Win32.Sirefef/ZAccess
Win32/Sirefef/ZAccess является многокомпонентным из семейства вредоносного ПО, использует руткит-технологии, чтобы скрыть свое присутствие на зараженном компьютере. В связи с характером этой угрозы, полезная нагрузка может существенно отличаться от одной инфекции на другую, хотя общее поведение включает в себя:
Загрузка и выполнение произвольных файлов
Соединение с удаленными хостами
Отключение функции безопасности
Внимание: Win32/Sirefef является опасной угрозой, которая использует передовые технологии стелс, чтобы помешать его обнаружению и удалению. Как следствие заражения этой угрозой, вам может понадобиться восстановить и перенастроить некоторые функции безопасности ОС Windows.
Установка.
Установщик (dropper) компонент Win32/Sirefef может быть доставлен через эксплойты и riskware, такие как "кейгены" и "крэки" (программы, предназначенные для обхода лицензирования программного обеспечения).
При запуске вредоносной программы установщик пытается заменить случайно выбран системный драйвер вредоносной собственной копией. Заменен может быть любой из следующих драйверов:
afd.sys
i8042prt.sys
ipsec.sys
mrxsmb.sys
netbt.sys
raspppoe.sys
serial.sys
Обратите внимание, что этот список не является исчерпывающим.
Зараженный драйвер будет загружаться каждый раз запуске Windows. Замененный драйвер может быть обнаружен как вариант Вирус: Win32/Sirefef или как TrojanDropper: Win32/Sirefef.B.
Загрузка и выполнение произвольных файлов
Sirefef использует P2P протокол для загрузки или обновления дополнительных компонент вредоносных программ с удаленных партнерских компьютеров. Загруженные компоненты сохраняются в скрытой папке, которая будет создана для этой цели. Загруженные компоненты могут:
Изменять результаты результаты поиска в Интернете;
Создавать клики на рекламу для своих контроллеров
Запускать добычу Bitcoin (цифровой валюты) на зараженном компьютере
Соединение с удаленными хостами
Sirefef устанавливает соединение с удаленными хостами для передачи информации о зараженном компьютере. Эта информация может быть использована для создания сети зараженных компьютеров, которые злоумышленник может использовать практически для любых целей.
Отключение брандмауэра Windows
Sirefef пытается отключить брандмауэр Windows, чтобы убедиться, что его собственный трафик не будет заблокирован.
дополнительная информация
В Sirefef реализуется перехваты операций чтения диска , чтобы скрыть свое присутствие на зараженном компьютере. Если мы попытаемся прочитать замененный драйвер, Sirefef возвращает исходный, чистый драйвер. Любые изменения, внесенные в этот драйвер не будет иметь никакого влияния на систему, вредоносный драйвер всегда будет работать вместо исправленного.
Sirefef включает механизм самозащиты для защиты от программ связанных с безопасностью; вредоносного пытается завершить любой процесс, который пытается получить доступ к Sirefef.
Создание папку, в которой хранятся другие вредоносные программы
Sirefef создает специальную папку, настроенную как точка восстановления (набор данных, определяемый пользователем), в которых хранятся дополнительные компоненты вредоносной программы, а также оригинальная чистая копия замененного драйвера.
Созданные папки имеют следующий формат:
\ $ NtUninstallKB $
где является случайным числом.
Примечание: файлы, хранящиеся в этой папке шифруются, и не являются общедоступными.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Sirefef
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32/Sirefef#tab=2
Меры предупреждения
Выполните следующие действия, чтобы помочь предотвратить инфекцию на вашем компьютере:
Включите брандмауэр на вашем компьютере.
Установите обновления для всех установленных программ.
Обновите антивирусные программы до актуальных версий.
Ограничить права пользователя на компьютере.
Соблюдайте осторожность при открытии вложений и принятии передачи файлов.
Соблюдайте осторожность при переходе по ссылкам на веб-страницах.
Избегайте загрузки пиратского программного обеспечения.
Защитите себя от атак социальной инженерии.
Используйте надежные пароли.
Решения в случае заражения:
от ESET
http://kb.eset.com/esetkb/index?page=content&id=SOLN2895
от лаборатории Касперского
TDSSKiller
Загрузка и выполнение произвольных файлов
Соединение с удаленными хостами
Отключение функции безопасности
Внимание: Win32/Sirefef является опасной угрозой, которая использует передовые технологии стелс, чтобы помешать его обнаружению и удалению. Как следствие заражения этой угрозой, вам может понадобиться восстановить и перенастроить некоторые функции безопасности ОС Windows.
Установка.
Установщик (dropper) компонент Win32/Sirefef может быть доставлен через эксплойты и riskware, такие как "кейгены" и "крэки" (программы, предназначенные для обхода лицензирования программного обеспечения).
При запуске вредоносной программы установщик пытается заменить случайно выбран системный драйвер вредоносной собственной копией. Заменен может быть любой из следующих драйверов:
afd.sys
i8042prt.sys
ipsec.sys
mrxsmb.sys
netbt.sys
raspppoe.sys
serial.sys
Обратите внимание, что этот список не является исчерпывающим.
Зараженный драйвер будет загружаться каждый раз запуске Windows. Замененный драйвер может быть обнаружен как вариант Вирус: Win32/Sirefef или как TrojanDropper: Win32/Sirefef.B.
Загрузка и выполнение произвольных файлов
Sirefef использует P2P протокол для загрузки или обновления дополнительных компонент вредоносных программ с удаленных партнерских компьютеров. Загруженные компоненты сохраняются в скрытой папке, которая будет создана для этой цели. Загруженные компоненты могут:
Изменять результаты результаты поиска в Интернете;
Создавать клики на рекламу для своих контроллеров
Запускать добычу Bitcoin (цифровой валюты) на зараженном компьютере
Соединение с удаленными хостами
Sirefef устанавливает соединение с удаленными хостами для передачи информации о зараженном компьютере. Эта информация может быть использована для создания сети зараженных компьютеров, которые злоумышленник может использовать практически для любых целей.
Отключение брандмауэра Windows
Sirefef пытается отключить брандмауэр Windows, чтобы убедиться, что его собственный трафик не будет заблокирован.
дополнительная информация
В Sirefef реализуется перехваты операций чтения диска , чтобы скрыть свое присутствие на зараженном компьютере. Если мы попытаемся прочитать замененный драйвер, Sirefef возвращает исходный, чистый драйвер. Любые изменения, внесенные в этот драйвер не будет иметь никакого влияния на систему, вредоносный драйвер всегда будет работать вместо исправленного.
Sirefef включает механизм самозащиты для защиты от программ связанных с безопасностью; вредоносного пытается завершить любой процесс, который пытается получить доступ к Sirefef.
Создание папку, в которой хранятся другие вредоносные программы
Sirefef создает специальную папку, настроенную как точка восстановления (набор данных, определяемый пользователем), в которых хранятся дополнительные компоненты вредоносной программы, а также оригинальная чистая копия замененного драйвера.
Созданные папки имеют следующий формат:
\ $ NtUninstallKB $
где является случайным числом.
Примечание: файлы, хранящиеся в этой папке шифруются, и не являются общедоступными.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Sirefef
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32/Sirefef#tab=2
Меры предупреждения
Выполните следующие действия, чтобы помочь предотвратить инфекцию на вашем компьютере:
Включите брандмауэр на вашем компьютере.
Установите обновления для всех установленных программ.
Обновите антивирусные программы до актуальных версий.
Ограничить права пользователя на компьютере.
Соблюдайте осторожность при открытии вложений и принятии передачи файлов.
Соблюдайте осторожность при переходе по ссылкам на веб-страницах.
Избегайте загрузки пиратского программного обеспечения.
Защитите себя от атак социальной инженерии.
Используйте надежные пароли.
Решения в случае заражения:
от ESET
http://kb.eset.com/esetkb/index?page=content&id=SOLN2895
от лаборатории Касперского
TDSSKiller
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии