanity.livejournal.com]

Я запускал доктора веба с CD. Он тот ничего не нашел. Однако сидюк был не самой последней свежести. Может быть в этом дело. Но зато его запущенный уже после разблокировки CureIt был свежаком, и он тоже ничего не нашел.

Может быть Касперский бы с ним и справился, но я его не пробовал. В любом случае, скорость мутации вируса огромная. Еще бы, при таком финансировании. Torrents.ru закрыть - это пожалуйста, а прижать к ногтю интернет-вымогателей, это нам не нужно.

[(Anonymous)]

СКАЧАТЬ АНТИВИРУС КАСПЕРСКОГО
Здесь можно скачать бесплатно без смс без регистрации Антивирус Касперского(KAV_8.0.0.1071_Wks_Mod) с предустановленным корпоративным ключем на 1000 пользователей. Ключ ставится сам в процессе установки, очень удобно.
http://unsleepy999.ax3.net/kasp.html

[quest4sanity.livejournal.com]

Внимание!!!

Вот так люди и попадаются. Вот так они и получают описанные трояны. Основная работа, благодаря которой столь сильно распространился данный троян - это PR. Люди сами устанавливают троянов себе на комп, потому что их убедили, будто бы они ставят честную программу.

Я специально не удаляю данный пост, чтобы все читающие поняли, на что их ловят распростанители вирусов.

[quest4sanity.livejournal.com]

То есть я хочу сказать следующее (вдруг это не было понятно из моего ответа):
Не ходите по присланной ссылке и не запускайте оттуда программу. Это никакой не касперский!!! Если вы это сделаете, вы собственноручно заразите свой компьютер.

Обратите внимание на то, что ссылка совершенно левая. Сайт левый. Распологается он на бесплатном вебхостинге http://vagonchik.com/ Можете быть уверены, там лежит новая версия трояна для вашего "наслаждения" гемороем.

[jak40.livejournal.com]

Спасибо за информативный и полезный анализ!
Едиственное, с чем не могу согласиться - с тем, что Линух (в его сегодняшнем состоянии) способен полноценно заменить Виндуз: http://jak40.livejournal.com/48304.html
Хотя для "стандартного" использования компа (Интернет/почта, Word/Excel, графика, музыка, кино, игра - что забыл?), пожалуй, Линух предпочтительнее.

[quest4sanity.livejournal.com]

Я пожалуй сделаю очередную попытку, на этот раз с Ubuntu. :-) У меня к ней требования не очень большие:

полная поддержка моего железа, наличие необходимого софта (благо он все больше многоплатформенный) и возможность запуска полноценной виртуальной машины с виндами :-) А то это дырявое решето, которое к тому же по каким-то своим причинам может ни с того, ни с сего начать криво работать (это я про винды) меня уже начало доставать.