March 19, 2008
Posted by soczekOd kilku dni męczyłem się z wirusem o nazwie OnLineGames jak i “podróżującymi” z nim innymi Trojanami. Co on takie robi? Otóż na początku nic wielkiego, ponieważ ukrywa on pliki ukryte. Nie ma możliwość ich podglądania w systemie blokuje do nich dostęp. Co więcej zauważyłem również mały szczegół, że otwierając jakikolwiek dysk otwierał się w nowym oknie mimo innych ustawień systemowych. No niestety z czasem wirus ten zablokował mi dostęp do wszystkich dysków. Nie mogłem wykonać operacji “Otwórz” ani też “Exploruj”. Jedynym sposobem dostania się do dysku było: Start -> Uruchom -> Nazwa dysku. Nie wspomnę już o tym jak bardzo spowalniał system i pracę dysków.
Niestety z własnego doświadczenia wiem, że wirus ten przenosi się z poprzez PenDrive lub inne dyski przenośne a dokładnie w pliku Autorun.inf. Tworzy on później własne pliki między innymi: na dysku systemowym C:\3o.exe, C:\cfdflx.com, C:\yo2mq6.exe, C:\v.cmd, C:\b.com, oraz na dyskach nie systemowych innych partycjach bądź dyskach wymiennych: H:\cfdflx.com, H:\v.cmd, H:\Autorun.inf.
Wiemy, gdzie infekuje co robi, ale najważniejsze jak go usunąć? Otóż niestety na dzień dzisiejszy programy antywirusowe nie wykrywają wszystkich zainfekowanych plików tylko jeden, bądź dwa z nich i to po kilku dniach gdy baza wirusów została zaktualizowana w programie Avast. Trochę szybciej i lepiej, ale jednak nie do końca skutecznie sprawdził się Kaspersky. Jeśli jednak chcemy na 100% oczyścić nasz komputer z tego Wirusa musimy zaopatrzyć się w darmowy program ComboFix. Następnie należy stworzyć plik txt o nazwie CFScript.txt i wpisać w nim następujące polecenia:
- File::
- C:\3o.exe
- C:\cfdflx.com
- C:\yo2mq6.exe
- C:\v.cmd
- C:\b.com
- H:\cfdflx.com
- H:\v.cmd
- H:\Autorun.inf
- Registry::
- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
{4b0354d4-ed17-11dc-a79d-001a4d98b7a1}] - [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
{5274b0a0-f019-11dc-a7a1-001a4d98b7a1}]
Gdzie dysk C to oczywiście systemowy a dysk H to dysk przenośny (jeśli posiadamy inne partycje bądź dyski zewnętrzne należy je dodać do tej listy jak dysk H). Jeśli taki plik już stworzymy i zapiszemy to należy przeciągnąć i upuścić plik CFScript.txt na plik ComboFix.exe. Jeśli wszystko jest dobrze wykonane powinno rozpocząć się usuwanie (i powstanie log). Po restarcie komputera należy ręcznie usunąć foldery C:\Qoobox na każdym dysku. A PenDrive najlepiej sformatować.
Na marginesie wspomnę, że do wykrywania silnie ukrywających się malware w Win32 może łacno posłużyć tools o nazwie RootkitRevealer (dostępny na stronie http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx). Jak nazwa wskazuje, został pomyślany do ujawniania rootkitów w systemach. Przeskanuje dyski i rejestr, porównując wynik odczytania zawartości przez WinAPI i przez low-levelowe żądania do sterownika filesysu. Jeżeli pojawią się rozbieżności w więcej niż oczywistych miejscach (dla Win2k3 jest to bodajże tzw. Protected Storage a. Magazyn Chroniony :) i $MFT$ dla NTFSu), to podejrzewamy infekcję. Jeżeli coś potrafi zniknąć dla WinAPI, to może też być niewidoczne w puli procesów jądra i przechwycić hooki na różne wywołania tegoż API, np. ukrywając swój ruch sieciowy (botnety i spamboty).