Danilka

Настойчивый троян прячет файлы установки в справке Windows

В этой теме 6 сообщений

Эксперты по компьютерной безопасности засекли новое вредоносное приложение, которое размещает копию самого себя в файл справки Windows, что позволяет ему повторно заражать компьютеры жертв даже после их лечения.

Троян, получивший от антивирусной лаборатории McAfee обозначение Muster.e, поражает файл Windows, имеющий название imepaden.hlp, в котором он до поры до времени хранит зашифрованные копии своих основных компонентов. В случае если действующая копия трояна удаляется антивирусными средствами, работающий в качестве службы Windows установщик компилирует спрятанные компоненты в исполняемый файл upgraderUI.exe и запускает его.

Этот метод позволяет вирусу восстанавливать работоспособность даже после того, как большая часть его компонентов удалена с компьютера, а пользователи зачастую просто не в состоянии понять, почему их ПК постоянно инфицируется одним и тем же трояном.

Впрочем, это неудивительно – необычность Muster.e признали даже обнаружившие его исследователи, сообщившие, что ранее ни с чем подобным не сталкивались. Более полное описание вируса доступно http://www.avertlabs.com/research/blog/ind...-on-help-files/

http://virusinfo.info

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В случае если действующая копия трояна удаляется антивирусными средствами, работающий в качестве службы Windows установщик компилирует спрятанные компоненты в исполняемый файл upgraderUI.exe и запускает его.

"Чих" тоже умел хвосты оставлять, что здесь нового?

Чей установщик работает как служба, это кусок вируса или файл Windows? ИМХО несложно научить антивирус останавливать или удалять этот установщик.

imepaden.hlp, что это за файл? У меня на Windows 7 такого файла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На Vista+ вообще *.hlp не поддерживаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Эксперты по компьютерной безопасности засекли новое вредоносное приложение, которое размещает копию самого себя в файл справки Windows, что позволяет ему повторно заражать компьютеры жертв даже после их лечения.

Примерно похожий случай:

634ae7f6f8e3.jpg

Зловред сменил атрибут системных файлов из папки Help на скрытый. VRT вылечил, но не смог сменить атрибут. Даже после перезагрузки ручная смена атрибутов файлов оказалась невозможной. Пришлось заменить их из бекапа.

Результат заражения и лечения см. на скрине в п. 1) и п. 2) вот этого поста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На Vista+ вообще *.hlp не поддерживаются.

В Windows XP SP 3 тоже нет файла imepaden.hlp.

Так что мы здесь обговариваем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так что мы здесь обговариваем?

Исходя из изложенного можно предположить, что этот файл не для русской версии Windows.

Но он как бы должен быть в C:\WINDOWS\ime\shared\

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • kvoter
      Уважаемые посетители и завсегдатаи  уважаемого Форума! Прошу совета вашего.Суть проблемы : В этом году приобрёл бюджетный ноутбук ASUS 541.До этого  времени пользовался обычным, уже старым ПК. Никаких смартфонов-айфонов не имею.Просто где-то лежит старый кнопочный мобильник....Пользуюсь. Роутер(UPVEL- UR309) подсоединил к PON-терминалу в обычной шлакобетонной квартире.(Нас "массово" переводили на оптоволокно). Примерно полгода назад обратил внимание на то,что индикатор Wi-Fi постоянно светится.Этот роутер я покупал в крупнейшей сети нашего города уже как два года тому назад про запас(цена устроила-низкая) и сразу решил,что никаким Wi-Fi пользоваться не буду. Проложил витые пары по квартирке и подключился к обычным сетевым портам на роутере. Но настроить мне ничего так и не удалось.Вызвал Специалиста от Главнейшего провайдера страны,который предоставляет услугу Интернета гражданам. Спец, примерно, около часа настраивал этот несчастный роутер.Отключил и Wi-Fi .Спасибо ему! Никак ничего и не светилось. Но вот уже как полгода, примерно, "зажегся" этот индикатор.Я звонил в техПоддержку UPVEL;своего Провайдера;техПоддерку компании MICROSOFT(у меня на машинках Лицензионная Win10.Да и всего мало-но Лицензия) Самое интересное-вот недавно вытащил из разъёмов Роутера все кабели:"огонёк" Wi-Fi продолжал светиться. И ответ был  мне от одного консультанта:"всё работает-ну и чУдно!И больше не беспокойте нас!" (Сразу скажу-с Некоторыми из СервисЦентров я знаком:ничего из другого, даже нового оборудования(я физ.лицо, ну или "частное", не починили,только за диагностику "содрали три шкуры"... И вызов Настройщика прилично теперь по цене стоит. Может -действительно на этот"глазок" забить? Жизнь ведь продолжается...
    • AM_Bot
      Хакеры из Китая обнаружили метод обхода блокировки iOS, позволяющий получить действующий ПИН-код от смартфона. Описание способа взлома разместил на своём канале популярный видеоблогер EverythingApplePro. Читать далее
    • AM_Bot
      Президент США Дональд Трамп сообщил в заявлении, что решил преобразовать Киберкомандование США в отдельную полноценную структуру из подразделения Стратегического командования. Читать далее
    • demkd
      сделаю x64 версию restore проверю, а abr будет просто копировать в тот же каталог.
    • Dragokas
      Ну, обычные x64-разрядные программы, там нормально запускаются, тот же FRST. Здесь ведь не нужно службы. Ваш x32 restore.exe отрабатывает нормально без ошибок под x32 Windows RE. Так что простого копирования, думаю, должно быть достаточно.