Вирус VK_tray.base лишает пользователей ВКзащиты!

[Tobi-anti virus]

Здравствуйте!! По данным Компании Dr.Web
Один из новых троянцев блокирует Windows и удаляет все антивирусы
Trojan.VkBase.1

Вредоносная программа распространяется с вредоносного сайта в домене .ru, под видом архивов с личной информацией, принадлежащей пользователям социальной сети ВКонтакте.

Скачиваемый файл является исполняемым exe-файлом, который формируется на вредоносном сайте динамически в зависимости от параметров поиска, которые ввёл пользователь.

При запуске троянца (исполняемый файл запускается без параметров) выводится окно, внешне напоминающее интерфейс Проводника Windows с содержащимися необходимыми приватными сведениями.

Затем программа устанавливает себя в систему в качестве сервиса с именем zipdrivers. После этого созданный сервис запускается и производит поиск установленных в системе антивирусных продуктов. Если был найден один из антивирусных продуктов Dr.Web для Windows, то с вредоносного интернет-сервера скачивается дополнительный модуль, определяемый Dr.Web как Trojan.AVKill.2942.

Далее производится презагрузка компьютера в безопасный режим Windows и удаление из системы антивирусных программ следующих производителей:
# AGAVA;
# avast!;
# Avira;
# Agnitum;
# Comodo;
# Dr.Web;
# ESET;
# Kaspersky;
# McAfee;
# Symantec.

Для перезагрузки системы в безопасном режиме Trojan.VkBase.1 редактирует системный файл boot.ini, для Windows Vista и более поздних версий Windows используется системная утилита BCDEdit. В результате этих действий к параметрам загрузки системы добавляется параметр /safeboot:network, что соответствует запуску системы в Безопасном режиме с поддержкой сети.

Для запуска сервиса троянца в Безопасном режиме Windows, в системном реестре создаётся следующая запись:

HKLM\System\CurrentControlSet\Contr ol\SafeBoot\Network\zipdrivers

После загрузки системы в Безопасном режиме сервис вредоносной программы автоматически стартует и удаляет установленный в системе антивирус.

Для удаления из системы продуктов Dr.Web для Windows используется дополнительно загружаемый модуль, эксплуатирующий уязвимость модуля самозащиты, который определяется Dr.Web как Trojan.AVKill.2942, т.к. самозащита в продуктах Dr.Web для Windows функционирует и в Безопасном режиме Windows. В настоящее время данная уязвимость в продуктах Dr.Web для Windows устранена. Для удаления остальных антивирусных продуктов из системы дополнительные модули троянцу не требуются.

Далее троянец отключает сервис контроля учётных записей пользователей (UAC), а также вносит настройки в работу системы, которые позволят впоследствии троянцу запускать исполняемые файлы, загружаемые из Интернета, без уведомления пользователя.

Кроме того, программа создаёт свою копию в файле \WINDOWS\TEMP\tray_tmp.exe и дополнительно устанавливает себя на запуск (помимо сервера) в ветке системного реестра: HKLM\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run

После этого параметры загрузки системы возвращаются в исходное состояние, и система перезагружается в обычном режиме, и загружает далее с вредоносного сервера два исполняемых файла, которые по классификации Dr.Web именуются как Trojan.Winlock.2477 и Trojan.Fakealert.19448. Последний загружается лишь в том случае, если удаление установленного в системе антивируса завершилось успешно.

Trojan.Winlock.2477 записывается в каталог Windows под именем win32boot.exe, после чего запускается.

Trojan.Fakealert.19448 записывается в каталог Windows под именем av_soft.exe, после чего также запускается.

Файл tray_tmp.exe после всех этих действий остаётся в системной папке и продолжает запускаться. При этом сервис zipdrivers также продолжает запускаться, хотя и остаётся неактивным. При своём запуске tray_tmp.exe проверяет наличие файла, соответствующего Trojan.Winlock.2477 и в случае его отсутствия снова загружает с сервера и запускает.



