Вчера обнаружил, что у меня завёлся троян – не работали некоторые службы на ноуте. Оказалось, что они просто не загружены. Хотя в реестре в разделах

HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run

всё осталось прописано по-прежнему + появилась запись:

"Lexmark_X79-55" = "%System%\lsasss.exe"

Это было одним из последствий действий трояна Zonebac (информация от Symantec по этому трояну: http://www.symantec.ru/smb/security_response/writeup.jsp?docid=2006-091612-5500-99&tabid=1).


Основные действия Zonebac:

1. Ищет среди работающих процессов антивирусные и подобные программы безопасности и останавливает их.

2. Добавляет значение

"Lexmark_X79-55" = "%System%\lsasss.exe"

в раздел реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. Копирует себя в %System%\lsasss.exe

4. Просматривает разделы реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

и вместо вызываемых там файлов записывает себя, а настоящий файл вежливо перемещается в папку bak, которую создаёт там же. Например, была запись:

"Hcontrol" = "%System%\Hcontrol.exe"

Теперь настоящий файл будет в папке “%System%\bak\Hcontrol.exe”, а на его прежнем месте будет копия трояна. Поэтому при загрузке не запускаются полезные сервисы.

5. Может пытаться изменить настройки безопасности IE и посылать http запросы. В моём случае этого не происходило.


Как бороться с Zonebac?

Основные действия, думаю, понятны: исправить изменения в реестре (удалить “Lexmark…”) и вернуть на свои места файлы из директорий “bak”.
Symantec предлагает следующие действия:
1. Отключить восстановление системы (Мой компьютер – Свойства – Восстановление системы – Отключить восстановление системы на всех дисках)
2. Обновить антивирусные базы
3. Запустить сканирование всей системы
4. Исправить значения в реестре (Пуск – Выполнить – Набрать “regedit” - Выполнить)
5. Вернуть перемещённые трояном файлы на свои места.

В статье использованы материалы Symantec (http://symantec.ru) и информация, полученная из личного опыта. При использовании этой статьи ссылка на источник (http://hqweb.ru/news/) обязательна. © 2007 hqweb.ru