Продолжаем бороться с трояном winlock — хитрые советы

Как я писал trojan.winlock: защищаем персональный компьютер от неосторожных действий пользователя — «Хакер»

Продолжаем бороться с трояном winlock - хитрые советы

Содержание статьи

Не секрет, что многие пользователи настолько далеки от информационных технологий, что допускать их к работе за таким сложным устройством, как ЭВМ, чревато.

Но как организовать ограничение доступа к ПК? Ведь включить компьютер нынче может любой, у кого хотя бы на 10% руки растут из плеч.

К счастью, существует целый класс программ, помогающий ограничить пользователю доступ к различным компонентам операционной системы: от простого запрета играть в Косынку или Сапера, до полной блокировки Windows.

Однако не все пользователи соглашаются на добровольную блокировку своей системы (хочу сконцентрировать твое внимание на том факте, что в этой статье мы не станем рассматривать создание вредоносного ПО). Так вот, нередко подобный софт доставляется на их машины в виде вируса. Способов заразить жертву чрезвычайно много. Среди них наибольшей популярностью пользуются:

1. БАГИ БРАУЗЕРОВ. Ни для кого не секрет, что одна из целей современного вирусописателя — браузер пользователя. Полезных web-сервисов пруд пруди, и пользователи, конечно же, ими пользуются. Для многих браузер — самая часто используемая программа, которая очень редко закрывается (у меня так вообще не закрывается).

Не надо ходить к гадалке в поисках ответа на вопрос «через какую дверь лучше всего прорваться в систему пользователя?». Тут и так ясно: необходимо использовать уязвимости самых популярных браузеров.

Чтобы применить этот способ, не нужно обладать особым интеллектом. Достаточно пошерстить по security-сайтам, найти (если он есть) подходящий сплоит и красиво оформить его для своих нужд.

Быстро, просто и бесплатно.

2. FLASH. В последние месяцы компания Adobe регулярно лажает. Не успеют они выпустить новую версию flash-плеера, как хакеры умудряются обнаружить в нем критическую уязвимость. Находят, тыкают разработчиков носом, а те не спешат их исправлять.

Глупо полагать, что в это же время вирмейкеры будут тихо сидеть на пятой точке и ждать, когда же залатают багу. Они постоянно пытаются использовать в корыстных целях свежую уязвимость и выжать из нее максимальную выгоду.

В результате получается, что после просмотра тобой забавного ролика система начинает вести себя странно.

3. ПОЛЬЗОВАТЕЛЬСКАЯ НАИВНОСТЬ. Когда я начал готовить эту статью, ради эксперимента загрузил ОС в виртуальной машине и попробовал побродить по «сомнительным» сайтам.

Не поверишь, но я умудрился три раза подхватить Winlocker, согласившись на установку «последней версии» flash-плеера и «специальных» кодеков.

Честно говоря, я был немного в шоке, так как думал, что подобные способы уже не катят.

Я долго размышлял над тем, на каком языке писать примеры к этой статье, и решил вспомнить проверенный временем Delphi. «Так у тебя же exe’шник получится под мегабайт!», возразишь ты.

Отчасти твоя правда, но эту проблему мы решим еще на стадии зачатия проекта. Весь код будет приведен на чистом API. Соответственно, наш зверек в скомпилированном виде будет весить менее 100 Кб.

Еще пару десятков кило мы сбросим за счет манипуляций архиватором байт-кода над полученным бинарником.

Фундамент любого Winlocker’a — форма, растянутая почти на весь экран. Причем это не просто большая форма, а окно, которое собой перекрывает все остальные и совершенно не слушается никаких команд. Ни свернуть, ни изменить размер, ни уж тем более завершить процесс программы.

На первый взгляд может показаться, что вирусописатели изобрели ноу-хау, но в реале все намного проще. По факту, это самое обычное окно, для которого установлен стиль отображения «поверх всех».

Чтобы окно вело себя как партизан и не реагировало на просьбы юзера, разработчики слегка модифицируют процедуру обработки сообщений извне.

Модификация сводится к банальной обработке сообщения WM_SYSCOMMAND. Если быть еще точнее, то в процедуре обработки полученных сообщений нужно всего лишь объявить проверку на сообщение WM_SYSCOMMAND. Самое смешное, что в обработке этого сообщения можно вообще не писать код — форма и так перестанет реагировать на события внешней среды.