Борьба с этим вирусом(Свой замысел):Я тоже попадал на этот вир и так....
Скачиваем с чистого(Компа друга)компа утилиту "Лечащая утилита Dr.Web CureIt!®" Которой можно найти по ссылке http://www.freedrweb.com/cureit/?lng=ru ====>>Скачиваем на флэшку====>>Включаем ПК,Вставляем влешку в USB====>>Устонавливаем данную утилиту====>>Вас просит войти в "Режим усиленной защиты Dr.Web" Нажимаете да====>>И так наша программка запускается....====>>Нажимаете Запуск,наша утилита ищет этот вирус====>>Ну и конечно нашло(У меня 13 Инфецированных) (3подозрительных,и 1 взлом)====>>Нажимаем "Выделить все"====>>Лечить====>>Если не лечется удаляем====>>ПОтом опять запускаем поиск вирусов...по окончании поиска у вас должно быть "Вирусов не найдено" Это хорошо!! =) дальше перезапускаем ПК и опля!!! Все норм)))

Спасибо за внимание с вами был Mr.Tobodoxs

P.S По созданию видео версии обращаться на юин 605656669

[majikku]

правильно =) соц сети зло, тем более если пытаются перехватить личную информацию

вирус, так себе, какой то слишком уж муторный
уже давно читал что есть скрипт который без прав одмина спакойно антивирь сносит
причем неперегружая машину

[majikku]

кстати, насчет вашего "Борьба с этим вирусом"

как вы запустите куреАЙТИ если на весь экран банер ?
и пачему этот вирус не отключает флеш и привод из реестра ?

[Dayman]

Под UAC-то запускается?

Для лечения лучше lievcd с виндой и CureIt! на флеш. С чего грузиться, надеюсь, понятно.

Чего-то захотелось Dr. Web поставить ^^ Я им вообще все подозрительные файлы проверяю (через Virus Total), а так стоит Avira.

[vasek123]

Чего- то эта живность не кажется мне такой уж грозной.... У меня на компе, без моего ведома она уж точно не запустится да и вири попадались значительно хуже.

[yuran666666]

Писанина в критические ключи реестра, запуск процессов, создание сервиса, лазание в системные директории-программа однозначно гуано. И интересно как же ее код дойдет до отключения UAC, если сам же UAC ее остановит 40 раз за нарушение субординации?
А товарищ убивающий скриптами кернелмодные драйвера антивирусов не перегружая капутэра-прекращайте читать хакер.ру и займитесь чем-нибудь полезным.
Вообщемта я все сказал.

[JTG]

Цитата:

И интересно как же ее код дойдет до отключения UAC

А не нужно его отключать благодаря тупости пользователей. Через GetTokenInformation обнаруживаем запуск себя с ограниченными правами и перезапускаемся до посинения, пока бедняга не тыкнет "разрешить", принцип тот же, что и на сайтах, бесконечно просящих "установить плагин Microsoft Super DivX Media Flash Player 16.0"

[Tobi-anti virus]

Ес честно я,сам с Curiet удалил без LiveCD =)

[yuran666666]

Цитата:

Сообщение от JTG

А не нужно его отключать благодаря тупости пользователей. Через GetTokenInformation обнаруживаем запуск себя с ограниченными правами и перезапускаемся до посинения, пока бедняга не тыкнет "разрешить", принцип тот же, что и на сайтах, бесконечно просящих "установить плагин Microsoft Super DivX Media Flash Player 16.0"

Вы так сказали "перезапускаемся", как будто запуск приложения происходит в сферическом вакууме и оно может запускаться когда захочет и сколько раз захочет.
Фиг с ним, юзер запустил некую пепяку, которая поломилась в цикле (авось разрешат) копировать себя в папку system32 и в ключ реестра Run и тому подобное.. хмм, это даже не на уровне школы. UAC однозначно будет детектить процесс выполняющий данное действие и сообщать пользователю и каждый раз морозить процесс на выполнении данной операции.
Вы только что запустили какую то фигню, про которую УАК тут же сообщает пренеприятные подробности - что мешает запустить диспетчер задач и завалить ее тут же?
Вообщем фиговую вы тактику написали - я в нее не верю.

[JTG]

Цитата:

Вообщем фиговую вы тактику написали - я в нее не верю.

А она тем временем работает Так размножается, например, Win32.Cycler

Цитата:

— У меня ничего не работает, пишет какая-то ошибка!
— Что за ошибка?
— Не знаю, я сразу "ОК" нажал/а.