Главная > Информационная безопасность. Хакерство > Поддержка бедных робенгудов или Malware – вымогатель денег через СМС

Поддержка бедных робенгудов или Malware – вымогатель денег через СМС

MalwareИтак, буквально сегодня мне довелось встретиться с компьютером, у которого после загрузки операционной системы Windows XP и логирования пользователя на экране блестала замечательная надпись:

Alert System
Atation!
Обнаружено нелегальное программное обеспечение.
Необходимо произвести полную проверку системы (стоимость $5)
По средствам с.м.с сообщения произведите активацию.
и т.д.

Служба обеспечения Swop отсоса из раздела

Сразу скажу, что это просто развод, и никаких СМС отправлять не нужно, а авторам посоветовал бы выучить русский язык, хоть это и не так важно :)

Так или иначе, нам необходимо избавиться от этой штуковины. Вызов Диспетчера задач блокируется, поэтому снять задачу не удалось. Перезагружаемся в безопасный режим, логируемся и к удивлению видим, что малварь-вымогатель не активировался. Так как в безопасном режиме стартуют только самые необходимые службы, то можно предположить, что малварь работает в качестве службы. Но я сразу не пошел в сервисы его искать, мне хотелось поближе познакомиться с другом.

Взяв программу Process Explorer для Windows из пакета Windows Sysinternals я решил заменить стандартный Task Manager (Диспетчер задач) на Process Explorer. Делается это в меню Options – Replace Task Manager, ну и чтобы малварь нам не мешал смотреть процессы, сделаем окно Process Explorer’a поверх остальных окон – Меню Options – Always On Top. Перезагружаемся.

Process Explorer

Загрузившись, видим знакомое окно, которое неумолимо требует от нас отправки СМС. Нажимаем волшебные клавиши Ctrl + Shift + Esc, появляется окно Process Explorer’а. Пробегаем глазами по списку процессов, видим такого зверя s6t.exe, причем таких процессов два. Судя по всему, один процесс всегда поддерживает свою вторую копию. Убиваем все дерево процессов s6t.exe, окно, вымогающее деньги исчезает.

Process Explorer

Осталось найти способ загрузки данного процесса. Запускаем программу AutoRuns для Windows из пакета Windows Sysinternals, переходим в раздел сервисов и видим службу с именем «Служба обеспечения Swop отсоса из раздела». Описание меня порадовало больше: «Управляет swop отсос из конфигурации на базе драйвера автоматического обеспечения поддержки бедных робенгудов». Вообщем, с юмором все впорядке 😀 Данная служба запускала файл c:\windows\system32\s6t.exe. MD5 файла:

4521b2e7e5c5f6c3895517dbb26430b3 *s6t.exe

Нужно отметить, что антивирусные программы, такие как NOD32 или KAV не способны обнаружить данный малварь. Я отправил файл малваря в лабораторию касперского и компанию ESET (NOD32).

Ну а нам осталось удалить сервис и сам файл. Открываем редактор реестра regedit, данные о сервисах находятся в следующих ветках:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

У меня сервис назывался sib, полный куст сервиса выглядел так:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sib]
«Type»=dword:00000010
«Start»=dword:00000002
«ErrorControl»=dword:00000001
«ImagePath»=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
  5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,36,00,74,\
  00,2e,00,65,00,78,00,65,00,00,00
«DisplayName»=»Служба обеспечения Swop отсоса из раздела»
«ObjectName»=»LocalSystem»
«Description»=»Управляет swop отсос из конфигурации на базе драйвера автоматического обеспечения поддержки бедных робенгудов»

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sib\Security]
«Security»=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sib\Enum]
«0»=»Root\\LEGACY_SIB\\0000″
«Count»=dword:00000001
«NextInstance»=dword:00000001

Вот собственно и все,  будьте бдительны.

  1. audi-80
    16 Май 2009 в 00:25 | #1

    Респект автору! Боролся с такойже заразой с утра 14-го мая. У меня малварь мутировал но я его с Вашей падачи поборол, и еще проще:

    1. В защищенном режиме через «выполнить» — regedit (редактор реестра) снес севис под новым именем «sib6″ содержащееся в папках
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sib6\
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sib6\
    Думаю мутантов можно найти через поиск в реестре по фразе «Swop отсос», название службы совподало.

    2. Удалил файл c:\windows\system32\u7t.exe который запускался теми службами.

    При перезапуске синий экран вымагателя с «Alert System
    Atation!» исчез!!!

    Будте внимательны и удачной охоты!

  1. Пока что нет уведомлений.