Однажды, сидя за компьютером, я заметил сильное «подтормаживание» при вводе текста. Затем стал постоянно падать процесс «explorer.exe», показывая всем известное окно «отправить отчёт/не отправлять». Более того, при запуске браузера и java-приложений программы отказывались загружаться, сообщая: «Ошибка при инициализации приложения 0xc0000142».
Мне такой расклад дел, естественно, не понравился, и я стал думать, а в чём же проблема? Поискав в интернете информацию об ошибке 0xc0000142, я узнал о том, что возникает она при ошибке инициализации DLL. Запомнили, пошли дальше. Запускаем диспетчер процессов, видим процесс userinit.exe, загружающий ЦП на 15-20%. «Странно», — подумал я, ведь он должен выгружаться после старта системы.
Качаем утилиты «Autoruns» и «Process Explorer» от Sysinternals. Запускаем первую, видим вот такую запись в реестре:
Ага, значит имеем дело с вирусом. Пробуем удалить файл, затем исправляем запись в реестре — всё возвращается на место за пять секунд. Значит он висит в памяти. «Убийство» userinit.exe ничего не дало, вирус по-прежнему возвращается в систему.
Из лично мной замеченных симптомов:
Прочитав отзывы о подобных симптомах я понял, что схлопотал новейший вирус Backdoor.Win32.Shiz.dml. После прочтения описаний его «собратьев» были выявлены также такие действия, как запрет доступа к антивирусным сайтам с помощью таблицы маршрутизации, сбор паролей, перехват функций шифрования и слежение за трафиком. Странно, но на моём компьютере таблицы он не трогал. Тем не менее, перестраховаться и выполнить route print никому не помешает.
Первым делом надо загрузиться в безопасном режиме. Как ни странно, в безопасном режиме Windows запускает только userinit, игнорируя параметры после запятой, а это нам только на руку.
Переходим в папку %SystemRoot%\AppPatch и удаляем оттуда все файлы с расширением *.dat. Затем с помощью вышеуказанной утилиты «Autoruns» удаляем запись, а именно — всё, что идёт после запятой, и саму запятую. Заодно проверяем параметры запуска процесса «Explorer.exe» (там не должно быть никаких приписок), и вообще всю секцию Run.
После этого надо загрузиться в обычном режиме и выполнить команду:
Так мы очистим таблицу маршрутов от записей, созданных вирусом. Всё, теперь ваш компьютер чист.
Поначалу я грешил на одну программу, скачанную с сомнительного сайта, но потом как-то забылось всё это, пока я снова не отхватил чуть иную модификацию этого вируса. Но в этот раз я оказался внимательнее и проследил весь алгоритм инсталляции вируса на мою машину. Виной всему оказались публичные странички на сайте «В Контакте», на которых установлены виджеты.
Дело в том, что виджеты эти загружаются с посторонних сайтов, а значит, туда можно занести всё что угодно. Итак алгоритм инсталляции «шиза» таков:
Вот и всё, теперь вы тоже живёте с «шизой» на компьютере.
Первым делом отключите поддержку Java на вашей машине. Таким образом виджет просто не сможет загрузить на ваш компьютер вирус.
Почаще проверяйте ключи реестра, ответственные за автозапуск приложений, AppInit DLLs и службы.
На всякий случай, если уже заразились и вылечились, проверьте компьютер утилитой AVZ на наличие кейлоггеров и программ, создающих скриншоты.
Мне такой расклад дел, естественно, не понравился, и я стал думать, а в чём же проблема? Поискав в интернете информацию об ошибке 0xc0000142, я узнал о том, что возникает она при ошибке инициализации DLL. Запомнили, пошли дальше. Запускаем диспетчер процессов, видим процесс userinit.exe, загружающий ЦП на 15-20%. «Странно», — подумал я, ведь он должен выгружаться после старта системы.
Качаем утилиты «Autoruns» и «Process Explorer» от Sysinternals. Запускаем первую, видим вот такую запись в реестре:
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\apppatch\yecjfegc.datАга, значит имеем дело с вирусом. Пробуем удалить файл, затем исправляем запись в реестре — всё возвращается на место за пять секунд. Значит он висит в памяти. «Убийство» userinit.exe ничего не дало, вирус по-прежнему возвращается в систему.
Что за зверь и какова его активность?
Из лично мной замеченных симптомов:
- создаёт в папке "%userprofile%\Application Data\" файлы со случайными именами, в которые записывает нажатия клавиш;
- внедряет свою DLL в процессы с полями ввода плюс «javaw.exe», «java.exe»;
- при открытии любой папки в режиме эскизов вызывает ошибку проводника;
Прочитав отзывы о подобных симптомах я понял, что схлопотал новейший вирус Backdoor.Win32.Shiz.dml. После прочтения описаний его «собратьев» были выявлены также такие действия, как запрет доступа к антивирусным сайтам с помощью таблицы маршрутизации, сбор паролей, перехват функций шифрования и слежение за трафиком. Странно, но на моём компьютере таблицы он не трогал. Тем не менее, перестраховаться и выполнить route print никому не помешает.
Как же всё-таки его лечить?
Первым делом надо загрузиться в безопасном режиме. Как ни странно, в безопасном режиме Windows запускает только userinit, игнорируя параметры после запятой, а это нам только на руку.
Переходим в папку %SystemRoot%\AppPatch и удаляем оттуда все файлы с расширением *.dat. Затем с помощью вышеуказанной утилиты «Autoruns» удаляем запись, а именно — всё, что идёт после запятой, и саму запятую. Заодно проверяем параметры запуска процесса «Explorer.exe» (там не должно быть никаких приписок), и вообще всю секцию Run.
После этого надо загрузиться в обычном режиме и выполнить команду:
route -fТак мы очистим таблицу маршрутов от записей, созданных вирусом. Всё, теперь ваш компьютер чист.
Как он ко мне попал?
Поначалу я грешил на одну программу, скачанную с сомнительного сайта, но потом как-то забылось всё это, пока я снова не отхватил чуть иную модификацию этого вируса. Но в этот раз я оказался внимательнее и проследил весь алгоритм инсталляции вируса на мою машину. Виной всему оказались публичные странички на сайте «В Контакте», на которых установлены виджеты.
Дело в том, что виджеты эти загружаются с посторонних сайтов, а значит, туда можно занести всё что угодно. Итак алгоритм инсталляции «шиза» таков:
- пользователь заходит на страничку с виджетом;
- код виджета запускает Java-апплет (появляется «чашка» в трее);
- апплет загружает все компоненты вируса и инсталлирует его на машине пользователя;
- вирус начинает отслеживать нажатия клавиш, трафик, делает скриншоты и отсылает их «хозяину»;
Вот и всё, теперь вы тоже живёте с «шизой» на компьютере.
Как не попасться?
Первым делом отключите поддержку Java на вашей машине. Таким образом виджет просто не сможет загрузить на ваш компьютер вирус.
Почаще проверяйте ключи реестра, ответственные за автозапуск приложений, AppInit DLLs и службы.
На всякий случай, если уже заразились и вылечились, проверьте компьютер утилитой AVZ на наличие кейлоггеров и программ, создающих скриншоты.