Вирус должен загружаться вместе с операционной системой. Существует несколько способов обеспечить своей программе автозагрузку. Условно их можно разделить на две группы: простые и продвинутые. На рассмотрение продвинутых не хватит места в статье, поэтому рассмотрим лишь простые, основанные на использовании реестра. Итак, в реестре есть несколько уголков автостарта:

  1. HKLMSoftwareMicrosoftWindowsCurrentVersionRun — отсюда стартуют программы, запускаемые при входе в систему любого юзера.
  2. HKCUSoftwareMicrosoftWindowsCurrentVersionRun — место, аналогично предыдущему, за исключением того, что отсюда грузятся программы текущего пользователя.
  3. HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices — список программ, запускаемых до входа пользователей в систему.
  4. HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorer Run — этот раздел реестра отвечает за старт программ, добавленных в автозагрузку через групповые политики.
  5. HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows — еще одно место, содержащее список программ, загружаемых вместе с Windows.
  6. KHLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon — в этой ветке указывается ссылка на винлогон, но ничто не мешает указать и путь до своей программы.
  7. Папка автозагрузки. Пожалуй, самый примитивный способ, но тем не менее, многие вирусописатели им пользуются.

Какое из предложенных мест автозагрузки выбрать для своего творения? Точного ответа нет, но крайне не рекомендуется ставить все на какой-то один их предложенных вариантов. Куда лучше использовать комбинацию, то есть прописываться сразу в несколько мест. Пример записи в автозагрузку на WinAPI приведен во второй врезке.

Переходим к самой интересной части — блокировке системы пользователя. Перед тем как рассмотреть конкретные примеры объектов блокировки, я хочу поделиться с тобой одним советом.

На основе него очень легко придумывать новые «пакости». Идея проста до безобразия. В профессиональных редакциях Windows (те, которые Pro и выше) имеется редактор групповых политик gpedit.

С его помощью ты имеешь возможность создавать правила входа в систему и так далее.

Например, ты запросто можешь назначить программу, которая будет запускаться после загрузки системы или заблокировать старт определенного приложения. Практически все операции, которые выполняются через эту оснастку, изменяют определенные ключи реестра.

Если ты умудришься разузнать, какие именно ключи реестра модифицируются, то без проблем сможешь изменять их прямо из своей программы. Как это сделать? Существует два варианта: применить метод научного тыка, или воспользоваться утилитой ProcessMonitor от Марка Руссиновича.

Второй способе явно круче, поэтому советуем скачать утилиту и приступить к исследованиям.

Большинство пользователей привыкли редактировать реестр с помощью встроенного в Windows редактора реестра regedit. Поскольку наш вирус будет вносить изменения в реестр, нам необходимо не допустить ковыряний в реестре со стороны нерадивого пользователя.

Нечего ему совать свой любопытный нос куда не следует. Решить эту задачу проще всего путем блокировки запуска редактора реестра.

Чтобы выполнить блокировку, достаточно создать ключ DisableRegistryTools со значением 1 в ветке HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem.

Все без исключения винлокеры, которые я видел, блокировали запуск диспетчера задач. Что ж, не станем от них отставать. Реализуется эта фича созданием ключа DisableTaskMgr (тип dword) со значением 1 в той же самой ветке, где и DisableRegistryTools.

Особо мозговитые юзеры с помощью апплета «Установка и удаление программ» в случае заражения системы пытаются инсталлировать антивирусы. Это легко пресечь, если создать ключ NoAddRemovePrograms со значением 1 (тип dword) все в том же разделе, где и DisableRegistryTools.

Чтобы полностью испортить пользователю настроение, можно вообще заблокировать доступ к присутствующим в системе дискам .

Пусть юзер даже не пытается запустить антивирус со своей флешки! Реализуем этот трик путем создания ключа NoViewOnDrive (dword) в разделе HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer. В качестве значения для ключа указываем битовою маску блокируемого диска.

Например, для диска C это будет 4. В случае, если требуется заблокировать несколько дисков, то их маски придется сложить. Например, значение 12 будет соответствовать блокировке дисков C (4) и D (8).

Заразил компьютер бедного пользователя? Не забудь позаботиться о его друзьях! Помни, чем шире распространится вирус, тем больше шансов получить деньги. Обосновавшись на вражеской машине, нужно не терять времени зря, а пытаться найти новый плацдарм.

Как это сделать? Один из простых и самых действенных способов — мониторинг и заражение флешек. Поскольку пользователи постоянно пользуются флешками, нашему вирусу будет легко мигрировать из одной системы в другую. Определить факт подключения флешки легко.

Достаточно написать код, обрабатывающий событие WM_DEVICECHANGE.

В коде из третьей врезки я использовал константы и структуры, описания которых нет в модулях, поставляемых вместе с Delphi. Их придется описывать самостоятельно. Я всю информацию брал с MSDN, но ты можешь не париться, а сразу взять исходник моего кода на DVD.

