Ручное удаление Smitnyl.A

Автор: admin от 22-02-2011, 02:19, посмотрело: 2502

Всем привет!

Поскольку раньше, в первой части, было дано обещание указать общие принципы ручного удаления Smitnyl.A, обещание выполняю. Да, у коммента не набралось 20 плюсов, но думаю, что и 14 человек должны получить то, что их интересовало. Тем более, что при удалении выяснились некоторые особенности работы этого зловреда.

Итак, наша система подготовлена и заражена дроппером Smitnyl.A (размер 37 076 байт, MD5 A6E5BAAEAB6C506CB5A08755B025F6A5). После заражения дроппер (как любой уважающий себя дроппер) самоликвидировался, больше никаких модификаций в системе не произошло, за исключением изменения MBR (оригинальная, заражённая). Подчеркну: на данном этапе userinit.exe заражён не был.

А произошло это заражение после перезагрузки системы, когда сразу начал обнаруживаться вредоносный функционал (все картинки кликабельны):

Ручное удаление Smitnyl.A


Как и обещалось — вредонос работает как даунлоадер и в нашем случае он скачивает свою бэкдор-компоненту.

И вот дальше обнаруживается интересное. На самом деле, фэйковый explorer.exe выполняется единожды при загрузке, скачивает в корень системного диска и запускает контент, после чего выгружается и самоуничтожается:

> C:Documents and Settings1> ** New Command Shell [PID:1996]
> del C:DOCUME~11LOCALS~1Tempexplorer.exe
> ** New Command Shell [PID:3144]
> del C:2008.exe

В итого в системе есть бэкдор, однако ничто не указывает на его источник — Smitnyl.A! Cканирование AVZ системы обнаруживает наличие модуля бэкдора, запущенного как служба, позволяет его удалить, однако новая перезагрузка всё вернёт на свои места:

Ручное удаление Smitnyl.A


Ручное удаление Smitnyl.A



Обнаружить признак Smirnyl.A можно только если внимательно рассмотреть следующую часть лога:

Ручное удаление Smitnyl.A



Тут становится понятно: система не распознала заражённый userinit.exe по базе CRC, а потому вывела её с подозрением (система также не распознала и cmd.exe — но это верно: я сам подменил этот файл для журналирования операций в шелле).

Итак, каково же было лечение?

1. Поскольку userinit.exe при активной системе не задействован, его просто перезаписываем оригинальным файлом из дистрибутива или незаражённой системы.
2. Если на данном этапе провести перезагрузку — userinit.exe будет опять заражён. Поэтому производим восстановление MBRFix, однако это не значит, что не сработают другие варианты.
3. Производим стандартное лечение с помощью скрипта AVZ:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:windowssystem32tjmitrd.dll','');
DeleteFile('c:windowssystem32tjmitrd.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
(Скрипт может меняться в зависимости от того, что закачает и запустит даунлоадер).

После перезагрузки система была полностью очищена.

Источник: Хабрахабр: Вирусы и антивирусы

Категория: Информационная безопасность » Вирусы и антивирусы

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *