Миллионы российских пользователей заразились "трояном"

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы. В частности, вирусы автоматически удалялись с компьютера через несколько часов после установки, не запускались в безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы "троянца", была не столь высокой, как сейчас. Если раньше разработчики трояна просили 10-20 рублей и не получив перевод разблокировали компьютер, то сейчас одна смс-ка обойдется пользователю в 300-600 рублей и код разблокировки скорее всего не сработает. Вместо этого щедрый юзер получит предложение отправить еще денег. Предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей. Кто-то очень неплохо зарабатывает при минимуме вложении средств.

Как известно, любой высокодоходный криминальный бизнес очень живуч. Власти и компетентные органы, призваные бороться с криминалом, как обычно проявляют удивительную неповоротливость. Вроде что мешает оперативно блокировать телефонные номера на которые поступают смс? Но кто ж будет своими руками перекрывать денежные потоки:))

Поэтому, как всегда, спасение утопающих - дело рук самих утопающих.

Вредоносные программы семейства Trojan.Winlock распространяются через "бреши" в Windows (в частности Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Скажу сразу, я ни разу не ловил подобную нечисть. Но удалять и чистить чужие компьютеры мне приходилось не раз. Рассмотрю возможные причины, почему я еще ни разу не подхватил эту заразу, хотя и провожу много времени в сети и, бывает, посещаю разные интернет-помойки.

1. Я не использую Internet Explorer. Браузер которым я пользуюсь - Опера. Он малораспространен в мире, вроде лишь 2% пользователей его используют, не все эксплойты заточеные под  Internet Explorer работают с Оперой.  Ссылка на страницу загрузки Опера: http://www.opera.com/browser/ (откроется в новом окне. У кого открылась на английском, внизу страницы есть выбор языка)
2. Своевременное обновление Windows. Нельзя жалеть трафик или время на обновление системы. Большинство гуляющих по сети вирусов было написано следующим образом. Новоиспеченный вирусописака не ищет бреши в системе, не исследует защиту виндовс, он просто заходит на сайт майкрософта и читает какие обновления были выпущены. Его интересуют уже обнаруженные дырки которые эти обновления закрывают. Затем под эти дырки ищется уже готовый експлойт и пишется к нему "обертка". Все, вирус готов. Этот вирус будет работать только на компьютерах, на которые еще не установили обновления системы, но новоявленному хакеру хватит и их. Это огромное количество машин, есть где развернуться. Поэтому если Вы настроете обновление своей системы: "Загружать, пользователь назначит время установки" то система вовремя загрузит обновления и сообщит Вам об этом. Просмотрев и установив нужные обновления, Вы защитите себя от огромного количества вирусов расчитаных на армию легкомысленных пользователей.
3. Всегда включеный монитор антивируса и автоматическое обновление антивирусных баз. Ну, про обновления пояснено выше, расскажу чем важен монитор. Обычно пользователь узнает о вирусе когда ему кто-то об этом сообщает. Но хорошонаписаный вирус, будучи запущеным на компьютере, уже не даст антивирусу себя обнаружить и забить тревогу. Он будет плодотворно трудиться, плодить своих сущностей, строить сети из таких же зараженных машин, рассылать спам, выступать прокси-сервером и еще делать любые вещи, для которых его приготовили создатели. Но юзер об этом не узнает. Его антивирус молчит и сообщает что все чисто. Это происходит из-за того что юзер когда-то, один раз, отключил монитор антивируса и запустил зараженный файл. Хорошонаписаный вирус, будучи запущенным из-под администратора, удалить из системы потом вообще крайне сложно. Никогда не отключайте монитор антивируса. Антивирус должен иметь приоритет перед вирусом. Кому интересны технические подробности: вот хорошая статья. (откроется в новом окне)
4. Ну и конечно никогда не запускать исполняемые файлы полученые из непроверенных источников. Даже если вам пришло электронное письмо от вашего лучшего друга, и вы обнаружили в нем вложение. Следует помнить, что это вирус может сам рассылать себя с зараженной машины по адресам обнаруженым на ней же. Ваш лучший друг может и не знать, что с его машины уходят письма от его имени. Тоже самое можно сказать про сообщения по ICQ Сейчас все больше вирусов рассылают по аське сообщения от имени пользователя с приглашением посетить какую-либо страницу. Это делается что бы пользователю, когда он зайдет на такую страницу, через дырку в системе загрузить на машину вирус, тот же Winlock например. От такой загрузки поможет выполнение первых трех пунктов.

Но если вдруг вам "посчастливилось" поймать этот троян, то отчаиваться и посылать смс-ки не стоит. На сайте Др.Веба уже опубликованы бесплатные генераторы разблокирующего кода.

Вот ссылка на эту страницу: http://www.drweb.com/unlocker/index/?lng=ru (откроется в новом окне)

Если не удается удалить троян при помощи рекомендаций Др.Веба, то тогда придется поработать ручками. Опишу стандарную процедуру, которую следует сделать при подозрении что компьютер заражен.

В первую очередь, нельзя давать вирусу загрузиться в память чтобы он не мог контролировать ситуацию. Для этого нужно загружаться с другого, заведомо чистого, загрузочного диска. Я для этого использую ERD Commander. Почитать о нем можно здесь.(откроется в новом окне). Это загрузочный образ диска позволяющий, при загрузке с него, подключится к реестру имеющейся на HDD системы. Ссылок, на загрузку образа, в сети огромное количество. (откроется в новом окне). Перед записью диска, в образ нужно добавить файлы, которые потребуются для проверки и лечения компьютера. Проверять компьютер на наличие вирусов будем бесплатной утилитой CureIt от докотора Веба.  Ссылка на описание и ссылка на загрузку (откроются в новых окнах)  Эту утилиту следует скачивать всякий раз перед проверкой, чтобы иметь последнюю версию антивирусных баз. Затем при помощи любой утилиты, которой вы записываете образ на CD, добавляем в образ диска CureIt и записываем загрузочный диск. Далее загружаете компьютер при помощи этого диска (в биосе нужно выбрать порядок загрузки - первым с сидирома, затем уже с HDD) и загрузившись с диска, делаете полную проверку.

Обычно такая процедура помогает обнаружить на компьютере, целый зоопарк вирусов, о которых пользователь даже не подозревал.

Но тут кроется один серьезный подводный камень. После такой проверки компьютер может вообще не загрузиться. Дело в том что вирусов, в чистом понимании этого термина, осталось уже очень мало. Настоящий вирус заражая файл, дописывает свое тело к исполняемому файлу. При выполнении такого файла управление сначала получает вирус, загружается в память, и потом он уже передает управление файлу. Если удалить тело вируса, то исполняемый файл остается и не перестает работать. Те трояны, которые распространены сейчас, поступают проще. Троян просто переименовывает системный файл (Например userinit.exe)  и сам пишется под его именем. При загрузке компьютера вирус грузится первым и уже сам запускает переименованный userinit.exe В этом случае, если удалить вирус, то передать управление переменованному userinit.exe никто не сможет, и компьютер загрузится только до окна входа в систему. Войти в систему уже не получится никак, так как оригинальный userinit.exe отсутствует. Как быть? На этот случай я добавляю в образ загрузочного диска еще и системные файлы, с системы, которую собираюсь проверять. Это файлы: explorer.exe, userinit.exe, services.exe, winlogon.exe, svchost.exe, smss.exe, rundll32.exe, csrss.exe. После проверки следует внимательно изучить отчет CureIt о найденых вирусах. Если в удаленных присутствуют системные файлы, то, перед тем как загружаться, их следует восстановить из заведомо чистых копий, заблаговременно добавленных на загрузочный диск.

Вообще в настройках проверки CureIt следует указать что делать с зараженными файлами - не удалять, а просто информировать пользователя, дабы не потерять систему и все операции с пойманными вирусами проделать вручную. После проверки системы с загрузкой с другого диска, следует ее загрузить и провести проверку еще раз, уже установленным антивирусом с обновленными базами. Тогда можно будет говорить, что от заразы избавились, и нет опасности случайно запустить зараженный файл.