Перейти к содержанию
Danilka

Настойчивый троян прячет файлы установки в справке Windows

Recommended Posts

Danilka

Эксперты по компьютерной безопасности засекли новое вредоносное приложение, которое размещает копию самого себя в файл справки Windows, что позволяет ему повторно заражать компьютеры жертв даже после их лечения.

Троян, получивший от антивирусной лаборатории McAfee обозначение Muster.e, поражает файл Windows, имеющий название imepaden.hlp, в котором он до поры до времени хранит зашифрованные копии своих основных компонентов. В случае если действующая копия трояна удаляется антивирусными средствами, работающий в качестве службы Windows установщик компилирует спрятанные компоненты в исполняемый файл upgraderUI.exe и запускает его.

Этот метод позволяет вирусу восстанавливать работоспособность даже после того, как большая часть его компонентов удалена с компьютера, а пользователи зачастую просто не в состоянии понять, почему их ПК постоянно инфицируется одним и тем же трояном.

Впрочем, это неудивительно – необычность Muster.e признали даже обнаружившие его исследователи, сообщившие, что ранее ни с чем подобным не сталкивались. Более полное описание вируса доступно http://www.avertlabs.com/research/blog/ind...-on-help-files/

http://virusinfo.info

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hiss
В случае если действующая копия трояна удаляется антивирусными средствами, работающий в качестве службы Windows установщик компилирует спрятанные компоненты в исполняемый файл upgraderUI.exe и запускает его.

"Чих" тоже умел хвосты оставлять, что здесь нового?

Чей установщик работает как служба, это кусок вируса или файл Windows? ИМХО несложно научить антивирус останавливать или удалять этот установщик.

imepaden.hlp, что это за файл? У меня на Windows 7 такого файла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

На Vista+ вообще *.hlp не поддерживаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Эксперты по компьютерной безопасности засекли новое вредоносное приложение, которое размещает копию самого себя в файл справки Windows, что позволяет ему повторно заражать компьютеры жертв даже после их лечения.

Примерно похожий случай:

634ae7f6f8e3.jpg

Зловред сменил атрибут системных файлов из папки Help на скрытый. VRT вылечил, но не смог сменить атрибут. Даже после перезагрузки ручная смена атрибутов файлов оказалась невозможной. Пришлось заменить их из бекапа.

Результат заражения и лечения см. на скрине в п. 1) и п. 2) вот этого поста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hiss
На Vista+ вообще *.hlp не поддерживаются.

В Windows XP SP 3 тоже нет файла imepaden.hlp.

Так что мы здесь обговариваем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Так что мы здесь обговариваем?

Исходя из изложенного можно предположить, что этот файл не для русской версии Windows.

Но он как бы должен быть в C:\WINDOWS\ime\shared\

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×