Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Instrukcje usuwania Shadowbota

Instrukcje lokalizowania i usuwania bota Shadow

Instrukcje przygotował: Vitaly Kamluk, starszy analityk wirusów, Kaspersky Lab
MD5 analizowanej próbki: 9e2ef49e84bc16c95b8fe21f4c0fe41e

Lokalizowanie szkodnika (przy pomocy oprogramowania bezpieczeństwa)

Kaspersky Anti-Virus wykrył szkodliwe oprogramowanie, które od 30 stycznia 2008 roku wykorzystywane było do tworzenia botnetu Shadow. Szkodnik ten wykrywany jest pod różnymi nazwami, w zależności od wersji:

Backdoor.Win32.IRCBot.bit 
Backdoor.Win32.IRCBot.biy 
Backdoor.Win32.IRCBot.bjd 
Backdoor.Win32.IRCBot.bjh 
Backdoor.Win32.IRCBot.cja 
Backdoor.Win32.IRCBot.cjj 
Backdoor.Win32.IRCBot.ckq 
Backdoor.Win32.IRCBot.cow 
Backdoor.Win32.IRCBot.czt 
Backdoor.Win32.IRCBot.ekz 
Rootkit.Win32.Agent.aet 
Trojan-Downloader.Win32.Injecter.pj 
Trojan.Win32.DNSChanger.azo 
Trojan.Win32.DNSChanger.bao 
Trojan.Win32.DNSChanger.bck 
Trojan.Win32.DNSChanger.bfo 
Trojan.Win32.DNSChanger.bjh 
Trojan.Win32.DNSChanger.bji 
Trojan.Win32.DNSChanger.bjj 
Trojan.Win32.DNSChanger.bmj 
Trojan.Win32.DNSChanger.bnw 
Trojan.Win32.DNSChanger.bqk 
Trojan.Win32.DNSChanger.bsm 
Trojan.Win32.DNSChanger.buu 
Trojan.Win32.DNSChanger.bwi 
Trojan.Win32.DNSChanger.bxd 
Trojan.Win32.DNSChanger.bxe 
Trojan.Win32.DNSChanger.bxv 
Trojan.Win32.DNSChanger.cap 
Trojan.Win32.DNSChanger.ccg 
Trojan.Win32.DNSChanger.cei 
Trojan.Win32.DNSChanger.cem 
Trojan.Win32.DNSChanger.eag 
Trojan.Win32.DNSChanger.gvb 
Trojan.Win32.Restarter.e 
Trojan.Win32.Restarter.f 
Trojan.Win32.Restarter.g 
Trojan.Win32.Restarter.h 

Obecna próbka została wykryta 6 sierpnia 2008 roku jako Trojan.Win32.DNSChanger.gvb.

Lokalizowanie szkodliwego oprogramowania (ręcznie)

Ponieważ bot nie kopiuje swojego kodu do systemu, nazwa zainfekowanego pliku może być różna. Nazwa ta zależy od programu instalacyjnego wykorzystanego do zainfekowania systemu botem. Obecność bota można jednak wykryć poprzez sprawdzenie rejestru systemu.

Użytkownicy mogą sprawdzić rejestr systemu, uruchamiając regedit.exe i sprawdzając następującą wartość rejestru:

HKEY_CLASSES_ROOT\.htc\Content Type

Administratorzy systemu sieci mogą zrobić to zdalnie za pomocą poniższego polecenia reg.exe:

Domyślną wartością rejestru systemowego (sprawdzona w systemie Windows XP Pro SP2) dla HKEY_CLASSES_ROOT\.htc\Content jest “text/x-component”. Jeżeli w rejestrze jest inna wartość, taka jak “{ }”, może to oznaczać, że maszyna została zainfekowana botem Shadow.

Możesz również sprawdzić inną gałąź rejestru, która umożliwia botowi wykonanie wyjściowych połączeń sieciowych poprzez zmianę reguł Zapory systemu Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\.

Bot dodaje pozycję do foldera List znajdującego się w folderze Authorized Applications. Reguła może być zidentyfikowana jako "Flash Media" - patrz poniżej - jednak nazwa może się różnić.

W ten sposób możesz zobaczyć rzeczywistą ścieżkę do lokalizacji zainfekowanego pliku w zainfekowanym systemie. Ścieżkę do zainfekowanego pliku pokazuje również wartość rejestru HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. Bot przyłącza ścieżkę do swojego pliku do legalnego pliku userinit.exe:

Nazwa pliku i lokalizacja mogą się różnić.

Administratorzy sieci mogą zidentyfikować zainfekowane maszyny w sieci lokalnej poprzez sprawdzenie wyjściowych połączeń sieciowych z elena.ccpower.ru na porcie 3306 lub stosując wykrywanie niezależne od adresu/portu w oparciu o filtrowanie ruchu sieciowego w celu wykrycia poniższych schematów:

Usuwanie szkodnika (ręczne)

Bot łata proces winlogon.exe w pamięci. W ten sposób szkodliwy kod może zdobyć uprawnienia do lokalnego systemu i chronić oryginalny zainfekowany plik przed usunięciem. W ten sposób zabezpiecza również ustawienia rejestru przed modyfikacją poprzez częste ich przywracanie. Jeśli szkodliwy proces nie został uruchomiony, załatany proces winlogon.exe zrestartuje go.

Po zidentyfikowaniu zainfekowanego pliku wykonywalnego postępuj zgodnie z poniższymi instrukcjami w celu usunięcia szkodliwego oprogramowania i przywrócenia ustawień systemu:

  1. Zablokuj bieżącemu użytkownikowi wszelki dostęp do zainfekowanego pliku. W tym celu przejdź do pliku przy pomocy Eksploratora Windows.

    Wyłącz “Użyj prostego udostępniania plików” (dla użytkowników NTFS) w Eksploratorze Windows (Przejdź do Eksploratora Windows menu windows -> Narzędzia -> Opcje folderów -> Widok):

    Prawym przyciskiem myszy kliknij szkodliwy plik i wybierz “Właściwości”:

    Przejdź do zakładki “Bezpieczeństwo” i dostosuj kontrolę dostępu do plików. Będziesz musiał dodać bieżącego użytkownika do listy "Nazwy grup lub użytkowników":

    Kliknij przycisk “Dodaj” i wprowadź nazwę bieżącego użytkownika. Zaznacz wszystkie pola wyboru w kolumnie Odmów dla bieżącego użytkownika:

  2. Uruchom ponownie system.
  3. Przejdź do zainfekowanego pliku. Teraz możesz go usunąć.
  4. Uruchom regedit.exe i przywróć klucze rejestru do domyślnych wartości systemowych. Wartości mogą się różnić w zależności od ścieżki instalacyjnej systemu. Typowe wartości zostały przedstawione poniżej: (klucz=wartość): “HKCR\.htc\Content Type” = "text/x-component" “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit” = “C:\WINDOWS\system32\userinit.exe”

  5. Usuń następujące wartości: “HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Flash Media” “HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\”

  6. Uaktualnij antywirusowe bazy danych i wykonaj pełne skanowanie komputera (możesz w tym celu skorzystać z testowej wersji programów Kaspersky Lab - http://www.kaspersky.pl/download.html?s=trial).


 2008-08-11  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych