Jump to content

Рана

Рана
Техническое название
  • Вариант раны
    • Троян:Win32/Vundo.[Letter] ( Microsoft )
    • Троян:Win32/Vundo.gen![Letter] (Microsoft)
    • Trojan.Wound.[Letter] ( Symantec )
    • Троян.Vundo.[Письмо] ( Bitdefender )
    • Gen:Variant.Vundo.[Number] (BitDefender)
    • TR/Drop.Find.J.[Номер] ( Avira )
    • TR/Dldr.Vundo.J.379 (Авира)
    • TR/Wundo.[Буква].2 (Авира)
    • Троян-загрузчик.Win32.Vundo (Икарус)
    • Win-Trojan/Vundo.63488.M (AhnLab)
    • W32/Vondo.dam[Номер] ( Норман )
    • Secret.gen[Номер] (Норман)
    • W32/Vundo.[Письмо] (Норман)
    • Win32/Wound!generic ( CA )
    • Троян:Win32/Vundo.[Letter] (CA)
    • Подозрительная.Рана ( FireEye ) [1]
    • Троян.Win32.Monder (FireEye)
    • Secret.gen (FireEye)
    • Троян:Win32/Deception (FireEye)
  • Вариант Виртумонды
    • Рекламное ПО.VirtuWorld (FireEye)
Псевдоним
  • Виртумонд
  • Виртумондо
  • Майкрософт Хуан
Тип Вредоносное ПО
Подтип Либо компьютерный червь , либо троянский конь.
Семья Рана

Троян Vundo (широко известный как Vundo , Virtumonde или Virtumondo , иногда называемый MS Juan ) — это либо троянский конь , либо компьютерный червь , который, как известно, вызывает всплывающие окна и рекламу мошеннических антишпионских программ, а также время от времени другие нарушения поведения, включая снижение производительности. и отказ в обслуживании на некоторых веб-сайтах, включая Google и Facebook . Он также используется для доставки других вредоносных программ на свои хост-компьютеры. [2] Более поздние версии включают руткиты и программы-вымогатели . [2]

Инфекция

[ редактировать ]

Заражение Vundo обычно вызывается либо открытием вложения электронного письма, содержащего троян, либо различными эксплойтами браузера , включая уязвимости в популярных плагинах браузера, таких как Java . Многие всплывающие окна рекламируют мошеннические программы, такие как AntiSpywareMaster , WinFixer и AntiVirus 2009.

Virtumonde.dll состоит из двух основных компонентов: вспомогательных объектов браузера и идентификатора класса. Каждый из этих компонентов находится в реестре Windows в разделе HKEY LOCAL MACHINE , а имена файлов являются динамическими. Он подключается к системе с помощью поддельных вспомогательных объектов браузера и файлов DLL, прикрепленных к winlogon.exe , explorer.exe и, в последнее время, lsass.exe .

Vundo вставляет записи в реестр для подавления предупреждений Windows об отключении брандмауэра, антивируса и службы автоматического обновления , отключает службу автоматического обновления и быстро повторно отключает ее, если она включена вручную, а также атакует антивирусные программы Malwarebytes , Spybot Search & Destroy , Lavasoft Ad-Aware , HijackThis и несколько других инструментов удаления вредоносных программ. Он часто скрывается от Vundofix и Combofix . Вместо того, чтобы продвигать поддельные антивирусные продукты, новые « рекламные » всплывающие окна для атак «загрузка с диска» представляют собой копии рекламы крупных корпораций, поддельные, так что простое их закрытие позволяет эксплойту «загрузка с диска» вставить полезную нагрузку в компьютер пользователя.

Симптомы

[ редактировать ]

Поскольку существует множество разновидностей троянов Vundo, симптомы Vundo широко варьируются: от относительно легких до тяжелых. Почти все разновидности Vundo имеют своего рода всплывающую рекламу, а также рутируются, что затрудняет их удаление.

Зараженные компьютеры проявляют некоторые или все из следующих симптомов:

  • Vundo вызывает появление в зараженном веб-браузере рекламных объявлений, многие из которых утверждают, что необходимо программное обеспечение для исправления «ухудшения» системы.
  • Фон рабочего стола может быть изменен на изображение окна установки с сообщением о том, что установлено рекламное ПО . на компьютере
  • Заставку можно изменить на « Синий экран смерти» .
  • На панели управления свойствами экрана вкладки «Фон» и «Заставка» отсутствуют, поскольку их значения «Скрыть» в реестре были изменены на 1.
  • И фон, и заставка находятся в папке System32, однако заставку нельзя удалить.
  • Автоматические обновления Windows (и другие веб-службы) также могут быть отключены, и их невозможно снова включить.
  • Зараженные DLL-файлы или файлы DAT (со случайными именами, такими как «__c00369AB.dat» и «slmnvnk.dll») будут присутствовать в папке Windows/System32, а ссылки на DLL-файлы будут найдены при запуске пользователя (доступны для просмотра в MSConfig). , реестр и в качестве надстроек браузера в Internet Explorer .
  • Vundo может попытаться помешать пользователю удалить его или иным образом препятствовать его работе, например, отключив диспетчер задач, редактор реестра и msconfig, тем самым предотвращая загрузку системы в безопасном режиме.
  • Некоторые брандмауэры или антивирусное программное обеспечение также могут быть отключены Vundo, что сделает систему еще более уязвимой. В частности, он отключает Norton AntiVirus и, в свою очередь, использует его для распространения инфекции. Norton сам предложит включить фильтр фишинга. После нажатия кнопки «ОК» он попытается подключиться к real-av.org и загрузить больше вредоносного ПО.
  • Популярные антивирусные программы, такие как Spybot – Search & Destroy или Malwarebytes , можно удалить или сразу закрыть после загрузки. Переименование исполняемого файла программы может обойти эту проблему. Исполняемый файл Malwarebytes может быть удален сразу после установки (в зависимости от заражения системы). Установка программы на другой компьютер и копирование исполняемого файла в каталог Malwarebytes зараженного компьютера также обычно работает.
  • Доступ к Интернету также может пострадать. Vundo может привести к тому, что многие веб-сайты станут недоступными.
  • Ссылки поисковых систем могут быть перенаправлены на мошеннические сайты защитного программного обеспечения , чего можно избежать, скопировав и вставив адреса.
  • MS Juan может привести к сбою загрузки веб-страниц после сеансов просмотра и отображению пустой страницы в браузере вместо веб-страницы. В этом случае любые программы также могут не запускаться, и выключение Windows может стать невозможным.
  • Жесткий диск может стать постоянно доступным для процесса winlogon.exe, поэтому могут возникать периодические зависания.
  • Отображает всплывающие окна, а также эффективно внедряет рекламные акции в результаты поиска.
  • Могут появиться предупреждения о том, что SuperMWindow не закрывается. [3]
  • Explorer.exe может постоянно аварийно завершать работу, что приводит к бесконечному циклу сбоев и перезапусков.
  • Создает критический для вирусов драйвер в папке C:\Windows\system32\drivers (ati0dgxx.sys).
  • Вирус может «съесть» все доступное место на жестком диске; Объем места на жестком диске может колебаться от +3 до -3 ГБ, что свидетельствует о попытке Вундо «спрятаться» во время противостояния.
  • Vundo может препятствовать процессу загрузки.
  • Вход в безопасный режим после попытки использовать HijackThis приводит к появлению настоящего «синего экрана смерти», который невозможно восстановить без восстановления удаленных ключей реестра безопасного режима или переустановки версии Windows.
  • Вирус иногда выдает ошибку «Запустить DLL как приложение», когда некоторые из DLL со случайным именем были удалены.
  • Вирус перезаписывает библиотеки DLL со случайными именами, пока они находятся на компьютере.
  • Вирус изменяет записи \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и RunOnce, чтобы запускаться при запуске Windows.
  • Вирус устанавливает рекламное ПО, иногда порнографического характера.
  • Вирус устанавливает мошенническое программное обеспечение безопасности, такое как Desktop Defender 2010 и Security Center, с WAV-файлом, сообщающим пользователю, что его система заражена.
  • Вирус приведет к повреждению сетевого драйвера, что даже после входа в редактор реестра (regedit.exe) для удаления Winsock 1 и 2 и попытки переустановки драйвера практически невозможны.
  • Вирус удаляет сетевое подключение в разделе «Мое сетевое окружение».

Ссылки

[ редактировать ]
  1. ^ «Описание события FireEye: Trojan.Vundo» .
  2. ^ Перейти обратно: а б Белл, Генри; Чиен, Эрик (17 марта 2010 г.). «Троян.Вундо» . Ответ безопасности Symantec . Симантек . Архивировано из оригинала 13 декабря 2006 года . Проверено 14 марта 2012 г.
  3. ^ SuperMWindow - Новый мир.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Vundo&oldid=1221434906"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 083d6e4569ed6fd19f45ed29d210e975__1714420140
URL1:https://arc.ask3.ru/arc/aa/08/75/083d6e4569ed6fd19f45ed29d210e975.html
Заголовок, (Title) документа по адресу, URL1:
Vundo - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)