В очередной раз притащили машину поймавшую с порносайта винлокер. Попивая кофеёк в своё удовольствие принялся раскладывать всё по кубикам добираясь до смысла происходящего в ПК жертвы. Сразу обидело то что было запрошено 500 WMU. тобиш 500 гривен, что необоснованно много. Денег хотел вот этот кошель: U111318434087 http://s50.radikal.ru/i130/1209/9a/2b15f05ae497.jpg вот скрин кому интересно. Локер оказался свежезакриптованным и стоящий на машине каспер даже не гавкнул. На машине стоял win7, я руками создал нового пользователя. Новый пользователь залогинился в системе без запуска зловреда. Далее оказалось что зловред имеет имя svahosts.exe, независимо от каталога запуска копирует себя в %system_disk%:\DOCUME~1\user\LOCALS~1\Temp\svahosts.exe. Работает и на Windows7 и на windows XP. Автозапуск происходит через реестр в ветке: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ключом Shell Вопросы следующее: Каковы на ваш взгляд универсальные средства борьбы с зловредами имеющими подобный механизм работы? Есть ли у когото билдер этого винлока?
Универсального механизма нет, но хорошо помогает software restriction policies (политики ограниченного использовния программ). Настраивается через групповую политику. В случае локальной машины, запускаем gpedit.msc, лезем в Windows Settings -> Security Settings -> Software Restriction Policies , создаем новую политику. По умолчанию уровень политики будет выставлен в unrestricted, то есть будет разрешаться все, кроме файлов, для которых созданы правила на запрет запуска. Далее, создаем правило в additional rules. Оптимально использовать правила path Rules (привязка к имени файла или пути). Создаешь правило вида svahost.exe security level = disallowed. Можешь параллельно забить отстальные вариации имен svchost.exe (кроме самого svchost.exe, конечно). Второй вариант чистки - грузимся с линуксового LiveCD / LiveUSB (например, Ubuntu), монтируем системный раздел, открываем терминал идем в папку куда, примонтировался хард (например, /media/system), далее в каталог где хранятся профили пользователей (в Vista/Win7 - Users, в WinXP - Documents and Settings). cd /media/system/users Далее, в папках целевого юзера Application Data и Local Settings ищем файлы exe, dll, EXE, DLL с недавней датой модификации (7-14 дней назад) Например: cd "/media/system/Users/user1/Local Settings" find -name *.exe -mtime -7 Далее, анализируем данный список файлов и выносим их либо вручную, либо автоматом через ту же команду find: find -name *.exe -mtime -7 -exec rm {} \;
упсссс . а что особенного в этом винлоке?вроде обычный винлок...универсальный метод всегда иметь hirens boot cd или flash. конечно есть билдер(не в точности такого)и крипт делается ручками.
