March 20th, 2010

Альфа Прайм

Про winupd01.exe

Подцепила я эту гадость 17 марта, когда вернулась из ЦНИИмаша. Сначала думала, что она прилепилась ко мне с порносайта, который открывается в качестве рекламы на Металарее, но потом поняла, что, скорее всего, эта гадость лезет ко мне из локалки.
Вирус сначала создает в папке Windows/system32 файл с именем две-цифры.scr, который просит доступ в сеть. Мой файервол его блокирует, и тогда в той же папке создается файл winupd01.exe. Параллельно после создания этого файла создаются соответствующие записи в реестре - в том числе языковой панели (ctfmon.exe) в качестве дебаггера ставится этот самый winupd01.exe. Также добавляется много гадостей в файл hosts, из-за чего становится невозможно зайти на некоторые сайты антималварной направленности (но, например, на сайт Касперского зайти можно). Если перезагрузить маздай, не удаляя вирус, то при следующем запуске вирь удалит из автозагрузки файервол, а также отключит отображение скрытых и системных файлов.
Я попробовала отослать winupd01.exe на Virustotal, но из 40 представленных там антивирусов его обнаружил только антивирь от Symantec.
Лечила я эту дрянь так: из-под Линукса удаляла winupd01.exe, потом перезагружалась в маздай и чистила реестр (надо обязательно удалить вирусный дебаггер у ctfmon.exe, иначе его не запустить - будет ругаться, что, мол, такого файла нет). Затем надо с помощью политик безопасности (secpol.msc) запретила выполнение всех .scr и winupd01.exe из папки system32; также потом надо снова включила отображение скрытых и системных файлов (если через графический интерфейс не получится включить отображение всех скрытых и системных файлов, то делаем так: Start -> Run -> regsvr32 /i shell32.dll), а также снова поставила файервол в автозагрузку. Однако, похоже, все политики безопасности пишутся не для администратора, поэтому вирус все равно проник ко мне. Удаляла его я уже описанным выше способом (исключая пункт с политиками безопасности).
Короче говоря, надо совсем переходить на Линукс.

P.S. Еще надо сказать, что когда я отправила winupd01.exe на Virustotal, его смог определить только один антивирус из 40 (!) - Symantec'овский; он определил эту дрянь как Win32.Pilleuz.

P.P.S. Уже читала кое-что в инете и видела, что на одном сайте кто-то ляпнул, будто winupd01.exe - это нормальный виндовый файл, ответственный за доставку обновлений. Ничего подобного. Включаем мозг (или элементарную логику) и понимаем, что у составной части винды такого имени просто не может быть.

P.P.P.S. Думаю, эта дрянь ко мне лезла из локалки. С 21 марта вирь перестал ко мне лезть.