Stolní zdroj vysílání
napsal Paul Litwinovich Publikováno v IT Administration.
Stáhnout PDF
udržování počítačů bez některých ošklivých věcí na Internetu vyžaduje neustálou ostražitost, možná s programem proti malwaru. Počítače používané personálem v kontrolní místnosti jsou ještě zranitelnější, protože uživatelé mohou používat méně péče, když na takových běžně sdílených počítačích. Pokud vaše zařízení dostane „dostal,“ Paul Litwinovich má řešení:
spravuji asi 70 počítačů zde ve veřejné rozhlasové skupině WSHU a docela dobře jsem vyčistil příležitostný virus, který obvykle proklouzne v něčí e-mailu.
v posledních týdnech došlo k vyrážce nových počítačových infekcí způsobených trojským koněm Vundo a jeho virovými variantami. To bylo mimořádně těžké, takže jsem na to musel udělat docela dost výzkumu. Možná vás tyto informace upozorní na nebezpečí – a pomohou, pokud je najdete v počítači.
infekce trojským koněm
infekce se může snadno objevit: Trojan Vundo začíná jako vyskakovací okno ve webovém prohlížeči, které uživateli říká, že antivirový program počítače brzy vyprší – nebo má. Požádá vás, abyste “ problém vyřešili kliknutím sem.“Může nabídnout bezplatné stažení“ Internet Security 2010 „nebo jiného programu“ vyčistit počítač.“
varování: pokud vy nebo vaši zaměstnanci uvidíte toto vyskakovací okno, nenechte se pokoušet klepnutím na tlačítko “ X “ zavřít okno. Je to všechno jeden jpeg a pokud na něj kliknete kdekoli, zahájí proces stahování. U některých variant můžete kliknout pravým tlačítkem myši na ikonu prohlížeče v dolním panelu úloh v dolní části obrazovky a zavřít prohlížeč. Pokud budete mít štěstí, zavře se také vyskakovací okno.
pokud vyskakovací okno zůstane na obrazovce v tomto okamžiku, jedinou cestou je uložit všechny otevřené soubory (dokumenty atd., na kterém jste pracovali) a poté počítač zhroutí přidržením vypínače, dokud se nevypne. Možná budete muset projít kontrolou disku při restartu, ale porazí alternativu.
varování: Normální, čisté vypnutí mu dá šanci zapsat se na pevný disk.
co Vundo dělá
existuje mnoho variací Vundo trojských koní, od „relativně“ benigních až po velmi destruktivní. Většina z nich používá vzhled nějaké vyskakovací reklamy a pak se kořenuje, aby bylo obtížné je odstranit.
pokud kliknete na vyskakovací okno, oklamá některé antivirové programy tím, že se objeví jako úmyslné stahování.
poté, co se virus načte sám, pokusí se vypnout váš skutečný antivirový program a nahradit jeho ikonu v systémové liště jednou za falešný antivirový program. Může upravit nastavení zabezpečení tak, aby zobrazovalo varování, že váš antivirový program je třeba aktualizovat, a když kliknete na varování, přenese vás na falešný web a pokusí se vám prodat více falešného softwaru, nebo alespoň získat číslo vaší kreditní karty. Falešný antivirový program se může objevit pod několika jmény.
virus často vypne automatické aktualizace a vytvoří soubor, který vám zabrání spuštění v nouzovém režimu. To bude často psát chránit kopii sebe v mezipaměti prohlížeče, které nemohou být odstraněny. Pokud virus zjistí, že se jej pokoušíte odstranit, může vytvořit desítky kopií sebe sama, které se v adresáři system32 objevují jako podivné pojmenované soubory dll. Další podrobnosti o tom, jak Vundo funguje, jsou k dispozici na většině antivirových webových stránek.
jeden bod, který lze nalézt na téměř všech webových popisech Vundo, je to, že vrhá široké brány, aby nechal ostatní trojské koně, takže čím déle je váš počítač neléčen, tím více virů budete muset řešit. Naštěstí se tyto snadno vyčistí při skenování jednotky po provedení změn k odstranění Vundo.
navíc může dokonce „pozvat“ další viry, aby se usadili: kromě reklam na falešný antivirový program často získáte vyskakovací reklamy na jiné webové stránky, produkty a porno.
