Instrukcje dotyczące lokalizowania i usuwania złośliwego oprogramowania Shadow bot

Lokalizowanie złośliwego oprogramowania (z oprogramowania zabezpieczającego)

Od 30 stycznia 2008 Kaspersky Anti-Virus jest w stanie wykryć złośliwe oprogramowanie, które obsługuje Shadow botnet. Wykrywane nazwy mogą się różnić od oryginalnej wersji. Złośliwe oprogramowanie jest wykrywane pod następującymi nazwami:

• Backdoor.Win32.IRCBot.bit
• Backdoor.Win32.IRCBot.biy
• Backdoor.Win32.IRCBot.bjd
• Backdoor.Win32.IRCBot.bjh
• Backdoor.Win32.IRCBot.cja
• Backdoor.Win32.IRCBot.cjj
• Backdoor.Win32.IRCBot.ckq
• Backdoor.Win32.IRCBot.cow
• Backdoor.Win32.IRCBot.czt
• Backdoor.Win32.IRCBot.ekz
• Rootkit.Win32.Agent.aet
• Trojan-Downloader.Win32.Injecter.pj
• Trojan.Win32.DNSChanger.azo
• Trojan.Win32.DNSChanger.bao
• Trojan.Win32.DNSChanger.bck
• Trojan.Win32.DNSChanger.bfo
• Trojan.Win32.DNSChanger.bjh
• Trojan.Win32.DNSChanger.bji
• Trojan.Win32.DNSChanger.bjj
• Trojan.Win32.DNSChanger.bmj
• Trojan.Win32.DNSChanger.bnw
• Trojan.Win32.DNSChanger.bqk
• Trojan.Win32.DNSChanger.bsm
• Trojan.Win32.DNSChanger.buu
• Trojan.Win32.DNSChanger.bwi
• Trojan.Win32.DNSChanger.bxd
• Trojan.Win32.DNSChanger.bxe
• Trojan.Win32.DNSChanger.bxv
• Trojan.Win32.DNSChanger.cap
• Trojan.Win32.DNSChanger.ccg
• Trojan.Win32.DNSChanger.cei
• Trojan.Win32.DNSChanger.cem
• Trojan.Win32.DNSChanger.eag
• Trojan.Win32.DNSChanger.gvb
• Trojan.Win32.Restarter.e
• Trojan.Win32.Restarter.f
• Trojan.Win32.Restarter.g
• Trojan.Win32.Restarter.h

Obecna próbka wykryta została 6 sierpnia 2008 Trojan.Win32.DNSChanger.gvb

Lokalizowanie złośliwego oprogramowania (ręcznie)

Jako że bot nie kopiuje swojego ciała do systemu, stąd nazwa szkodliwego pliku może być różna. Nazwa szkodliwego pliku instalatora zależy od instalatora wykorzystanego do zainfekowania systemu przez bota. Jednakże możliwe jest wykrycie obecności BOTa poprzez sprawdzenie rejestru systemu.

Użytkownicy mogą sprawdzić rejestr systemu uruchamiając regedit.exe i sprawdzając wartość następującego rejestru:

HKEY_CLASSES_ROOT\.htc\Content Type

Administratorzy dużych sieci mogą to zrobić zdalnie za pomocą komendy reg.exe jak pokazano poniżej:

Domyślna wartość rejestru systemu (dla systemu Windows XP Pro SP2) dla HKEY_CLASSES_ROOT\.htc\Content Type jest “text/x-component”. Jeżeli rejestr ma inną wartość jak “{space}”, może to oznaczać, że maszyna jest zainfekowana złośliwym Shadow botem.

Można również sprawdzić inną gałąź rejestru, który umożliwia BOTowi nawiązanie połączenia sieciowego, przez zmianę zasady Zapory sieciowej systemu Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\.

BOT dodaje element do listy Autoryzowanych aplikacji. Reguła może być określona jako "Flash Media", jak pokazano poniżej, ale nazwa może się różnić.

Umożliwia to sprawdzenie rzeczywistej ścieżki do miejsca, gdzie przechowywany jest złośliwy plik na zainfekowanym systemie. Ścieżkę do złośliwego pliku można również znaleźć w wartości rejestru HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. BOT dołącza ścieżkę do swojego pliku do userinit.exe, jak pokazano poniżej:

Nazwa pliku i lokalizacja mogą się różnić.

Administratorzy sieci mogą zidentyfikować zainfekowane maszyny w sieci lokalnej poprzez sprawdzenie wychodzących połączeń sieciowych do elena.ccpower.ru na porcie 3306, lub przy użyciu adresu / portu w oparciu o filtrowanie ruchu sieciowego dla modeli wyszczególnionych poniżej:

Usuwanie złośliwego oprogramowania (ręcznie)

BOT ładuje proces winlogon.exe do pamięci. Pozwala to na to aby złośliwy kod uzyskał uprawnienia systemu lokalnego i chronił pierwotny złośliwy plik przed usunięciem. Chroni również przed modyfikacją ustawienia rejestru przez częste jego przywracanie. Jeśli złośliwy proces nie jest uruchomiony, łatka winlogon.exe uruchomi go ponownie.

Po znalezieniu złośliwego pliku wykonywalnego, wykonaj poniższe instrukcje, aby usunąć złośliwy program i przywrócić ustawienia systemu:

1. Zablokuj bieżącemu użytkownikowi dostępu do wszystkich złośliwych plików. Aby to zrobić, przejdź do pliku za pomocą Eksploratora Windows.

Upewnij się, że wyłączyłeś opcję "Użyj prostego udostępniania plików" (dla użytkowników systemu plików NTFS) w Eksploratorze Windows (Przejdź do menu Eksploratora Windows -> Narzędzia -> Opcje folderów -> Widok) :

Kliknij prawym przyciskiem myszy na złośliwym pliku i wybierz “Właściwości”:

Wybierz zakładkę “Ochrona” i dostosuj kontrolę dostępu do tego pliku. Bieżącego użytkownika będziesz musiał dodać do listy "Nazwy grupy lub użytkownika":

Kliknij przycisk “Dodaj” i wprowadź nazwę bieżącego użytkownika. Zaznacz wszystkie pola wyboru w kolumnie Blokuj dla bieżącego użytkownika:

2. Uruchom komputer ponownie.

3. Przejdź do szkodliwego pliku ponownie. Teraz będziesz mógł go usunąć.

4. Uruchom regedit.exe i przywróć klucz rejestru do domyślnej wartości systemu. Wartości mogą się różnić w zależności od używanego systemu. Typowe wartości podano poniżej (klucz = wartość) :

“HKCR\.htc\Content Type” = "text/x-component"
“HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit” = “C:\WINDOWS\system32\userinit.exe”

5. Usuń następującą wartość:

“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Flash Media”
“HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\”

6. Zaktualizuj antywirusową bazę danych i uruchom pełne skanowanie komputera (Pobierz testową wersję programu Kaspersky Anti-Virus).