Vundo Trojan (обычно известный как Vundo , Virtumonde или Virtumondo , а иногда упоминается как MS Хуан ) является либо троян или компьютерный червь , который , как известно, вызывают всплывающие окна и рекламу для изгоев антишпионских программ, а также спорадически другие проступок , включая снижение производительности и отказ в обслуживании с некоторыми веб-сайтами, включая Google и Facebook . Он также используется для доставки других вредоносных программ на свои хост-компьютеры. [2] Более поздние версии включают руткиты ипрограмма-вымогатель . [2]
Распространенное имя | Вундо |
---|---|
Техническое название |
|
Псевдонимы |
|
Семья | Вундо |
Тип | Вредоносное ПО |
Подтип | Либо компьютерный червь, либо троянский конь |
Инфекционное заболевание
Заражение Vundo обычно вызывается либо открытием вложения электронной почты, содержащего троян, либо различными эксплойтами браузера , включая уязвимости в популярных надстройках браузера, таких как Java . Многие из всплывающих окон рекламируют мошеннические программы, такие как AntiSpywareMaster , WinFixer и AntiVirus 2009.
Virtumonde.dll
состоит из двух основных компонентов: вспомогательных объектов браузера и идентификатора класса. Каждый из этих компонентов находится в реестре Windows в разделе HKEY LOCAL MACHINE , а имена файлов являются динамическими. Он подключается к системе с помощью фиктивных вспомогательных объектов браузера и файлов DLL, прикрепленных к winlogon.exe , explorer.exe и, в последнее время, lsass.exe .
Vundo вставляет записи в реестр, чтобы подавить предупреждения Windows об отключении брандмауэра, антивируса и службы автоматического обновления , отключает службу автоматического обновления и быстро повторно отключает ее при повторном включении вручную, а также атакует средства защиты от вредоносных программ , поиск шпионских роботов Malwarebytes и Destroy , Lavasoft Ad-Aware , HijackThis и несколько других инструментов для удаления вредоносных программ. Часто прячется от Vundofix и Combofix . Вместо того, чтобы продавать поддельные антивирусные продукты, новые « рекламные » всплывающие окна для атак типа " drive by download" представляют собой копии рекламы крупных корпораций, сфальсифицированные, так что простое их закрытие позволяет эксплойту "drive-by download" вставить полезную нагрузку в компьютер пользователя.
Симптомы
Поскольку существует множество различных разновидностей троянов Vundo, симптомы Vundo широко варьируются, от относительно безобидных до тяжелых. Почти все разновидности Vundo имеют всплывающую рекламу, а также возможность укоренения, что затрудняет их удаление.
На зараженных компьютерах проявляются некоторые или все следующие симптомы:
- Vundo заставит зараженный веб-браузер показывать всплывающие рекламные объявления, многие из которых заявляют о необходимости программного обеспечения для исправления «ухудшения» системы.
- Фон рабочего стола может быть изменен на изображение окна установки, сообщающего о наличии рекламного ПО на компьютере.
- Заставку можно изменить на Синий экран смерти .
- В Панели управления свойствами дисплея отсутствуют вкладки фона и заставки, поскольку их значения «Скрыть» в реестре были изменены на 1.
- И фон, и заставка находятся в папке System32, однако скринсейвер не может быть удален.
- Автоматические обновления Windows (и другие веб-службы) также могут быть отключены, и их невозможно снова включить.
- Зараженные файлы DLL или DAT (со случайными именами, такими как «__c00369AB.dat» и «slmnvnk.dll») будут присутствовать в папке Windows / System32, а ссылки на библиотеки DLL будут найдены при запуске пользователя (их можно просмотреть в MSConfig). , реестр и как надстройки браузера в Internet Explorer .
- Vundo может попытаться помешать пользователю удалить его или иным образом помешать его работе, например, отключив диспетчер задач, редактор реестра и msconfig, тем самым препятствуя загрузке системы в безопасном режиме.
- Некоторые брандмауэры или антивирусные программы также могут быть отключены Vundo, что сделает систему еще более уязвимой. В частности, он отключает Norton AntiVirus и, в свою очередь, использует его для распространения инфекции. Norton сам будет отображать запросы на включение фишингового фильтра. После нажатия OK он попытается подключиться к real-av.org и загрузить еще одну вредоносную программу.
- Популярные антивирусные программы, такие как Spybot - Search & Destroy или Malwarebytes, могут быть удалены или сразу же закрыты после загрузки. Переименование исполняемого файла программы может решить эту проблему. Исполняемый файл Malwarebytes может быть удален сразу после установки (в зависимости от зараженности системы). Установка программы на другой компьютер и копирование исполняемого файла в каталог Malwarebytes зараженного компьютера обычно тоже работает.
- Доступ в Интернет также может быть нарушен. Vundo может стать причиной недоступности многих веб-сайтов.
- Ссылки поисковых систем могут быть перенаправлены на сайты с мошенническим программным обеспечением безопасности , чего можно избежать, скопировав и вставив адреса.
- MS Juan может вызывать сбой загрузки веб-страниц после сеансов просмотра и отображение пустой страницы в браузере вместо веб-страницы. Когда это происходит, любые программы также могут не запускаться, и может стать невозможным использовать завершение работы Windows.
- Процесс winlogon.exe может начать постоянно обращаться к жесткому диску, поэтому могут возникать периодические зависания.
- Отображать всплывающие окна, а также дополнительно эффективно вводить рекламные акции в результаты поиска. [3]
- Могут появиться предупреждения о том, что SuperMWindow не завершает работу. [4]
- Explorer.exe может постоянно давать сбой, приводя к бесконечному циклу сбоев и перезапуску.
- Создает драйвер, критичный для вирусов, в C: \ Windows \ system32 \ drivers (ati0dgxx.sys).
- Вирус может «съесть» доступное место на жестком диске; объем свободного места на жестком диске может колебаться от +3 до -3 Гб, что очевидно из попытки Вундо «спрятаться», когда ему противостоят.
- Vundo может препятствовать загрузке.
- Переход в безопасный режим после попытки использования HijackThis приводит к истинному «синему экрану смерти», который невозможно восстановить без восстановления удаленных ключей реестра безопасного режима или переустановленной версии Windows.
- Вирус иногда выдает ошибку «Запустить DLL как приложение», когда некоторые из случайно названных DLL были удалены.
- Вирус перезаписывает библиотеки DLL со случайными именами, пока любая из них находится на компьютере.
- Вирус изменяет записи \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run и RunOnce, чтобы запускаться при запуске Windows.
- Вирус устанавливает рекламное ПО, иногда порнографическое.
- Вирус устанавливает мошенническое программное обеспечение безопасности, такое как Desktop Defender 2010 и Security Center с файлом .wav, сообщающим пользователю, что его система заражена.
- Вирус приведет к повреждению сетевого драйвера, что даже после входа в редактор реестра (regedit.exe), чтобы удалить Winsock 1 и 2 и попытаться переустановить драйвер, практически невозможно.
- Вирус удаляет сетевое соединение в разделе «Сетевое окружение».
Рекомендации
- ^ https://mil.fireeye.com/edp.php?sname=Trojan.Vundo
- ^ a b Белл, Генри; Чиен, Эрик (17 марта 2010 г.). "Trojan.Vundo" . Symantec Security Response . Symantec . Проверено 14 марта 2012 года .
- ^ HowToFix - Trojan Vundo.
- ^ SuperMWindow - Новый Vundo.