Вундо - Vundo

Жалпы аты	Вундо
Техникалық атауы	Vundo Variant Троян: Win32 / Vundo. [Хат] (Microsoft ); Троян: Win32 / Vundo.gen! [Хат] (Microsoft); Trojan.Vundo. [Хат] (Symantec ); Trojan.Vundo. [Хат] (Bitdefender ); Gen: Variant.Vundo. [Сан] (BitDefender); TR / Drop.Vundo.J. [Сан] (Авира ); TR / Dldr.Vundo.J.379 (Авира); TR / Vundo. [Хат] .2 (Авира); Trojan-Downloader.Win32.Vundo (Ikarus); Win-Trojan / Vundo.63488.M (AhnLab); W32 / Vundo.dam [Сан] (Норман ); Vundo.gen [Сан] (Норман); W32 / Vundo. [Хат] (Норман); Win32 / Vundo! Жалпы (Калифорния ); Троян: Win32 / Vundo. [Хат] (CA); Күдікті.Vundo (FireEye ) ; Trojan.Win32.Monder (FireEye); Vundo.gen (FireEye); Троян: Win32 / Vundo (FireEye); ; Virtumonde нұсқасы Adware.VirtuMonde (FireEye); ;
Бүркеншік аттар	Virtumonde; Виртумондо; Microsoft Хуан;
Отбасы	Вундо
Түрі	Зиянды бағдарлама
Ішкі түрі	Не Компьютерлік құрт немесе Трояндық ат (есептеу)

The Vundo трояны (жалпы ретінде белгілі Вундо, Virtumonde немесе Виртумондо, кейде деп аталады MS Хуан) не а Трояндық ат немесе а компьютерлік құрт себебі белгілі қалқымалы терезелер және жарнама жалған антишпион бағдарламалар, сондай-ақ басқа да тәртіпсіздіктер, соның ішінде өнімділіктің нашарлауы және қызмет көрсетуден бас тарту кейбір веб-сайттармен, соның ішінде Google және Facebook. Ол сонымен қатар басқа компьютерлерге зиянды бағдарламалық жасақтаманы жеткізу үшін қолданылады.^[2] Кейінгі нұсқаларына кіреді руткиттер және төлем бағдарламасы.^[2]

Инфекция

Vundo инфекциясы, әдетте, троянды жіберетін электрондық пошта қосымшасын ашудан немесе әр түрлі жолмен туындайды браузердің эксплуатациясы сияқты танымал шолғыш қосылатын модульдеріндегі осалдықтарды қосады Java. Сияқты көптеген қалқымалы терезелер жалған бағдарламаларды жарнамалайды AntiSpywareMaster, WinFixer, және AntiVirus 2009.

Virtumonde.dll екі негізгі компоненттен тұрады, Шолғышқа көмекші нысандар және сынып идентификаторы. Осы компоненттердің әрқайсысы Windows тізілімі астында HKEY жергілікті машина, және файл атаулары динамикалық. Ол жалған арқылы жүйеге қосылады Шолғышқа көмекші нысандар және DLL файлдары қоса беріледі winlogon.exe, Explorer.exe және жақында, lsass.exe.

Vundo брандмауэрді, антивирусты өшіру туралы Windows ескертуін басу үшін тізілім жазбаларын енгізеді Автоматты жаңартулар қызметі, автоматты түрде жаңарту қызметін өшіреді және қолмен қайта қосылса тез шабуыл жасайды және шабуыл жасайды Зиянды бағдарламаларға қарсы зиянды бағдарлама, Spybot іздеу және жою, Lavasoft Ad-Aware, Бұл айдап әкету және басқа зиянды бағдарламаларды жою құралдары. Ол өзін жиі жасырады Vundofix және Құрама түзету. Жалған антивирустық өнімдерді итеруден гөрі, жаңа «жарнама «үшін қалқымалы терезелер жүктеу арқылы жүргізіңіз шабуылдар - бұл ірі корпорациялардың жарнамаларының көшірмелері, жалған, сондықтан оларды жабу арқылы жүктеу жүктемесі эксплуатациясына пайдаланушының компьютеріне пайдалы жүктемені енгізуге мүмкіндік береді.

Белгілері

Vundo трояндарының әр түрлі сорттары болғандықтан, Vundo белгілері салыстырмалы түрде қатерсізден ауырға дейін кеңінен өзгереді. Vundo-дың барлық дерлік сорттары қалқымалы жарнаманың ерекшеліктерімен қатар, оларды жоюды қиындату үшін өздерін тамырландырады.

Жұқтырылған компьютерлерде келесі белгілердің кейбірі немесе барлығы бар:

Vundo вирус жұқтырған веб-шолғышта жарнамалардың пайда болуына әкеліп соғады, олардың көпшілігі жүйенің «тозуын» түзету үшін бағдарламалық жасақтама қажет.
Жұмыс үстелінің фонын орнату терезесінің кескініне өзгертуге болады жарнамалық бағдарлама компьютерде.
Экран қорғағышты келесіге өзгертуге болады Өлімнің көгілдір экраны.
Дисплейдің қасиеттерін басқару тақтасында фон мен скринсейвер қойындылары жоқ, өйткені олардың Тізілімдегі «Жасыру» мәндері 1-ге өзгертілді.
Фон да, скринсер де System32 қалтасында, бірақ скринсаверді жою мүмкін емес.
Windows автоматты жаңартулары (және басқа веб-сервистер) өшірілуі мүмкін және оларды қайта қосу мүмкін емес.
Жұқтырылған DLL немесе DAT файлдары («__c00369AB.dat» және «slmnvnk.dll» сияқты кездейсоқ атаулары бар) Windows / System32 қалтасында болады және DLL сілтемелері пайдаланушының іске қосылуында табылады (MSConfig-де көруге болады) , тізілім және шолғыш қондырмалары ретінде Internet Explorer.
Vundo пайдаланушының оны жоюына жол бермеуге немесе оның жұмысына кедергі келтіруге тырысуы мүмкін, мысалы, тапсырмалар менеджерін, тізілім редакторын және msconfig-ті өшіру, осылайша жүйенің қауіпсіз режимге түсуіне жол бермейді.
Кейбір брандмауэрлерді немесе антивирустық бағдарламаларды Vundo өшіруі мүмкін, бұл жүйені одан да осал етеді. Әсіресе, ол өшіреді Norton AntiVirus және өз кезегінде оны инфекцияны тарату үшін қолданады. Norton фишингтік сүзгіні қосудың нұсқауларын өзі көрсетеді. ОК батырмасын басқаннан кейін, ол real-av.org сайтына қосылуға және көптеген зиянды бағдарламаларды жүктеуге тырысады.
Сияқты танымал зиянды бағдарламаларға қарсы бағдарламалар Spybot - іздеу және жою немесе Зиянды бағдарламалар жойылуы немесе жүктелуімен бірден жабылуы мүмкін. Бағдарламаның атауын өзгерту осыған байланысты болуы мүмкін. Зиянды бағдарламалық жасақтама орнатылғаннан кейін жойылуы мүмкін (жүйенің инфекциясына байланысты). Бағдарламаны басқа компьютерге орнату және орындалатын файлды вирус жұқтырған компьютердің Malwarebytes каталогына көшіру де жұмыс істейді.
Веб-қатынасқа да кері әсер етуі мүмкін. Vundo көптеген веб-сайттарға қол жетімсіз болуы мүмкін.
Іздеу жүйесінің сілтемелері қайта бағытталуы мүмкін қауіпсіз емес бағдарламалық жасақтама мекен-жайларды көшіру және қою арқылы болдырмауға болатын сайттар.
MS Juan веб-сайттарды қарау сәтінен кейін жүктелмеуі мүмкін және веб-беттің орнына шолғышта бос бет ұсынады. Мұндай жағдайда кез-келген бағдарламалар іске қосылмай қалуы мүмкін және терезені өшіруді қолдану мүмкін болмауы мүмкін.
Қатты дискке winlogon.exe процесі үнемі қол жетімді бола бастайды, сондықтан мезгіл-мезгіл мұздату орын алуы мүмкін.
Қалқымалы терезелерді көрсету, сонымен қатар іздеу нәтижелеріне жарнамаларды енгізу тиімді.^[3]
SuperMWindow өшірілмейтіні туралы ескерту пайда болуы мүмкін.^[4]
Explorer.exe үнемі апатқа ұшырауы мүмкін, нәтижесінде шексіз цикл құлап, қайта қосылады.
C: Windowssystem32drivers (ati0dgxx.sys) ішінде вирусқа қарсы драйвер жасайды.
Вирус қатты дискідегі бос орынды «жеуге» болады; қатты дискінің кеңістігі + 3-тен -3 Гб дейінгі кеңістікке дейін ауытқуы мүмкін, бұл Vundo-ның қарсыласу кезінде «жасыру» әрекетінен көрінеді.
Vundo жүктеу барысына кедергі келтіруі мүмкін.
Пайдалануға тырысқаннан кейін қауіпсіз режимге өту Бұл айдап әкету Өлімнің нағыз Көк экраны пайда болады, оны жойылған қауіпсіз режим тізбесінің кілттерін немесе Windows жүйесінің қайта орнатылған нұсқасын қалпына келтірусіз қалпына келтіруге болмайды.
Кейде кездейсоқ аталған DLL файлдарының кейбіреуі жойылған кезде вирус «DLL-ді APP ретінде іске қосу» қатесін жібереді.
Вирус кездейсоқ аталған DLL файлдарын қайта жазады, ал олардың кез-келгені машинада болады.
Вирус HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun және RunOnce жазбаларын Windows іске қосылғанда өзін бастау үшін өзгертеді.
Вирус кейде порнографиялық болатын жарнамалық бағдарламаны орнатады.
Вирус орнатылады қауіпсіз емес бағдарламалық жасақтама мысалы, Desktop Defender 2010 және .wav файлы бар қауіпсіздік орталығы, пайдаланушыға олардың жүйесіне вирус жұққанын айтады.
Вирус желі драйверінің бұзылуына әкеледі, тіпті ол енгізілгеннен кейін де Тіркеу редакторы (regedit.exe) Winsock 1 және 2 жою және драйверді қайта орнатуға тырысу іс жүзінде мүмкін емес.
Вирус желілік қосылымды Менің желімнің орындары ішінен жояды.

Әдебиеттер тізімі

^ https://mil.fireeye.com/edp.php?sname=Trojan.Vundo
^ ^а ^б Белл, Генри; Чиен, Эрик (17 наурыз, 2010). «Trojan.Vundo». Symantec қауіпсіздігіне жауап. Symantec. Алынған 14 наурыз, 2012.
^ HowToFix - Vundo трояны.
^ SuperMWindow - Жаңа Vundo.

[1] ttps://mil.fireeye.com/edp.php?sname=Trojan.Vundo

[Symantec-2] а ^б Белл, Генри; Чиен, Эрик (17 наурыз, 2010). «Trojan.Vundo». Symantec қауіпсіздігіне жауап. Symantec. Алынған 14 наурыз, 2012.

[3] HowToFix - Vundo трояны.

[atribune-4] SuperMWindow - Жаңа Vundo.

[1]

[2]

[3]

[4]