Вундо - Vundo

Распространенное имяВундо
Техническое название
  • Vundo Variant
    • Троян: Win32 / Vundo. [Письмо] (Microsoft )
    • Троян: Win32 / Vundo.gen! [Письмо] (Microsoft)
    • Trojan.Vundo. [Письмо] (Symantec )
    • Trojan.Vundo. [Письмо] (Bitdefender )
    • Gen: Variant.Vundo. [Number] (BitDefender)
    • TR / Drop.Vundo.J. [Число] (Avira )
    • TR / Dldr.Vundo.J.379 (Avira)
    • TR / Vundo. [Письмо] .2 (Avira)
    • Trojan-Downloader.Win32.Vundo (Икарус)
    • Win-Trojan / Vundo.63488.M (АнЛаб)
    • W32 / Vundo.dam [Номер] (Норман )
    • Vundo.gen [Число] (Норман)
    • W32 / Vundo. [Письмо] (Норман)
    • Win32 / Vundo! Generic (CA )
    • Троян: Win32 / Vundo. [Письмо] (CA)
    • Подозрительно.FireEye ) [1]
    • Trojan.Win32.Monder (FireEye)
    • Vundo.gen (FireEye)
    • Троян: Win32 / Vundo (FireEye)
  • Virtumonde вариант
    • Рекламное ПО.VirtuMonde (FireEye)
Псевдонимы
  • Virtumonde
  • Virtumondo
  • Microsoft Хуан
СемьяВундо
ТипВредоносное ПО
ПодтипЛибо Компьютерный червь или же Троянский конь (вычисления)


В Vundo троян (широко известный как Вундо, Virtumonde или же Virtumondo, иногда называемый М.С. Хуан) является либо троянский конь или компьютерный червь что, как известно, вызывает всплывающие окна и реклама для мошенническая антишпионская программа программы, а иногда и другое неправильное поведение, включая снижение производительности и отказ в обслуживании с некоторыми веб-сайтами, включая Google и Facebook. Он также используется для доставки других вредоносных программ на свои хост-компьютеры.[2] Более поздние версии включают руткиты и программа-вымогатель.[2]

Инфекционное заболевание

Заражение Vundo обычно вызывается либо открытием вложения электронной почты, содержащего троян, либо различными способами. браузерные эксплойты, включая уязвимости в популярных надстройках браузера, таких как Ява. Многие из всплывающих окон рекламируют мошеннические программы, такие как AntiSpywareMaster, WinFixer и AntiVirus 2009.

Virtumonde.dll состоит из двух основных компонентов, Объекты помощника браузера и идентификатор класса. Каждый из этих компонентов находится в Реестр Windows под МЕСТНАЯ МАШИНА HKEY, и имена файлов являются динамическими. Он подключается к системе с помощью поддельного Объекты помощника браузера и DLL файлы прикреплен к winlogon.exe, explorer.exe и совсем недавно lsass.exe.

Vundo вставляет записи в реестр, чтобы подавить предупреждения Windows об отключении брандмауэра, антивируса и Автоматические обновления служба, отключает службу автоматического обновления и быстро снова отключает ее при повторном включении вручную, а также атакует Защита от вредоносных программ Malwarebytes, Поиск и уничтожение шпионов, Lavasoft Ad-Aware, HijackThis и несколько других инструментов для удаления вредоносных программ. Часто прячется от Вундофикс и Комбофикс. Вместо того, чтобы продавать поддельные антивирусные продукты, новый "объявление "всплывающие окна для ездить скачиванием Атаки - это копии рекламы крупных корпораций, сфальсифицированные, так что простое их закрытие позволяет эксплойту "попутная загрузка" вставить полезную нагрузку в компьютер пользователя.

Симптомы

Поскольку существует множество различных разновидностей троянов Vundo, симптомы Vundo широко варьируются, от относительно безобидных до тяжелых. Практически все разновидности Vundo имеют всплывающую рекламу, а также возможность укоренения, чтобы их было сложно удалить.

На зараженных компьютерах проявляются некоторые или все следующие симптомы:

  • Vundo заставит зараженный веб-браузер показывать всплывающие рекламные объявления, многие из которых заявляют о необходимости программного обеспечения для исправления «износа» системы.
  • Фон рабочего стола может быть изменен на изображение окна установки, в котором говорится, что рекламное ПО на компьютере.
  • Заставку можно изменить на Синий экран смерти.
  • В Панели управления свойствами дисплея отсутствуют вкладки фона и заставки, поскольку их значения «Скрыть» в реестре были изменены на 1.
  • И фон, и заставка находятся в папке System32, однако скринсейвер нельзя удалить.
  • Автоматические обновления Windows (и другие веб-службы) также могут быть отключены, и их невозможно снова включить.
  • Зараженные файлы DLL или DAT (со случайными именами, такими как «__c00369AB.dat» и «slmnvnk.dll») будут присутствовать в папке Windows / System32, а ссылки на библиотеки DLL будут найдены при запуске пользователя (их можно просмотреть в MSConfig) , реестр и как надстройки браузера в Internet Explorer.
  • Vundo может попытаться помешать пользователю удалить его или иным образом затруднить его работу, например, отключив диспетчер задач, редактор реестра и msconfig, тем самым не дав системе загрузиться в безопасном режиме.
  • Некоторые брандмауэры или антивирусное программное обеспечение также могут быть отключены Vundo, что делает систему еще более уязвимой. Особенно это отключает Norton AntiVirus и, в свою очередь, использует его для распространения инфекции. Norton сам по себе будет показывать запросы на включение фишингового фильтра. После нажатия OK он попытается подключиться к real-av.org и загрузить еще одну вредоносную программу.
  • Популярные программы защиты от вредоносных программ, такие как Spybot - поиск и уничтожение или же Malwarebytes могут быть удалены или сразу закрыты при загрузке. Переименование исполняемого файла программы может решить эту проблему. Исполняемый файл Malwarebytes может быть удален сразу после его установки (в зависимости от зараженности системы). Установка программы на другой компьютер и копирование исполняемого файла в каталог Malwarebytes зараженного компьютера обычно тоже работает.
  • Доступ в Интернет также может быть нарушен. Vundo может стать причиной недоступности многих веб-сайтов.
  • Ссылки поисковых систем могут быть перенаправлены на мошенническое программное обеспечение безопасности сайты, которых можно избежать, скопировав и вставив адреса.
  • MS Juan может вызывать сбой загрузки веб-страниц после сеансов просмотра и отображение пустой страницы в браузере вместо веб-страницы. Когда это происходит, любые программы также могут не запускаться, и может стать невозможным использовать завершение работы Windows.
  • Процесс winlogon.exe может постоянно обращаться к жесткому диску, поэтому могут возникать периодические зависания.
  • Показывать всплывающие окна, а также дополнительно эффективно вводить рекламные акции в результаты поиска.[3]
  • Могут появиться предупреждения о том, что SuperMWindow не завершает работу.[4]
  • Explorer.exe может постоянно давать сбой, приводя к бесконечному циклу сбоев и перезапуска.
  • Создает драйвер, критичный для вирусов, в C: Windowssystem32drivers (ati0dgxx.sys).
  • Вирус может «съесть» доступное место на жестком диске; объем места на жестком диске может колебаться от +3 до -3 Гб, что очевидно из попытки Вундо «спрятаться», когда ему противостоят.
  • Vundo может препятствовать загрузке.
  • Вход в безопасный режим после попытки использования HijackThis приводит к истинному «синему экрану смерти», который невозможно восстановить без восстановления удаленных ключей реестра в безопасном режиме или переустановленной версии Windows.
  • Иногда вирус выдает ошибку «Запустить DLL как приложение», когда некоторые из случайно названных DLL были удалены.
  • Вирус перезаписывает библиотеки DLL со случайными именами, пока любая из них находится на компьютере.
  • Вирус изменяет записи HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun и RunOnce так, чтобы запускался сам при запуске Windows.
  • Вирус Установки Adware, что иногда является порнографией.
  • Вирус устанавливается мошенническое программное обеспечение безопасности например Desktop Defender 2010 и Security Center с WAV-файлом, сообщающим пользователю, что его система заражена.
  • Вирус приведет к повреждению сетевого драйвера, который даже после входа в Редактор реестра (regedit.exe) удалить Winsock 1 и 2 и попытаться переустановить драйвер практически невозможно.
  • Вирус удаляет сетевое соединение в разделе «Сетевое окружение».

Рекомендации

  1. ^ https://mil.fireeye.com/edp.php?sname=Trojan.Vundo
  2. ^ а б Белл, Генри; Чиен, Эрик (17 марта 2010 г.). "Trojan.Vundo". Symantec Security Response. Symantec. Получено 14 марта, 2012.
  3. ^ HowToFix - троян Vundo.
  4. ^ SuperMWindow - новый Vundo.