Зараза подменяет файл hosts.

Всё-таки это случилось - Катюха подцепила (под своей учёткой) заразу. На моём основном ноуте :-( NOD32 заразу не увидел, но он давно не обновлялся ибо лицензия кончилась. Так что сразу появился повод продлить лицуху.

Короче, трояшка интересная, уже почти все её копии поубивал, но она ещё живая. Щас вот основной ноут проверяется в безопасном режиме AVZ и NOD32.

Раскопки дали много интересного, но это попозже опишу. Пролез трояшка под оперой через жаву (jre). NOD32 его определяет как Kriptik. Заметили когда Катюха попыталась во "вконтакте" зайти, на его главной странице появилось сообщение с просьбой отправить смс.

Оказалось, подмена hosts. Но не банально, а весьма интересно.

Продолжение...

Началось всё банально - Катюха заявила что не может попасть на "Вконтакте". Я сначала подумал что винлокер какой-нить, но оказалось что сообщение с просьбой отправить смс - на главной странице "вконтакта". Понятно, что подмена сервера. Полез в %WINDIR%\system32\drivers\etc\hosts А там пусто. Только локалхост прописан.

Стало интересно. Прогнал AVZ - ругается на большое количество хуков на системные вызовы, связанные с файловой системой (и не только).

“

Функция NtCreateFile (42) - модификация машинного кода. Метод не определен.
Функция NtEnumerateKey (74) - модификация машинного кода. Метод не определен.
Функция NtEnumerateValueKey (77) - модификация машинного кода. Метод не определен.
Функция NtOpenFile (B3) - модификация машинного кода. Метод не определен.
Функция NtQueryDirectoryFile (DF) - модификация машинного кода. Метод не определен.
Функция NtQueryKey (F4) - модификация машинного кода. Метод не определен.
Функция NtQuerySystemInformation (105) - модификация машинного кода. Метод не определен.
Функция NtCreateFile (83088E82) - модификация машинного кода. Метод не определен.
Функция NtOpenFile (830B85C4) - модификация машинного кода. Метод не определен.
Функция NtQueryDirectoryFile (830B862F) - модификация машинного кода. Метод не определен.
Функция NtQuerySystemInformation (83074416) - модификация машинного кода. Метод не определен.

”

В безопасном режиме, в том же каталоге что и hosts обнаружился файлик с именем host2 Его содержимое очень доставило:

“

dsf45453
85.234.190.72 www.telebank.ru
85.234.190.73 www.vk.com
85.234.190.73 mail.ru
85.234.190.73 www.mail.ru
85.234.190.72 telebank.ru
85.234.190.73 www.vkontakte.ru
85.234.190.73 vk.com
85.234.190.73 www.odnoklassniki.ru
85.234.190.39 www.alfabank.ru
85.234.190.39 alfabank.ru
85.234.190.39 click.alfabank.ru
85.234.190.39 www.click.alfabank.ru
85.234.190.73 www.odnoklassniki.ua
85.234.190.73 odnoklassniki.ua
85.234.190.73 odnoklassniki.ru
85.234.190.73 vkontakte.ru
gh54646455454

”

Сразу же послал Катюху за маленький ноут, быстренько менять все свои пароли. Тут даже Альфа Банк фигурирует, которым я с некоторых пор пользуюсь. Но там пароли одноразовые, в СМСках приходит, так что не страшно. Но всё равно неприятно.

Короче, осталось найти собссно заразу, которая этот файлик подменяет. Перегрузился в обычный режим - а файлика нет. Просто тупо в каталоге нет файла с именем host2 И в консоли нет, команда dir его не показывает. А вот команда dir host2 - показывает :-) Причём, этот файл можно копировать, открывать, удалять (но он всё равно заново создаётся). Если в любом месте диска, или даже вообще на другом диске создать файл с таким же именем - сразу пропадает. Короче, тут вспомнил что хуки висят. Вот зараза файлик и маскирует.

Самое фиговое что ни AVZ, ни NOD32 заразу не находят. Правда, на Ноде лицензия кончилась, так что быстренько купил продление. Но всё равно, ничего вредного не нашлось. Оно и понятно - ныкается. Надо грузиться с LiveCD. А у меня под рукой ничего подходящего нет :-( Да и хотелось ручками заразу искоренить.

Благодаря AVZ удалось найти зацепку:

“

7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "illyhadt"

”

Этот illyhadt.sys находился в c:\windows\system32\drivers и наотрез отказывался открываться, не то что удаляться. И в реестре не давал себя убрать. В диспетчере устройств, в списке несамонастраиваемых устройств нашлось такое устройство - "illyhadt". Правда, удаляться оно наотрез не возжелало - ругалось что устройство повреждено и функционирует неправильно.

Пришлось, всё-таки, грузиться с LiveCD и прогонять антивири. Которые быстренько отыскали этот illyhadt.sys и прикончили. Я уж было обрадовался, однако, снова загрузившись в винду, увидел что файлик host2 снова маскируется. Снова его кто-то прикрывает, и снова те же хуки висят. Но время было позднее, хотелось спать. Так что с быстренько скачал загрузочный диск винды, снёс старую, двухлетней выдержки, Win7 и накатил новенькую. Так что сейчас у меня чистенькая Windows 7.

Да, вот такой я виндузятник. Линухи на домашних машинах не очень уважаю. На серверах - тем более. А вот фря на серваках - это да, фря рулит!

UPD> Кстати, NOD32 заразу определил как Win32/Agent.RKL и как Win32/Kryptik.FWU
UPD> А пролезла она, реально, через браузер Opera при установленной Java. А Катюха всего-то хотела mp3 скачать по присланной подругой ссылке...