Основной функционал Virus.Win32.Virut.ce, q - ботнет-клиент. Посредством ботнет-клиента идёт передача информации от вируса, троянской программы. Более подробную информацию о том, что такое ботнет, использование ботнетов, вы можете посмотреть на сайте www.securelist.com. Лечение систем, зараженных вредоносными программами Virus.Win32.Virut.ce, q, производится с помощью утилиты VirutKiller.exe.
Лечение зараженной системы
Перед выполнением лечения необходимо отключить функцию восстановления системы.
Скачайте архив VirutKiller.exe и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip).
Запустите файл VirutKiller.exe.
Дождитесь окончания сканирования и лечения. После лечения может потребоваться перезагрузка.
При запуске утилиты без параметров выполняется:
- Поиск и завершение зловредных потоков.
- Поиск и снятие перехватов функций:
- NtCreateFile;
- NtCreateProcess;
- NtCreateProcessEx;
- NtOpenFile;
- NtQueryInformationProcess.
- Сканирование файлов на всех жестких дисках и их лечение.
- Параллельно во время сканирования жестких дисков утилита каждые 10 секунд проверяет исполняемые файлы всех запущенных процессов.
- В случае их обнаружения процессы завершаются, файлы - лечатся.
Дополнительные ключи для запуска утилиты из командной строки
-l <имя_файла> - запись отчета в файл.
-v - ведение подробного отчета (необходимо вводить вместе с параметром -l).
-s - проверка в "тихом" режиме (без вывода консольного окна).
-y - закрытие окна по окончании работы утилиты.
-p <путь_к_каталогу> - проверить определенный каталог.
-r - проверить сменные носители (flash-накопители), переносные жесткие диски, подключаемые через USB и FireWire.
-n - проверить сетевые диски.
Признаки заражения
Зараженные компьютеры постоянно пытаются обратиться по следующим адресам для получения команд управления:
- irc.zief.pl;
- proxim.ircgalaxy.pl.
Для опытных пользователей: можно отследить перехваты следующих функций почти во всех процессах (с помощью этих перехватов вирус заражает все исполняемые файлы, к которым пытаются обратиться процессы, и внедряет свой код во все вновь запущенные процессы):
- NtCreateFile;
- NtCreateProcess;
- NtCreateProcessEx;
- NtOpenFile;
- NtQueryInformationProcess.
Используя, например, программу Rootkit Unhooker
или Gmer:
http://support.kaspersky.ru/faq?qid=208636998
[
Новые сообщения ·
Поиск ·
Правила форума ·
Участники ·
RSS ·
Новое на форуме ]
