Черви Worm.Win32.Sasser.a и Worm.Win32.Sasser.b эксплуатируют уязвимость в службе LSASS Microsoft Windows. Данная "дыра" позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).

Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP.

Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.

 

При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe

Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack.

 

Лечение:

1. Ставим заплатки на компьютер для русской Винды и для английской

2. Используем утилиту fxsasser.exe [148.14 Kb] для удаления червей

Результаты теста антивирусов на лечение активного заражения

 

Каждый день появляются тысячи новых образцов вредоносных программ. В погоне за наживой вирусописатели придумывают все новые методы противодействия обнаружению и удалению своего вредоносного кода из системы антивирусными программами, например, при помощи развития руткит-технологий маскировки. В таких условиях ни один антивирус не способен гарантировать 100% защиту компьютера, поэтому у простого пользователя всегда будут оставаться риски заражения даже с установленной антивирусной защитой.

 

Во многих случаях пропущенная на компьютер вредоносная программа может очень долго находиться незамеченной, даже при установленном антивирусе. В этом случае пользователь будет испытывать ложное чувство защищенности - его антивирус не просигнализирует о какой-либо опасности, в том время как злоумышленники при помощи активной вредоносной программы будут собирать его конфиденциальные данные или использовать мощности компьютера в своих целях. Также нередки случаи, когда вредоносная программа обнаруживается антивирусом, но удалить ее он не может, что вынуждает пользователя обращаться в техническую поддержку или же самостоятельно устранять заражение при помощи дополнительных утилит.

 

Антивирусные вендоры могут защитить своих клиентов, развивая технологии обнаружения проникшего на компьютер вредоносного кода и его корректного удаления. Но, как показывает практика, далеко не все уделяют этому аспекту защиты должное внимание.

 

Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособность операционной систем) обнаруживать и удалять вредоносные программы, уже проникшие на компьютер, начавшие действовать и скрывающие следы своей активности.

Trojan-Keylogger.WIN32.Fung – это имя под которым маскируется другой опасный троян, который используется для распространения поддельных антиспайварных программ. В случае заражения компьютера появляется предупреждение системы безопасности Windows, говорящие о том, что встроенный брандмауэр (firewall) обнаружил на вашем компьютере активность трояна Trojan-Keylogger.WIN32.Fung и предлагается заблокировать его.

 

Это предупреждение – подделка и вам нужно просто его игнорировать. В любом случае у трояна одна задача, вынудить вас скачать и установить поддельную антиспаварную программу. Эта программа выполнит сканирование вашего компьютера и наёдет множество вирусов и троянов. После чего будет требовать купить её, чтобы активировать функцию «удаления» вредоносных программ. Делать этого не нужно, так как и предупреждение системы безопасности Windows описанное выше, так и результаты сканирования – это части одного обмана.

 

HijackThis показывает заражение:

O4 – HKCU\..\Run: [asus32] “%UserProfile%\Application Data\Google\mupd1_2_1711951.exe

Smitfraudfix – это бесплатная программа, которая удаляет рекламное и шпионское ПО. Если у вас изменилась домашняя страница, выскакивают окна с рекламой, ссылки по которым вы кликаете в брайзере ведут совсем не туда куда указывают, то вам необходимо попробовать эту программу.
Эта программа поможет вам удалить: AdwarePunisher, AdwareSheriff, AlphaCleaner, Antispyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntivirusGolden, AVGold, BraveSentry, MalwareWipe, MalwareWiped, MalwaresWipeds, MalwareWipePro, MalwareWiper, PestCapture, PestTrap, PSGuard, quicknavigate.com, Registry Cleaner, Security iGuard, Smitfraud, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpySheriff, SpySoldier, Spyware Vanisher, Spyware Soft Stop, SpywareLocked, SpywareQuake, SpywareKnight, SpywareSheriff, SpywareStrike, Startsearches.net, TitanShield Antispyware, Trust Cleaner, UpdateSearches.com, Virtual Maid, VirusBlast, VirusBurst, Win32.puper, WinHound, Brain Codec, DirectVideo, EliteCodec, eMedia Codec, FreeVideo, Gold Codec, HQ Codec, iCodecPack, iMediaCodec, Image ActiveX Object, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, Media-Codec, MediaCodec, MMediaCodec, MovieCommander, MPCODEC, My Pass Generator, PCODEC, Perfect Codec, PowerCodec, PornPass Manager, PornMag Pass, PrivateVideo, QualityCodec, Silver Codec, SiteEntry, SiteTicket, SoftCodec, strCodec, Super Codec, TrueCodec, VideoAccess, VideoBox, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, VideoCompressionCodec, VideoKeyCodec, VideosCodec, WinAntiSpyPro, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec и многое другое.

Перед использованием Smitfraudfix, распакуйте архив в специально созданный каталог. Зайди в каталог и вы увидите следующие:

Троян TDSServ – это опасный троян, так же известный под именами Backdoor.Win32.TDSS, Backdoor.TDSS и Backdoor.Tidserv. Это очень опасный троян который использует руткит технологии для того чтобы скрыть собственное присутствие на компьютере. Для этого троян TDSServ использует разные имена для своих компонентов, регистрирует основной компонент как скрытый драйвер, а так же перехватывает обращение к реестру и файловой системе. Поэтому с помощью большинства программ вы даже не сможете найти файлы этого трояна.
После заражения блокируется доступ пользователя к большинству антивирусных сайтов, а также запуск антивирусных и антиспайварных программ. Троян TDSServ распространяется не в одиночку, а в основном он идёт в комплекте с трояном (trojan.fakealert), который показывает поддельные сообщения о заражении компьютера и предлагающего скачать и установить на компьютер поддельную антиспайварную программу.

Рассмотрим как удалить троян TDSSserv и сопутствующие вредоносные программы.

1. Отключаем основной компонент (скрытый драйвер) трояна TDSSserv.

• Кликните правой клавишей мыши по иконке Мой компьютер.
• В открывшемся меню выберите пункт Свойства.
• В открывшемся окне Свойства системы выберите вкладку Оборудование.
• Кликните по кнопке Диспетчер устройств.
• Кликните Вид, в открывшемся меню кликните по пункту Показать скрытые устройства.
• В списке устройств найдите пункт Драйверы устройств не Plug and Play.
• Кликните по + слева от наименования этого пункта.
• В открывшемся списке кликните правой клавишей по пункту TDSSserv или TDSSserv.sys или TDSSxyz.sys где xyz случайные символы. Так же отключите драйвера clbdriver.sys, seneka.sys (это тоже трояны, которые могут идти в комплекте).
• В открывшемся меню выберите Отключить.
• Кликните Да для подтверждения ваших действий.
• Закройте все окна и перезагрузите компьютер.