Sprawdź komputer!

Holenderski Wydział ds. Zwalczania Przestępstw z Wykorzystaniem Zaawansowanej Technologii zidentyfikował duży botnet (sieć zainfekowanych komputerów), po tym jak w zeszłym tygodniu aresztował 19-letniego Holendra. Policja poprosiła firmę Kaspersky Lab, producenta rozwiązań do ochrony danych, o dostarczenie ofiarom instrukcji dotyczących neutralizacji szkodliwego oprogramowania w ich systemach. Zneutralizowanie szkodliwego oprogramowania powadzi do demontażu botnetu. Sprawa ta jest doskonałym przykładem ścisłej współpracy między branżą antywirusową a organami ścigania.  Na prośbę holenderskiej policji firma Kaspersky Lab opracowała szczegółowe instrukcje dotyczące usuwania tego szkodliwego oprogramowania.

Osoby, których komputery padły ofiarą tej infekcji, są kierowane na stronę internetową firmy Kaspersky Lab zawierającą instrukcje usuwania oraz na stronę, na której mogą złożyć formalną skargę do policji. Eddy Willems z Kaspersky Lab Benelux, który ściśle współpracował z holenderskimi władzami, uważa, że sprawa ta wyraźnie pokazuje, że branża bezpieczeństwa może pomóc organom ścigania w walce przeciwko cyberprzestępczości. Rzecznik prokuratury potwierdza: "Prokuratura i policja ściśle współpracowały z firmą Kaspersky Lab w tej sprawie".

Instrukcje lokalizowania i usuwania bota Shadow

Instrukcje przygotował: Vitaly Kamluk, starszy analityk wirusów, Kaspersky Lab
MD5 analizowanej próbki: 9e2ef49e84bc16c95b8fe21f4c0fe41e

Lokalizowanie szkodnika (przy pomocy oprogramowania bezpieczeństwa) 

Lokalizowanie szkodliwego oprogramowania (ręcznie)

Ponieważ bot nie kopiuje swojego kodu do systemu, nazwa zainfekowanego pliku może być różna. Nazwa ta zależy od programu instalacyjnego wykorzystanego do zainfekowania systemu botem. Obecność bota można jednak wykryć poprzez sprawdzenie rejestru systemu.

Użytkownicy mogą sprawdzić rejestr systemu, uruchamiając regedit.exe i sprawdzając następującą wartość rejestru:

HKEY_CLASSES_ROOT\.htc\Content Type  

Administratorzy systemu sieci mogą zrobić to zdalnie za pomocą poniższego polecenia reg.exe:

Domyślną wartością rejestru systemowego (sprawdzona w systemie Windows XP Pro SP2) dla HKEY_CLASSES_ROOT\.htc\Content jest “text/x-component”. Jeżeli w rejestrze jest inna wartość, taka jak “{ }”, może to oznaczać, że maszyna została zainfekowana botem Shadow.
Możesz również sprawdzić inną gałąź rejestru, która umożliwia botowi wykonanie wyjściowych połączeń sieciowych poprzez zmianę reguł Zapory systemu Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\

StandardProfile\AuthorizedApplications\List\.

Bot dodaje pozycję do foldera List znajdującego się w folderze Authorized Applications. Reguła może być zidentyfikowana jako "Flash Media" - patrz poniżej - jednak nazwa może się różnić.

 W ten sposób możesz zobaczyć rzeczywistą ścieżkę do lokalizacji zainfekowanego pliku w zainfekowanym systemie. Ścieżkę do zainfekowanego pliku pokazuje również wartość rejestru HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. Bot przyłącza ścieżkę do swojego pliku do legalnego pliku userinit.exe:

Nazwa pliku i lokalizacja mogą się różnić.

Administratorzy sieci mogą zidentyfikować zainfekowane maszyny w sieci lokalnej poprzez sprawdzenie wyjściowych połączeń sieciowych z elena.ccpower.ru na porcie 3306 lub stosując wykrywanie niezależne od adresu/portu w oparciu o filtrowanie ruchu sieciowego w celu wykrycia poniższych schematów:

Usuwanie szkodnika (ręczne)

Bot łata proces winlogon.exe w pamięci. W ten sposób szkodliwy kod może zdobyć uprawnienia do lokalnego systemu i chronić oryginalny zainfekowany plik przed usunięciem. W ten sposób zabezpiecza również ustawienia rejestru przed modyfikacją poprzez częste ich przywracanie. Jeśli szkodliwy proces nie został uruchomiony, załatany proces winlogon.exe zrestartuje go.
Po zidentyfikowaniu zainfekowanego pliku wykonywalnego postępuj zgodnie z poniższymi instrukcjami w celu usunięcia szkodliwego oprogramowania i przywrócenia ustawień systemu:

1. Zablokuj bieżącemu użytkownikowi wszelki dostęp do zainfekowanego pliku. W tym celu przejdź do pliku przy pomocy Eksploratora Windows.

Wyłącz “Użyj prostego udostępniania plików” (dla użytkowników NTFS) w Eksploratorze Windows (Przejdź do Eksploratora Windows menu windows -> Narzędzia -> Opcje folderów -> Widok):

Prawym przyciskiem myszy kliknij szkodliwy plik i wybierz “Właściwości”

Przejdź do zakładki “Bezpieczeństwo” i dostosuj kontrolę dostępu do plików. Będziesz musiał dodać bieżącego użytkownika do listy "Nazwy grup lub użytkowników":

Kliknij przycisk “Dodaj” i wprowadź nazwę bieżącego użytkownika. Zaznacz wszystkie pola wyboru w kolumnie Odmów dla bieżącego użytkownika:

   1. Uruchom ponownie system.
   2. Przejdź do zainfekowanego pliku. Teraz możesz go usunąć.
   3. Uruchom regedit.exe i przywróć klucze rejestru do domyślnych wartości systemowych. Wartości mogą się różnić w zależności od ścieżki instalacyjnej systemu. Typowe wartości zostały przedstawione poniżej: (klucz=wartość): “HKCR\.htc\Content Type” = "text/x-component" “HKLM\Software\Microsoft\Windows NT\CurrentVersion\

Winlogon\Userinit” = “C:\WINDOWS\system32\userinit.exe”
   4. Usuń następujące wartości: “HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Flash Media” “HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\

AuthorizedApplications\List\”

   5. Uaktualnij antywirusowe bazy danych i wykonaj pełne skanowanie komputera (możesz w tym celu skorzystać z testowej wersji programów Kaspersky Lab - http://www.kaspersky.pl/download.html?s=trial).