Читайте также:  Лайфхакер-2012: 10 лучших тренировок года - хитрые советы

Источник: https://xakep.ru/2010/11/11/53562/

Как удалить троянский вирус

Инструкция

Одной из самых неприятных разновидностей троянских программ являются бэкдоры (backdoor), позволяющие хакеру осуществлять удаленное управление зараженным компьютером. Оправдывая свое название, backdoor открывает для злоумышленника лазейку, через которую можно выполнять на удаленном компьютере любые действия.

Бэкдор состоит из двух частей: клиентской, установленной на компьютере хакера, и серверной, находящейся на зараженном компьютере. Серверная часть всегда находится в ожидании соединения, «вися» на каком-то порту. Именно по этому признаку – занимаемому порту – ее и можно отследить, после чего удалить троянскую программу уже будет значительно проще.

Откройте командную строку: «Пуск – Все программы – Стандартные – Командная строка». Введите команду netstat –aon и нажмите Enter. Вы увидите список соединений вашего компьютера. Текущие соединения будут обозначены в колонке «Состояние» как ESTABLISHED, ожидание соединения отмечается строкой LISTENING. Бэкдор, ожидающий соединения, находится именно в состоянии слушания.

В первой колонке вы увидите локальные адреса и порты, используемые осуществляющими сетевые соединения программами. Если вы видите у себя в списке программы в состоянии ожидания соединения, это не значит, что ваш компьютер непременно заражен. Например, порты 135 и 445 используются сервисами Windows.

В самой последней колонке (PID) вы увидите номера идентификаторов процессов. Они помогут вам узнать, какая программа использует интересующий вас порт. Наберите в том же окне командной строки команду tasklist.

Перед вами появится список процессов с указанием их имен и номеров идентификаторов. Посмотрев идентификатор в списке сетевых соединений, вы можете по второму списку определить, какой программе он принадлежит.

Бывает так, что имя процесса вам ничего не говорит. Тогда воспользуйтесь программой Everest (Aida64): установите ее, запустите и посмотрите список процессов. Программа Everest позволяет легко находить путь, по которому находится исполнимый файл.

Если программа, запускающая процесс, вам незнакома, удалите исполнимый файл и закройте его процесс. В процессе следующей загрузки компьютера может всплыть окно предупреждения о том, что такой-то файл не может запуститься, при этом будет указан его ключ автозапуска в реестре.

Пользуясь этой информацией, удалите ключ, используя редактор реестра («Пуск – Выполнить», команда regedit).

Если исследуемый процесс действительно принадлежит бэкдору, в колонке «Внешний адрес» вы можете увидеть ip соединившегося с вами компьютера. Но это, скорее всего, будет адрес прокси-сервера, поэтому вычислить хакера вам вряд ли удастся.

Источники:

Источник: https://www.kakprosto.ru/kak-6654-kak-udalit-troyanskiy-virus

Удаляем Winlock вручную или как разблокировать Windows

В последнее время большое распространение получили так называемые вредоносные программы, которые «берутся неоткуда» и «блокируют Windows». Официальное название такого ПО — Trojan.Winlock.n, который к настоящему времени насчитывает несколько десятков версий.

Такого рода программы, проникая на компьютер, после перезагрузки блокируют доступ к рабочему столу Windows. Для разблокировки Windows предлагается отправить СМС, пополнить счет или какого-нибудь аккаунт платежного терминала.

Ни в коем случае не следует выполнять требования мошенников, так как этими действиями Вы спонсируете написание новых вирусов. Тем более избавится от этого вируса достаточно просто.

В основе работы любой версии Trojan.Winlock используются штатные средства операционной системы, которыми и организовывается «блокировка Windows».

Фактически алгоритм действия примерно такой:

  1. Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7.

    Способы попадания используются различные, начиная от клика по «лжебаннеру» и заканчивая установкой вируса самим пользователем, который может находится в «крякнутом» платном ПО. В основном Trojan.Winlock находится во временных директориях используемого браузера.

  2. Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством.

    При успешной «активации» это значение заменяется обратно на стандартный Explorer.

  3. После перезагрузки ОС Вы получаете окно с вымогательствами.

Как разблокировать Windows и удалить Winlock?

Чтобы избавится от баннера, который блокирует работу вашего компьютера можно воспользоваться:

  1. различными on-line сервисами антивирусных компаний, которые собирают данные, поступившие к ним от пользователей. Это самый простой способ, но «активировать» самые последние версии Trojan.Winlock им не под силу. Вот перечень web-сервисов:
    • Dr.Web
    • Eset NOD32
    • Kaspersky

    Вводите номер телефона вымогателя и получаете фразу разблокировки.

