+7 (927) 724 75 19

Один из авторов, участников украинского форума «Бiблiотека», Wladimir Mutel рассказал свою историю о том, как он удалял eKav antivirus с двух компьютеров. Он рассказывает, что 06 января удалил с двух независимых машин эту заразу (eKav antivirus). Со стороны пользователя, на его мониторе eKav antivirus выглядит, как обыкновенное наглое вымогательство – на экране зараженного компьютера появляется баннер, напоминающий по стилю дизайна антивирус Касперского, и настоятельно требует выслать платную СМС на четырехзначный номер, и после этого система будет разблокирована, иначе через короткое время компьютеру пользователя, словившего вирус, станет очень не сладко. Никакие другие программы не запускаются. Баннер eKav antivirus находится поверх всех окон и не дает ничего делать.

Первый случай

На первом компьютере пришлось загрузиться с Alkid SE и разыскивать на винчестере недавно созданные исполняемые файлы. Стер несколько новых библиотек *.dll из пользовательского профиля, презагрузил компьютер в обычный Windows – никакого результате, баннер eKav antivirus не перестал появляться при запуске любой программы. Опять загрузился с Alkid SE и в разделе системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows очистил значение AppInit_DLLs, открыв при этом ветку рееста software на винчестере по пути \windows\system32\config\. В указанном месте было имя ничем не примечательного файла в \windows\system32\... затем двоеточие и за ним случайный подбор цифр, букв и знаков препинания.

Известно, что в системе NTFS в комплекте с любым файлом есть возможность хранить один или более дополнительных потоков информации (технология NTFS streams) с именами, добавляемыми к имени родительского файла и указываемыми через двоеточие от имени основного файла. Также известно, что операционная система Windows дает возможность исполнять команды, содержащиеся в этих потоках, при упоминании их в соответствующих ветках системного реестра или конфигурационных переменных. Авторы вирусов и программ-вымогателей и eKav antivirus в том числе знают об этой технологии и пользуются ею.

После такой очистки, при перезагрузке Windows в обычном режиме все приложения стали запускаться и работать, а eKav antivirus перестал себя как-либо проявлять.

После проверки системы, приложение AutoRuns определило, что в системе находится еще один вирус с исполняемым файлом sdra64.exe. Для того, чтобы избавиться от него, надо было загрузиться с Alkid SE еще раз и удалить исполняемый файл из ветки \windows\system32 и в программе Regedit стереть его из списка Userlnit в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

После этих манипуляций остался запрещенным запуск утилиты Regedit, диспетчера задач и всех имевшихся на машине антивирусных программ. Через Интернет, который работал на тот момент, была скачана программа RegistryFix (сайт программы) и через нее был восстановлен запуск приложения Regedit. C помощью этой же утилиты был запрещен запуск исполняемых файлов и потоков информации в вышеуказанных каталогах с помощью механизма политик Windows XP, Safer. В разделе KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths были вычищены все подразделы с каталогами, запрещенными при проникновении вируса. После следующего перезапуска системы появилась возможность установить и обновить Zillya, MBAM и с помощью последнего просканировать всю машину. Сканирование позволило удалить остатки «зараженных» файлов и восстановить настройки реестра, которые были нарушены вредоносной программой eKav antivirus. Все настройки приложений и данные были сохранены, система была полностью работоспособной.
Второй случай

На втором компьютере, который был поражен eKav antivirus с помощью Alkid SE были удалены все новые библиотеки *.dll и вычищены AppInit_DLLs и Safer\...\Paths. После перезагрузки в обычном режиме был установлен MBAM, который просканировал машину и помог стереть остатки вредных файлов и восстановить настройки системного реестра в их прежнее состояние.
Домыслы

1. Подлецы, выпустившие в свет eKav antivirus оказались умными людьми, знающими не только операционную систему Windows, но и психологию рядового пользователя, уверовавших в непогрешимость антивирусных программ. Кроме того, они подгадали выход eKav antivirus под новогодние каникулы, когда он будет сразу обнаружен только на домашних компьютерах, а основная масса зараженных машин, находящихся в офисах и на предприятиях, будут включены только после 11 января 2010 г. Антивирусные базы пополнить с них будет невозможно, а большинство системных администраторов со своими скудными знаниями не будут знать, что делать с открывшимся баннером eKav antivirus. И многие тысячи неискушенных пользователей будут посылать СМС-ки на короткие номера, указанные на этих баннерах. eKav antivirus будет оставаться очень популярным в нашем обществе еще очень долго.

2. Необходимо быть очень осторожным при посещении сайтов кустарного производства на бесплатных хостингах типа narod.ru, ukoz.ru, by.ru и пр. Надо уметь отличать полезный контент от вредоносных баннеров, рекламы, всплывающих окон и баннеров. Лучше всего пользоваться последней версией Mozilla FireFox, который проверяет все сомнительные адреса по огромной централизованной базе корпорации Google.

__________________________________________________________________________________________________________

источник информации