Троян Virantix Опции

[Шэйкс]

Trojan.Virantix
Признаки
Использует мутекс {393921-e939391-3919139-3d3a738-11} для проверки наличия своей копии в памяти.

Копирует себя как %System%/WinAvX.exe.

Записывает ссылку на себя в разделы реестра, обеспечивающие автозагрузку после каждого запуска системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WinAVX" = "%System%/WinAvX.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe %System%/WinAvX.exe"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Run\"WinAVX" = "%System%/WinAvX.exe"



Меняет через реестр различные настройки безопасности интернета:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"EnableBalloonTips" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main\"Enable Browser Extensions" = "yes"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main\"Search Bar" = "http://www.google.com/ie"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"EnableBalloonTips" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\"1201" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\"1804" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1201" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1804" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1201" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1200" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1201" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1608" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"1804" = "1"

Отключает через реестр некоторые системные инструменты и ослабляет настройки системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableTaskMgr" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoControlPanel" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoWindowsUpdate" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Policies\system\"DisableRegistryTools" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Policies\system\"DisableTaskMgr" = "1"



Модифицирует через реестр настройки Windows Firewall:


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

Заменяет поисковый URL, страницу поиска и URL поиска в Microsoft Internet Explorer:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Search_URL" = "http://www.google.com/ie"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Search Page" = "http://www.google.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page" = "http://www.google.com"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://www.google.com"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main\"Search Page" = "http://www.google.com"



Модифицирует следующие ключи реестра:


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gopher\shell\open\command\"@" = ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\"@" = ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command\"@" = ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\"Epoch" = "0x000027B0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\"Epoch" = "0x000027B0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.shtml\"@" = "htmlfile"



Каждые 5 минут отображает сообщение об угрозе spyware:

Заголовок: Windows Security Alert Сообщение:

Warning! Potential Spyware Operation!

Your computer is making unauthorized copies of your system and
Internet files. Run full scan now to pervent any unathorised access
to your files! Click here to download spyware remover ...


Может отображать сообщение о том, что компьютер заражен, в течение 4 минут после запуска системы:

Your computer is infected!

Подключается к URL:

[http://]go.winantivirus.com/MTY2NjU=/2/6018/ax=0/ed=1/ex=1/1[УДАЛЕНО].

Периодически пытается открыть URL и загрузить оттуда файлы:


[http://]freerealitympegs.com/movie/23/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/21/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/20/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/33/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/17/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/16/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/13/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/28/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/32/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/39/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/6/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/25/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/34/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/4/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/3/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/24/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/2/293/1[УДАЛЕНО]



Отключает доступ к сайтам антивирусных компаний, баннерной рекламы и обновлению Windows. Для этого сопоставляет имена этих сайтов локальному IP-адресу 192.168.200.3 в файле %System%\drivers\etc\hosts:


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 download.microsoft.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 go.microsoft.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 office.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 support.microsoft.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.microsoft.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.pandasoftware.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Удалить из файла %System%\drivers\etc\hosts записи, блокирующие доступ к обновлениям антивирусных сайтов
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Может загружать из интернета и выполнять дополнительный вредоносный код; ослабляет настройки безопасности системы, блокирует доступ к обновлениям антивирусов и Windows.
Источник: Symantec.com
============================
Вобщем словил я этот троян.Выполнил все рекомендации.Но есть одна загвоздка,не могу удалить файл systems.txt из директории windows\system32.В описании о нём не говорится,но антивирус идентифицирует его как Win32/TrojanDownloader.Agent.NQR троян.После удаления или переименования он сразу же восстанавливается снова.Подскажите,пожалуйста,что делать,кто с таким сталкивался.

[Ice Dog]

а если тебе подобный дать? ну из чужой системы.. и попробовать его заменить просто?

[Шэйкс]

а если тебе подобный дать? ну из чужой системы.. и попробовать его заменить просто?

Ну хз.я вообще не в курсе,что это за файл?

[Nanoworld]

Вобщем словил я этот троян.Выполнил все рекомендации.Но есть одна загвоздка,не могу удалить файл systems.txt из директории windows\system32.В описании о нём не говорится,но антивирус идентифицирует его как Win32/TrojanDownloader.Agent.NQR троян.После удаления или переименования он сразу же восстанавливается снова.Подскажите,пожалуйста,что делать,кто с таким сталкивался.

Посмотри какой процесс его создает ntfilеmon-ом

[Шэйкс]

Посмотри какой процесс его создает ntfilеmon-ом

Можно поточнее название проги?