analýza
klíčem je způsob, jakým ukládá kopii sebe sama do skryté složky System volume information (která se používá k ukládání bodů obnovení), chráněná proti zápisu se všemi, ale přístup k systému byl odepřen – takže váš skutečný antivirus (pokud je stále funkční) nebo online skenování, jako je Trend Housecall, jej nemůže vždy odstranit. Je také velmi dobrý v prevenci načítání a provádění nástrojů pro odstranění.
ve skutečnosti by AVG, Trend a Norton všichni detekovali a mysleli si, že je odstraňují, ale tam to zůstalo. Zjistil jsem to, když jsem se pokusil skenovat pouze složku SVI a nenalezl žádnou změnu ve své velikosti poté, co antivirový program oznámil čištění viru. Pak jsem zjistil, že virové soubory byly do značné míry uzamčeny.
jak se zotavit z Vundo
je velmi těžké – ve skutečnosti téměř nemožné-zbavit se tohoto viru z infikovaného stroje samotného.
jediným jistým způsobem, jak tuto infekci vyčistit, je použít jeden z těch adaptérů, které vám umožní připojit pevný disk k portu USB, jako je Olevia ADA-2020 nebo podobně.
zde je návod, jak vyčistit počítač:
- odeberte infikovanou jednotku ze svého počítače.
- připojte jej k adaptéru USB připojenému k počítači s aktuálním antivirovým programem.
- zrušte nepříjemný program automatického přehrávání, který se systém Windows otevře, když vidí jednotku.
- Otevřete jednotku v systému Windows. (Nebojte se: tento typ viru nemůže infikovat druhý počítač, zatímco to dělá, může pracovat pouze z jednotky C:)
- jakmile je jednotka otevřená a můžete vidět její obsah, z panelu nástrojů Průzkumníka otevřít: Nástroje / Možnosti složky / Zobrazení a zaškrtnutí políčka “ Zobrazit skryté soubory „a poté zrušte zaškrtnutí políčka“ Skrýt chráněné soubory operačního systému.“
- Nyní uvidíte složku s informacemi o svazku systému. Klikněte pravým tlačítkem na něj a v části Vlastnosti zrušte zaškrtnutí políčka “ pouze pro čtení.“Zatímco jste stále ve vlastnostech, přejděte na kartu Zabezpečení a přidejte aktuálního uživatele nebo správce jako „plnou kontrolu“ (výchozí uživatel systému nestačí). Pokud se přihlásíte jako „Joe“, přidejte“ Joe “ povoleným uživatelům jednotky, kterou opravujete).
- zavřete pole Vlastnosti a nyní klikněte na složku, abyste zjistili, zda se otevře a uvidíte soubory.
- zavřete Průzkumníka Windows.
- klikněte na tento počítač, poté klikněte pravým tlačítkem myši na infikovanou jednotku a vyberte „skenovat pomocí (jakéhokoli) antiviru“, který používáte. Ujistěte se, že řeknete programu, aby odstranil všechny zjištěné hrozby. (Pokud používáte AVG Free, ujistěte se, že máte verzi 9, protože 8.5 neodstraní všechny tyto viry.)
- po vyčištění jednotky jej vložte zpět do původního stroje.
- při spuštění se může zobrazit zpráva, že nemůže najít tento nebo ten soubor nebo .dll atd. To neznamená, že je stroj stále infikován. Registr hledá soubory vytvořené virem, které jsou nyní odstraněny. Všimněte si, jaké jsou soubory, a poté pomocí regedit vyhledejte řádky, které je vyžadují, a odstraňte tyto položky registru.
pokud vše půjde dobře, měli byste nyní být schopni restartovat počítač a získat čisté spuštění. Možná budete muset znovu zapnout automatické aktualizace, ale jinak jsem nenašel žádné trvalé poškození.
po změně nastavení vlastností, jak je popsáno, jsem byl schopen vyčistit celý disk v jednom záběru. Od té doby jsem použil tuto metodu k čištění infekce z několika dalších počítačů, takže mám vysokou úroveň důvěry v metodu.
doufám, že vám to pomůže, pokud se ocitnete tváří v tvář této nepříjemné hrozbě.