Win32.Sirefef/ZAccess

отредактировано April 2016 Раздел: Вирусы & Антивирусы
Win32/Sirefef/ZAccess является многокомпонентным из семейства вредоносного ПО, использует руткит-технологии, чтобы скрыть свое присутствие на зараженном компьютере. В связи с характером этой угрозы, полезная нагрузка может существенно отличаться от одной инфекции на другую, хотя общее поведение включает в себя:

Загрузка и выполнение произвольных файлов
Соединение с удаленными хостами
Отключение функции безопасности

Внимание: Win32/Sirefef является опасной угрозой, которая использует передовые технологии стелс, чтобы помешать его обнаружению и удалению. Как следствие заражения этой угрозой, вам может понадобиться восстановить и перенастроить некоторые функции безопасности ОС Windows.

Установка.

Установщик (dropper) компонент Win32/Sirefef может быть доставлен через эксплойты и riskware, такие как "кейгены" и "крэки" (программы, предназначенные для обхода лицензирования программного обеспечения).

При запуске вредоносной программы установщик пытается заменить случайно выбран системный драйвер вредоносной собственной копией. Заменен может быть любой из следующих драйверов:

afd.sys
i8042prt.sys
ipsec.sys
mrxsmb.sys
netbt.sys
raspppoe.sys
serial.sys


Обратите внимание, что этот список не является исчерпывающим.

Зараженный драйвер будет загружаться каждый раз запуске Windows. Замененный драйвер может быть обнаружен как вариант Вирус: Win32/Sirefef или как TrojanDropper: Win32/Sirefef.B.

Загрузка и выполнение произвольных файлов

Sirefef использует P2P протокол для загрузки или обновления дополнительных компонент вредоносных программ с удаленных партнерских компьютеров. Загруженные компоненты сохраняются в скрытой папке, которая будет создана для этой цели. Загруженные компоненты могут:

Изменять результаты результаты поиска в Интернете;
Создавать клики на рекламу для своих контроллеров
Запускать добычу Bitcoin (цифровой валюты) на зараженном компьютере

Соединение с удаленными хостами

Sirefef устанавливает соединение с удаленными хостами для передачи информации о зараженном компьютере. Эта информация может быть использована для создания сети зараженных компьютеров, которые злоумышленник может использовать практически для любых целей.

Отключение брандмауэра Windows

Sirefef пытается отключить брандмауэр Windows, чтобы убедиться, что его собственный трафик не будет заблокирован.

дополнительная информация

В Sirefef реализуется перехваты операций чтения диска , чтобы скрыть свое присутствие на зараженном компьютере. Если мы попытаемся прочитать замененный драйвер, Sirefef возвращает исходный, чистый драйвер. Любые изменения, внесенные в этот драйвер не будет иметь никакого влияния на систему, вредоносный драйвер всегда будет работать вместо исправленного.

Sirefef включает механизм самозащиты для защиты от программ связанных с безопасностью; вредоносного пытается завершить любой процесс, который пытается получить доступ к Sirefef.

Создание папку, в которой хранятся другие вредоносные программы

Sirefef создает специальную папку, настроенную как точка восстановления (набор данных, определяемый пользователем), в которых хранятся дополнительные компоненты вредоносной программы, а также оригинальная чистая копия замененного драйвера.

Созданные папки имеют следующий формат:

\ $ NtUninstallKB $

где является случайным числом.

Примечание: файлы, хранящиеся в этой папке шифруются, и не являются общедоступными.

image

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Sirefef

http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32/Sirefef#tab=2

Меры предупреждения
Выполните следующие действия, чтобы помочь предотвратить инфекцию на вашем компьютере:

Включите брандмауэр на вашем компьютере.
Установите обновления для всех установленных программ.
Обновите антивирусные программы до актуальных версий.
Ограничить права пользователя на компьютере.
Соблюдайте осторожность при открытии вложений и принятии передачи файлов.
Соблюдайте осторожность при переходе по ссылкам на веб-страницах.
Избегайте загрузки пиратского программного обеспечения.
Защитите себя от атак социальной инженерии.
Используйте надежные пароли.

Решения в случае заражения:
от ESET
http://kb.eset.com/esetkb/index?page=content&id=SOLN2895
от лаборатории Касперского
TDSSKiller
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:

Комментарии

  • отредактировано December 2012 PM
    пример лога tdsskiller
    13:41:16.0593 2532 Scan finished
    13:41:16.0593 2532 ================================================== ==========
    13:41:16.0593 2528 Detected object count: 2
    13:41:16.0593 2528 Actual detected object count: 2
    13:54:32.0468 2528 C:\WINDOWS\system32\nicconfigsvc.dll - copied to quarantine
    13:54:32.0468 2528 HKLM\SYSTEM\ControlSet001\services\deckzpsx - will be deleted on reboot
    13:54:32.0468 2528 HKLM\SYSTEM\ControlSet002\services\deckzpsx - will be deleted on reboot
    13:54:32.0484 2528 C:\WINDOWS\system32\nicconfigsvc.dll - will be deleted on reboot
    13:54:32.0484 2528 deckzpsx ( Backdoor.Multi.ZAccess.gen ) - User select action: Delete
    13:54:32.0500 2528 C:\WINDOWS\system32\DRIVERS\netbt.sys - copied to quarantine
    13:54:32.0828 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\@ - copied to quarantine
    13:54:32.0843 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\L\tnaco utm - copied to quarantine
    13:54:32.0859 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\loader. tlb - copied to quarantine
    13:54:32.0859 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@0000 0001 - copied to quarantine
    13:54:32.0859 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@0000 00c0 - copied to quarantine
    13:54:32.0875 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@0000 00cb - copied to quarantine
    13:54:32.0875 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@0000 00cf - copied to quarantine
    13:54:32.0890 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@8000 0000 - copied to quarantine
    13:54:32.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@8000 00c0 - copied to quarantine
    13:54:32.0921 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@8000 00cb - copied to quarantine
    13:54:32.0921 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@8000 00cf - copied to quarantine
    13:54:32.0937 2528 C:\WINDOWS\assembly\GAC_MSIL\desktop.ini - copied to quarantine
    13:54:32.0937 2528 C:\WINDOWS\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb - copied to quarantine
    13:54:32.0937 2528 C:\Documents and Settings\Гуля\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb - copied to quarantine
    13:54:33.0828 2528 Backup copy found, using it..
    13:54:33.0828 2528 C:\WINDOWS\system32\DRIVERS\netbt.sys - will be cured on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\@ - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\loader. tlb - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@0000 0001 - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@0000 00c0 - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@0000 00cb - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@0000 00cf - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@8000 0000 - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@8000 00c0 - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@8000 00cb - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\2545989992\U\@8000 00cf - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\$NtUninstallKB53591$\3164209752 - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\assembly\GAC_MSIL\desktop.ini - will be deleted on reboot
    13:54:33.0906 2528 C:\WINDOWS\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb - will be deleted on reboot
    13:54:33.0906 2528 C:\Documents and Settings\Гуля\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb - will be deleted on reboot
    13:54:33.0906 2528 NetBT ( Virus.Win32.ZAccess.g ) - User select action: Cure
    13:54:46.0156 2268 Deinitialize success
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.