» Hardware » Software » Windows » Internet » Humor » Other

Как Argon с вирусом Backdoor.Agobot боролся

Argon On-Line » Windows » Security
 

Что такое Backdoor.Agobot

Это — вирус, выполняющий функции программы удаленного администрирования (т. е. его «хозяин» способен полностью контролировать компьютер жертвы, пока та подключена к Сети и нет препядствий для обмена траффиком в виде брандмауэра).

На сколько мне удалось выяснить, для своего проникновения в компьютер жертвы он использует уязвимости в системах Win2000 / XP.

Как подцепил

ХЗ. Могу только догадываться… Мне понадобилось на некоторое время отключить свой любимый и тщательно настроенный Outpost Firewall. Для этого я перевел его в режим бездействия… После этого сделал то, для чего я его, собственно, отключал и… Благополучно забыл включить Outpost обратно.

Как обнаружил

На следующий день, сижу я, значит, в Сети и наблюдаю страшное замедление запуска приложений, хотя причин для этого явных нет.

Отключаюсь. Жму Ctrl+Shift+Esc и попадаю в диспетчер задач Windows XP. Смотрю — какой-то «systems.exe» отжирает 70% ресурсов моего далеко не хилого процессора. Имя сразу показалось подозрительным: я не в первый раз вижу диспетчер задач и прекрасно знаю, какие программы у меня могут быть запущены.

В Total Commander запускаю поиск файла «systems.exe»… Так-так, папка windows \ system32. Открываю свойства этого файла — мои подозрения подтвердились: вкладки Version даже нет, значит, файл не имеет отношения к системе.

Запускаю msconfig: ага, вот он где: [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]. Потом «msconfig» самопроизвольно закрылся. Теперь уже нет сомнения, что эта программа — левая.

Как удалял

Перезагружаю комп нажатием на Reset. Логинюсь как админ (а работаю я всегда под ограниченным юзером) и вижу те же тормоза. Жму Ctrl+Shift+Esc: «systems.exe» по-прежнему отжирает свои 70%… Убиваю этот процесс. Перемещаю «systems.exe» из windows \ system32 в надежное место и переименовываю. Запускаю regedit, и начинаю поиск по запросу «systems.exe». Нахожу ссылки на этот файл в следующих местах:

  • В автозапуске, удаляю ссылки на systems.exe:
    • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]
    • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices]
  • Гад еще и под службу замаскировался, полностью удаляю эти ключи:
    • [HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Sysload]
    • [HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet002 \ Services \ Sysload]
    • [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Sysload]

На всякий случай проверил скрытые файлы в папке автозапуска в главном меню, но подозрительного не нашел.

Все, червь удален

Как действовал дальше

Постоянно установленного антивируса у себя на компе я не держу (жалко памяти, да и глубоко он в систему забирается), поэтому пошел на kaspersky.ru > «онлайновая проверка». Где и проверил трофейный файл… Все мои выводы оправдались: файл содержал вирус Backdoor.Agobot.gen

После этого я стал искать информацию об этом черве, но ничего путного, кроме краткого описания и нескольких сообщений в форумах с заголовками «Не могу избавиться», не нашел. Поэтому и решил написать эту статью, дабы на примере продемонстрировать процесс избавления от подобных гадов.

Мораль

Товарищи! Нужно всегда иметь правильно настроенный брандмауэр (фаэрвол, межсетевой экран)! Не стоит пренебрегать элементарными правилами сетевой безопасности…

 
Еще
Оглавление раздела
Содержание / Новости

Карта сайта
О сайте
Ссылки

Форум
Обратная связь
Если ты нашел ошибку, хочешь что-то посоветовать либо поругать меня, не посчитай за труд написать об этом в следующем поле...







К началу страницы© 2002—2008 Argon