  2. воспользоваться инструментом системного администратора ERD Commander (145 Мб), который является LiveCD с операционной системой Windows, способной редактировать системный реестр установленной ОС.

Удаляем Winlock с помощью ERD Commander

Фактически требуется отредактировать 2 параметра системного реестра установленной ОС Windows и очистить временные файлы используемого Вами браузера. В большинстве случаев этих действий хватает для восстановления работы ОС Windows.

Разблокировка Windows с помощью ERD Commander:

  1. Загружаемся с LiveCD-диска ERD Commander`а. При загрузке ERD Commander`а появится окно подключения локальной сети.Нажимаем Skip, так как сеть нам не понадобится.

    В следующем окне выбираем ОС, с которой будет проводится дальнейшая работаи нажать Enter. Это окно нужно на случай, если используется несколько ОС на одном компьютере.

  2. Удаляем временные файлы ОС и используемого Вами браузера. Для этого воспользуемся ярлыком My Computer. Очистить необходимо директории:
    • C:WindowsTemp
    • C:Documents and SettingsлогинLocal SettingsTemporary Internet Files
    • C:Documents and SettingsлогинLocal SettingsApplication DataOperaOperacache
    • C:Documents and SettingsлогинLocal SettingsApplication DataOperaOperacache
  3. Редактируем системный реестр Windows. Запускаем Start > Administrative Tools > Registry Editor:
    • изменить параметр Userinit (REG_SZ), который находится [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon], на значение C:WINDOWSsystem32userinit.exe
    • изменить параметр Shell (REG_SZ), который находится там же, на значение Explorer.exe

    Должно получится так:

  4. Перезагружаем компьютер и для надежности проверяем ОС бесплатным антивирусом, к примеру, этим.

Случайные 7 статей:

Источник: https://itshaman.ru/articles/262

Как бороться с эпидемией Trojan.Winlock?

CNews: Расскажите, пожалуйста, когда вы заметили начало эпидемии и какова была ваша реакция?

Валерий Ледовской: О первых случаях заражения компьютеров блокировщиками Windows стало известно примерно три года назад. Поначалу эти программы требовали передачи денег злоумышленникам посредством таких платежных систем, как WebMoney, и обычно достаточно легко удалялись из системы вручную.

В октябре-ноябре 2009 года подобные случаи заражения резко участились, сами блокировщики стали сложнее, а в роли наиболее популярных способов оплаты выступили SMS-сообщения. Стало очевидно, что данный тип вредоносных программ выходит на лидирующие позиции.

Тогда впервые и пришло понимание того, что, если распространение блокировщиков перетечет в эпидемию, это принесет производителям антивирусного ПО множество проблем.

CNews: Можете ли вы рассказать более подробно о некоторых из таких проблем?

Валерий Ледовской: Блокировщики достаточно сложно отделить от невредоносных программ. Вреда самой системе, как правило, они не наносят.

Страдает пользователь, который не только лишается доступа к собственному компьютеру, но и становится объектом вымогательства.

При этом проблема заключается в том, что множество легальных программ также периодически требуют ввести какую-либо информацию. Поэтому блокировать все подобные программы нельзя.

Валерий Ледовской: Ощущать моральную поддержку пользователей после решения проблемы — это дорогого стоит

Но эта проблема — не единственная, с которой столкнулись антивирусные вендоры. Со временем блокировщики научились препятствовать запуску специальных лечащих утилит, они отображаются даже в безопасном режиме Windows, закрывают доступ к сайтам антивирусных компаний и пр.

Сейчас известно, что далеко не все пользователи выполняли требования преступников и отправляли SMS-сообщения. Но зараженных систем было очень много.

При этом, как правило, на окнах, блокирующих доступ в систему, пользователи могли видеть изображения эротического и порнографического содержания, что, по замыслу вымогателей, должно было заставить как можно скорее расплатиться и избавиться от компрометирующих картинок.

Несмотря на то что я участвовал и участвую в поддержке сайта Dr.Web Unlocker, моей основной зоной ответственности на протяжении всей эпидемии блокировщиков был анализ статистических данных и своевременное информирование пользователей. Ведь чем выше осведомленность о проблеме и возможных методах ее решения, тем меньше злоумышленники получат денег на развитие своих незаконных проектов.

CNews: Когда произошел новый виток эпидемии, и какие средства борьбы с ней существуют на данный момент?

Валерий Ледовской: В январе, на пике первой волны, блокировщики распространились настолько, что проблема получила широкую огласку.

Со временем разработчики антивирусов смогли «научить» свои продукты определять некоторые типы блокировщиков по косвенным признакам, и эффективность противодействия эпидемии возросла.

Однако альтернативные методы помощи, предлагаемые, к примеру, нашей компанией (бесплатная техническая поддержка по случаям заражения блокировщиками, бесплатные антивирусные утилиты, специальный раздел сайта и пр.

), играют не менее существенную роль, чем сам антивирус.

Необходимо учитывать, что эти сервисы создавались с расчётом на бесплатную помощь не только пользователям Dr.Web, а всем пострадавшим, независимо от того, каким антивирусом они пользуются и пользуются ли они им вообще.

CNews: Когда впервые появилась идея создания сайта разблокировки Dr.Web Unlocker и как она была реализована?

Валерий Ледовской: Идея генерировать коды разблокировки по известному короткому номеру и тексту сообщения возникла задолго до появления проекта Dr.Web Unlocker.

В апреле 2009 года вместе с одной из наших новостей на официальном сайте по поводу обнаружения очередной модификации Trojan.Winlock (так называются блокировщики по классификации антивируса Dr.Web) была опубликована форма, которая выдавала пользователям коды.

Это был первый в Рунете подобный онлайн-сервис для помощи пострадавшим от блокировщиков.

Источник: http://safe.cnews.ru/articles/kak_borotsya_s_epidemiej_trojan_winlock_

Программы для защиты от троянов

В сети интернет есть десятки различных угроз: начиная от относительно безвредных рекламных приложений (которые встраиваются в ваш браузер, например) до таких, которые могут украсть ваши пароли. Такие зловредные программы получили название троянов.

Обычные антивирусы, конечно, справляются с большинством троянов, но далеко не со всеми. Антивирусам в борьбе с троянами необходима помощь. Для этого разработчики создали отдельную касту программ…

Вот о них сейчас и поговорим.

1. Программы для защиты от троянов

Таких программ существует десятки, если не сотни. В статье хотелось бы показать лишь те, которые меня лично выручали и не раз…

1.1. Spyware Terminator

Ссылка на оф. сайт: http://www.spywareterminator.com/

По моему мнению — это одна из лучших программ для защиты компьютера от троянов. Позволяет не только сканировать компьютер на обнаружение подозрительных объектов, но и осуществлять защиту в реальном времени.

Установка программы стандартная. После запуска, увидите примерно картинку, как на скриншоте ниже.

Далее нажимаем кнопку быстрого сканирование и ждем, пока полностью не будут просканированы все важные разделы жесткого диска.

Казалось бы, несмотря на установленный антивирус, в моем компьютере было найдена порядка 30 угроз, которые крайне желательно было удалить. Собственно, с чем и справилась эта программа.

1.2. SUPER Anti Spyware

Ссылка на сайт программы: http://www.superantispyware.com/

Отличная программа! Правда, если ее сравнивать с предыдущей, есть в ней один маленький минус: в бесплатной версии отсутствует защита в реальном времени. правда, а зачем большинству она нужна? Если на компьютере установлен антивирус, до достаточно проверять время от времени на трояны при помощи этой утилиты и за компьютер можно быть спокойным!

После запуска, для начала сканирования, нажмите «Scan you Computer..».

После 10 минут работы этой программы, она мне выдала несколько сотен нежелательных элементов в моей системе. Весьма неплохо, даже лучше чем Terminator!

Скачать: http://www.simplysup.com/

Вообще, эта программа платная, но 30 дней ее можно использовать совершенно бесплатно! Ну а ее возможности просто отличны: может удалить большинство рекламных модулей, троянов, нежелательные строчки коды, встраиваемые в популярные приложения и пр.

Определенно стоит попробовать тем пользователям, которым не помогли две предыдущие утилиты (хотя думаю, таких не много).

Программа не блещет графическими изысками, здесь все просто и лаконично. После запуска, нажимаете по кнопке «Scan».

Trojan Remover начнет сканирование компьютера, при обнаружении опасного кода — перед вами всплывет окно с выбором дальнейшего действия.

Сканирование компьютера на наличие троянов

Что не понравилось: после сканирования, программа автоматически перезагрузила компьютер, не спросив об этом пользователя. В принципе, был готов к такому повороту, но часто, бывает что открыто 2-3 документа и резкое их закрытие может обернуться потерей не сохраненной информации.

2. Рекомендации по предотвращению заражения

В большинстве случаев, сами пользователи виноваты в заражении своих компьютеров. Чаще всего, пользователь сам нажимает на кнопку запуска программы, скачанную неизвестно откуда, а то еще и присланную по e-mail.

И так… несколько советов и предостережений.

1) Не переходите по ссылкам, которые присылают вам в социальных сетях, в Skype, в ICQ и пр. Если вам присылает необычную ссылку ваш «друг», возможно он был взломан. Так же не торопитесь переходить по ней, если у вас на диске есть важная информация.

2) Не используйте программы из неизвестных источников. Чаще всего вирусы и трояны встречаются во всяких «кряках» для популярных программ.

3) Установите один из популярных антивирусов. Регулярно его обновляйте.

4) Регулярно проверяйте компьютер программой против троянов.

5) Делайте, хотя бы иногда, резервные копии (о том, как сделать копию всего диска — см. тут: https://pcpro100.info/kak-sdelat-rezervnuyu-kopiyu-hdd/).

6) Не отключайте автоматическое обновление ОС Windows, если же все таки сняли галочку с авто-обновления — устанавливайте критические обновления. Очень часто в эти заплатки помогают предотвратить заражение компьютера опасным вирусом.

Если вы заразились неизвестным вирусом или трояном и не можете зайти в систему, первым делом (личный совет) загрузитесь с аварийного диска/флешки и скопируйте всю важную информацию на другой носитель.

PS

А как вы справляетесь со всякими рекламными окнами и троянами?

Источник: https://pcpro100.info/programmyi-dlya-zashhityi-ot-troyanov/

Удаляем троян Winlock

Попался однажды на машинке троянец Winlock. Вроде бы стандартный, да не все так просто. Во-первых: антивирус его еще не определял (ни Nod, ни CureIt). Во-вторых: он не только перекрывал большую часть рабочего стола, но и не давал исполнять многие приложения (какие точно, опишу ниже). Вот как выглядит это чудо:

Кто не хочет читать процесс поимки трояна – может сразу перейти к гайду по удалению.

Кроме того, советую прочитать статью о том, как защититься от нового шифровальщика WannaCry.

Троян просит отправить код 4579304 на номер 5121. Вся это гадость занимает большую часть экрана.

Плюс в том, что незначительное свободное пространство все таки остается и это дает нам преимущество (причем чем выше разрешение, тем больше пространства – размеры окна троянца фиксированы). Первым делом я попытался запустить regedit и taskmanager.

Конечно, локер сделать мне этого не дал. То есть программы запускались, но тут же завершались. Опытным путем было установлено, что в нем зашит какой то фильтр по которому он закрывает “неугодные” приложения.

Например, троян не разрешил запустить ни один из браузеров, но нормально реагировал на WinRar и даже msconfig, вот ProcessExplorer тут же завершал, причем уже тогда, когда я заходил в папку с ним.

Следующей моей идеей было поискать “кряк” для разблокировки, благо под рукой оказался еще один компьютер, подключенный к интернету. Привожу ниже список сайтов, где можно найти коды к подобного рода троянам от производителей антивирусов:

Учитывая тот факт, что троян определялся вирусами вполне логично было, что кодов на этих сайтах не было. Тогда я вспомнил про COMODO Firewall, который все это время тихо висел в трее (то что тихо – это моя заслуга, конечно, сам отключил проактивную защиту).

С помощью встроенного в него просмоторщика активных процессов и был выявлен наш шпион. Файл располагался в следующем каталоге – C:Program FilesCommon FilesOffice. Лежало там два файла: собственно виновник торжества – excel.exe и техтешник time.

txt, внутри которого было написано таинственно число 25.

Теперь осталось удалить его (я делал это из под Линукса, так как хотел оставить файл для отправки производителям антивируса), но вроде как он не был защищен, поэтому ничто не мешает удалить его прямо в винде.

Теперь перезагружаемся и запускаем regedit. Нас интересует следующая ветка: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon смотрим на значение Shell.

После трояна оно выглядит так:

Редактируем, оставляя только Explorer.exe. Ну и осталось проверить файл hosts, такие троянцы любят записывать туда всякую дрянь. Напомню, что файл находится в каталоге C:WindowsSystem32driversetc. Открываем файл блокнотом. Внутри должна быть только одна строчка:

Обращаю внимание, что трояны в последнее время стали идти на хитрость и добавлять свои строчки через пару сотен переводов строки. Т.е открываешь файл – вроде все как надо, а вся дрянь записана в самом конце, поэтому прокрутите содержимое файла до конца.

Все эти действия подходят для трояна, который просит отправить код 4579304 на номер 5121

Работоспособность метода для других троянов НЕ гарантируется.
Файл трояна я отправил основным производителям антивируса. Надеюсь его в ближайшее время добавят в вирусные базы.

Итак поэтапное удаление:

1) Заходим в каталог C:Program FilesCommon FilesOffice и удаляем exel.exe. Перезагружаемся.
2) Открываем regedit (пуск-выполнить-regedit). Заходим в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon меняем значение Shell на Explorer.exe,
3) Проверяем файл hosts

Удачи и будьте аккуратны!

Источник: https://itnerd.ru/2010/06/07/udalyaem-troyan-winlock/

Троянская программа (троян). Что по чём и как бороться?

Думаю следует начать с названия и ответить на вопрос: «Почему это творение назвали именно троянская программа (троян)?» Истоки этого названия идут с легендарной битвы, в ходе которой был сооружен деревянный конь, именуемый «троянским». Принцип действия этого  коня был в «хитрой безобидности», тобеж прикинувшись подарочной штучкой и оказавшись в самой крепости врага, сидевшие в коне воины, открыли ворота Трои, дав возможность основным войскам вломиться в крепость.

Точно также дела обстоят и в современном  цифровом мире с троянской программой.

Отмечу сразу тот факт, что «троян» нельзя относить к классу вирусов, так как у него отсутствует принцип саморазмножения и суть его действия немного  иная.

Да и распространяется он человеком, а не самостоятельно, как это делают обычные вирусы. Трояны зачастую относят к классу вредоносного программного обеспечения.

Так вот принцип действия троянской программы (трояна), также открыть ворота вашего компьютера мошеннику, к примеру, для кражи ценных паролей или для несанкционированного доступа к вашим данным.

  Очень часто, заражённые «троянами» компьютеры, без разрешения пользователя принимают участие в масштабных DDos-атаках на сайты.

То есть, невинный пользователь спокойной гуляет по интернету, а в это время его компьютер бесстрастно «ложит»  какой-нибудь правительственный сайт бесконечными обращениями.

Зачастую трояны маскируются под совершенно безобидные программы, просто копируя её иконку. Также бывают случаи, когда код троянской программы встраивается в обычную, полезную софтинку, которая корректно выполняет свои функции, но при этом троян из-под неё и совершает свои зловредства.

В наши дни очень популярными стали заражения винлоками (trojan.

winlock), которые выводят экран с подобным текстом: «Для разблокировки вашей операционной системы отправьте SMS на номер xxxx, иначе ваши данные будут переданы в службу безопасности».

Находилось очень много пользователей, которые отправляли данное сообщение (и не один раз), а мошенники в свою очередь получали чуть ли не миллионы с огромного количества обманутых людей .

Как вы видите применение троянских программ рассчитано на получение определённой выгоды, в отличии от обычных вирусов, которые просто наносят вред удалением файлов  и выводят систему из строя. Можно сделать вывод, что данное вредоносное программное обеспечение, более интелектуально и тонко, по принципу своего действия и результатов. 

Как бороться с троянскими программами?

Для борьбы с троянами необходимо иметь антивирус, с постоянно обновляющимися базами обнаружения.

Но тут появляется другая проблема, именно из-за своей скрытности информация о троянах гораздо хуже и позднее доходит до разработчиков антивирусного ПО.

 Поэтому также желательно иметь отдельный фаервол (например, Comodo Firewall), который, если и пропустит, то уж точно не выпустит бесконтрольную передачу данных с вашего компьютера мошенникам.

Другие виды вирусов: Кейлоггеры, Руткиты, Полиморфные вирусы.

Если же это вышеописанный trojan.winlock, который заблокировал вашу систему, для освобождения от него необходимо просто записать образ LiveCD на диск,  и загрузиться из-под него, а там уже проверить на вирусы Ваш компьютер. Но когда ничего не помогает, то всегда под рукой будет радикальный метод – переустановка ОС.

Вот такие вот они, эти  «трояны»

Источник: http://we-it.net/index.php/soft/security/87-troyanskaya-programma-troyan-chto-po-chjom-i-kak-borotsya

О вирусах и сетевых атаках

  • Блокировщики интернета. Существуют вирусы, которые блокируют доступ в сеть от имени интернет-провайдеров под предлогом того, что канал связи якобы перегружен.

    Вы открываете браузер и пытаетесь зайти на интернет-ресурс, а в окне отображается сообщение о том, что местный канал перегружен, но можно подключить резервный канал связи. Для этого предлагается ввести в соответствующее поле свой номер телефона и ответить на пришедшее SMS.

    При вводе своего номера телефона и отправке сообщения со счета списывается неопределенная сумма денег.

  • Блокировщики социальных сетей. Есть также разновидности интернет-блокировщиков, которые закрывают доступ к социальным сетям.

    При попытке пользователя открыть сайт социальной сети в окне браузера возникает похожая страница с сообщением о том, что профиль заблокирован: «Мы зафиксировали попытку взлома вашей страницы. Не беспокойтесь, она в безопасности.

