2009-10-07

Virus Alert - SounDriverCashe.DLL

Подцепил тут троянца на пару с руткитом - так еле вылечил. Руткит был убил утилитой TDSSKiller.exe от Лаборатории Касперского, а вот с троянцем пришлось повозиться. Avira его пропустил, NOD32 тоже не видит. Kaspersky и Dr.Web видят, но вылечить зараженную машину не могут. Причем, Касперский не видит вирус в системной папке, однако как только копируешь файл вируса в любое другое место - кричит, что это Trojan.Win32.Delf.pcn и давай его безжалостно лечить. Толку мало - перегружаешься, а машина опять заражена. Единственное упоминание в сети о злодее нашел здесь. Пишут, что вирус свежий, впервые проявился 24 сентября 2009 года.

Итак, файл SounDriverCashe.DLL размером 204800 байт сидит в папке C:\WINDOWS\SYSTEM32 и в реестре в параметрах службы WinLogon:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sound]

"DllName"="SounDriverCashe.dll"

"Logon"="WlxLogonEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

Лечить заразу трудно, поскольку она блокирует загрузку в безопасном режиме. Что она делает? Скачивает другой вирус, который интегрируется в реестр таким образом, что любые браузеры отображают порно-банер с предложением вылечить компьютер за SMS. А также в фалйе hosts прописываются строки, которые отправляю все известные антивирусные сайты на адрес 127.0.0.1

Я вылечил, загрузившись с Dr.Web LiveCD и удалив тело троянца ручками из под Linux.

Комментариев нет: