Jak se na přání analyzují viry v CZ.NICu

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 11.4.2013
Hodnocení/Hlasovalo: 0/0

Včera vyšel na blogu Pavla Bašty článek o nebezpečném malwaru, který byl „ke stažení“ v odkazu zprávy na Skypu. Pan Bašta pracuje jako bezpečnostní analytik ve sdružení CZ.NIC. Jak popisuje, odkaz na stažení škodlivého programu jim zaslal uživatel z ČR, kterému přišel vzkaz ve tvaru:[pre]www.goo.gl/XXXXXXX=IMG0540240-JPG [/pre]Přípona stahovaného souboru je .scr, proto by zkušenější uživatel měl být infikování ušetřen. Přesto však (třeba díky nepozornosti) může dojít ke spuštění. Pokud se tak stane, vytvoří se na disku skrytá systémová složka, kam je umístěn soubor winmgr.exe, do registrů je přidán klíč zajišťující spuštění po startu WS. Po úspěšném připojení k určitému serveru si program stáhne instrukce a začne odesílat e-maily, pravděpodobně i Skype vzkazy. Dále si stáhne svého kolegu, který se také rozleze po počítači (v registrech dokonce na několika místech). Důležitým faktem je, že přes 70 % ze 46 antivirových programů na serveru virustotal.com nedetekovalo žádnou hrozbu. Vir sám o sobě však není příliš sofistikovaný, a jeho odstranění nepředstavuje velký problém. A jak se tedy nezvaného hosta zbavit? P. Bašta radí: „Je třeba v první řadě ukončit proces winmgr.exe. Dále je potřeba smazat samotný soubor winmgr.exe ve složce S-500-9430-5849-2045. Je však potřeba nejdříve zapnout zobrazování skrytých a systémových souborů. Pak ještě odebereme z registrů klíč Microsoft Windows Manager a po restartu by mělo být již vše v pořádku.“