Всем привет!
Поскольку раньше, в первой части, было дано обещание указать общие принципы ручного удаления Smitnyl.A, обещание выполняю. Да, у коммента не набралось 20 плюсов, но думаю, что и 14 человек должны получить то, что их интересовало. Тем более, что при удалении выяснились некоторые особенности работы этого зловреда.
Итак, наша система подготовлена и заражена дроппером Smitnyl.A (размер 37 076 байт, MD5 A6E5BAAEAB6C506CB5A08755B025F6A5). После заражения дроппер (как любой уважающий себя дроппер) самоликвидировался, больше никаких модификаций в системе не произошло, за исключением изменения MBR (оригинальная, заражённая). Подчеркну: на данном этапе userinit.exe заражён не был.
А произошло это заражение после перезагрузки системы, когда сразу начал обнаруживаться вредоносный функционал (все картинки кликабельны):
Как и обещалось — вредонос работает как даунлоадер и в нашем случае он скачивает свою бэкдор-компоненту.
И вот дальше обнаруживается интересное. На самом деле, фэйковый explorer.exe выполняется единожды при загрузке, скачивает в корень системного диска и запускает контент, после чего выгружается и самоуничтожается:
В итого в системе есть бэкдор, однако ничто не указывает на его источник — Smitnyl.A! Cканирование AVZ системы обнаруживает наличие модуля бэкдора, запущенного как служба, позволяет его удалить, однако новая перезагрузка всё вернёт на свои места:
Обнаружить признак Smirnyl.A можно только если внимательно рассмотреть следующую часть лога:
Тут становится понятно: система не распознала заражённый userinit.exe по базе CRC, а потому вывела её с подозрением (система также не распознала и cmd.exe — но это верно: я сам подменил этот файл для журналирования операций в шелле).
Итак, каково же было лечение?
1. Поскольку userinit.exe при активной системе не задействован, его просто перезаписываем оригинальным файлом из дистрибутива или незаражённой системы.
2. Если на данном этапе провести перезагрузку — userinit.exe будет опять заражён. Поэтому производим восстановление MBRFix, однако это не значит, что не сработают другие варианты.
3. Производим стандартное лечение с помощью скрипта AVZ:
(Скрипт может меняться в зависимости от того, что закачает и запустит даунлоадер).
После перезагрузки система была полностью очищена.
Поскольку раньше, в первой части, было дано обещание указать общие принципы ручного удаления Smitnyl.A, обещание выполняю. Да, у коммента не набралось 20 плюсов, но думаю, что и 14 человек должны получить то, что их интересовало. Тем более, что при удалении выяснились некоторые особенности работы этого зловреда.
Итак, наша система подготовлена и заражена дроппером Smitnyl.A (размер 37 076 байт, MD5 A6E5BAAEAB6C506CB5A08755B025F6A5). После заражения дроппер (как любой уважающий себя дроппер) самоликвидировался, больше никаких модификаций в системе не произошло, за исключением изменения MBR (оригинальная, заражённая). Подчеркну: на данном этапе userinit.exe заражён не был.
А произошло это заражение после перезагрузки системы, когда сразу начал обнаруживаться вредоносный функционал (все картинки кликабельны):
Как и обещалось — вредонос работает как даунлоадер и в нашем случае он скачивает свою бэкдор-компоненту.
И вот дальше обнаруживается интересное. На самом деле, фэйковый explorer.exe выполняется единожды при загрузке, скачивает в корень системного диска и запускает контент, после чего выгружается и самоуничтожается:
> C:\Documents and Settings\1\> ** New Command Shell [PID:1996]
> del C:\DOCUME~1\1\LOCALS~1\Temp\explorer.exe
> ** New Command Shell [PID:3144]
> del C:\2008.exe В итого в системе есть бэкдор, однако ничто не указывает на его источник — Smitnyl.A! Cканирование AVZ системы обнаруживает наличие модуля бэкдора, запущенного как служба, позволяет его удалить, однако новая перезагрузка всё вернёт на свои места:
Обнаружить признак Smirnyl.A можно только если внимательно рассмотреть следующую часть лога:
Тут становится понятно: система не распознала заражённый userinit.exe по базе CRC, а потому вывела её с подозрением (система также не распознала и cmd.exe — но это верно: я сам подменил этот файл для журналирования операций в шелле).
Итак, каково же было лечение?
1. Поскольку userinit.exe при активной системе не задействован, его просто перезаписываем оригинальным файлом из дистрибутива или незаражённой системы.
2. Если на данном этапе провести перезагрузку — userinit.exe будет опять заражён. Поэтому производим восстановление MBRFix, однако это не значит, что не сработают другие варианты.
3. Производим стандартное лечение с помощью скрипта AVZ:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tjmitrd.dll','');
DeleteFile('c:\windows\system32\tjmitrd.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.(Скрипт может меняться в зависимости от того, что закачает и запустит даунлоадер).
После перезагрузки система была полностью очищена.