    Чтобы обезопасить вашу страницу от злоумышленников и в будущем, мы просим вас подтвердить привязку к телефону и придумать новый сложный пароль». Чтобы «решить проблему», предлагается ввести в соответствующее поле свой номер телефона. На ваш телефон поступит SMS с кодом подтверждения, который требуется ввести в другое поле.

    После этого мобильный номер будет подписан на платную услугу.

не вводите свой номер телефона ни в каких формах, не отвечайте на SMS. Проверьте компьютер на наличие вирусов. Если не удается открыть страницу Dr.Web или Лаборатории Касперского, сделайте это на другом компьютере: скачайте дистрибутив антивирусной программы, скопируйте его на флешкарту и откройте на зараженной машине.

Блокировщик операционной системы Troyan Winlock

Мошенники широко применяют вредоносные программы, которые блокируют загрузку операционной системы на зараженном компьютере и отображают сообщение примерно следующего содержания:

«Ваш Windows заблокирован. Вы просматривали сайты, содержащие порнографический контент. Если не принять мер, в течение 12 часов все данные, включая Windows и Bios, будут полностью удалены.

Для устранения блокировки внесите 300 рублей на номер х-ххх-ххх-хх-хх (указан частный номер).

После этого на телефон придет сообщение /на чеке об оплате будет указан код, по которому вы сможете разблокировать Windows».

Это известный вирус Trojan.Winlock.

Совет:

ни в коем случае не отправляйте деньги на счет неизвестного абонента. На сайтах антивирусных компаний специально для таких случаев есть сервисы подбора кодов разблокировки — Dr.Web и Лаборатория Касперского.

Воспользуйтесь вторым компьютером (домашним/рабочим), чтобы найти такой сервис и введите в нужное поле указанный номер мобильного. Далее введите найденный код на зараженном компьютере.

После того, как окно с сообщением о блокировке исчезнет с рабочего стола, обязательно проверьте компьютер на наличие вирусов.

Сетевые атаки

Помимо вирусов и шпионских программ, вы можете столкнуться с удаленными сетевыми атаками на ваш компьютер. Основной целью таких атак является вывод из строя вашего компьютера, перехват отправляемых вами данных, получение удаленного доступа к вашему компьютеру. Для защиты от подобных атак необходимо использовать специальные программы – Firewall.

Всем абонентам «Домашнего интернета» предоставляется бесплатная услуга Firewall. С ее помощью вы можете фильтровать входящие запросы на ваш компьютер, тем самым обезопасив себя от наиболее распространенных сетевых атак. Подключить данную услугу, а также произвести настройку уровня защиты, вы можете в Личном кабинете.

В качестве дополнительной защиты используйте активное сетевое оборудование – роутер. Данное устройство уже содержит в себе защитный межсетевой экран, который фильтрует подозрительные запросы к вашему компьютеру. Использование роутера существенно снижает риск проникновения на ваш компьютер. Помимо защитной функции, использование роутера дает множество дополнительных преимуществ – вы сможете:

  • пользоваться услугой Домашний интернет «Билайн» без проводов!
  • выходить в интернет из любой точки своей квартиры
  • подключить к интернету одновременно несколько компьютеров
  • объединить в локальную сеть несколько сетевых устройств, таких как компьютеры, КПК, сетевые принтеры, игровые приставки, а также беспроводные Wi-Fi устройства  
  • пользоваться Wi-Fi (возможность установки специального пароля на собственную Wi-Fi сеть по квартире, созданную с помощью роутера).

Подробнее смотрите на сайте Домашнего интернета в разделе «Дополнительные услуги – Wi-Fi-роутер в квартиру».

Фальшивые антивирусы. 

В интернете мошенники активно распространяют поддельные антивирусы, которые никак не защищают компьютер, но выдают ложную информацию о заражениях. Причем такие программы настойчиво требуют заплатить за активацию. Данные о том, что ваш компьютер якобы заражен, выдают и некоторые сайты (мошеннические или взломанные). При заходе в определенный раздел в окне браузера появляется сообщение:

«Сообщение Центра безопасности Windows: Ваш компьютер и личная информация подвергаются опасности, требуется немедленная очистка от вирусов и троянских программ!»

Ниже имеется кнопка «ЛЕЧИТЬ ВСЕ» — после нажатия загружается поддельный антивирус, а вы перенаправляетесь на другой мошеннический сайт.

Совет:

покупайте только лицензионное программное обеспечение известных производителей на официальных сайтах поставщиков. Там же вы можете загрузить тестовую версию, чтобы оценить работу выбранного продукта.

Источник: https://moskva.beeline.ru/customers/pomosh/bezopasnost/ugrozy-v-internete/falshivye-antivirusy/

Ссылка на основную публикацию