Судя по всему в Беларуси эпидемия, нового и в то же время относительно старого трояна Zaberg. Подробного описания паразита на момент набора данной статьи найти не удалось, а методы борьбы описанные во многих форумах, мягко говоря, устарели, так как троянец, судя по всему, был недавно модернизирован.
Собственно, подвигло меня на написание данного материала то, что сканер Dr.Web CureIt и McAfee Antivirus Plus 2011 на момент набора текста могли распознать паразита, но не могли его удалить целиком из компьютера жертвы.
Какова же симптоматика Zaberg? Она, в принципе, схожа с классическим автораннером. Как и преславутый предтеча, троянец размножается исключительно через инфицированные флешки, но он не использует файл autorun.inf для своего автозапуска, так как в таком случае его распознает любой USB-антивирус и заблокирует. Создатель Zaberg - человек явно не глупый, поэтому он пошел по совершенно иному пути. Троянец скрывает папки на флешке жертвы, при этом создает ярлыки с иконкой названия существующих каталогов и ссылкой на запуск тела трояна, которое находится на флешке в скрытой папке Recycler (корзина).
Замечено, что в разных модификациях трояна, тело паразита называется по-разному. В самой вредной модификации троянец лежит на флешке в файле Recycler\40109cb.exe. В обычной модификации в Recycler\ecleaner.exe или zaberg.exe. Именно на эти файлы ссылаются ярлыки-папки, созданные трояном.
Первое, что может заметить пользователь при заражении Zaberg - это утечку трафика. Так, всего за десять минут он создает около 4 мегабайт дополнительных данных. Поэтому любой пользователь мобильного интернета по трафику может заметить данное действие. Неприятен тот факт, что встроенный брандмауэр Windows XP не блокирует трояна, в отличие от файрволла встроенного, например, в антивирус McAfee.
В том случае, если антивирус удаляет трояна Zaberg, часть его всё равно остается в компьютере, и он продолжает плодить на всех вставляемых съемных носителях информации ярлыки, скрывая при этом каталоги. В этот момент сложно понять, откуда исходит угроза. Так, четыре антивируса, которыми я сканировал компьютер жертвы не показали никакого результата. Они попросту не видели проблемы.
Чтобы не пользоваться дополнительными утилитами мониторинга файлов для обнаружения Zaberg.exe, проще всего загрузиться в режиме поддержки командной строки. Именно так возможно обнаружить в автозагрузке путь к запуску трояна, так как в обычном и безопасном режиме Zaberg не удосуживается оставить на себя ссылку в автозагрузке.
Избавиться от Zaberg можно и не прибегая к помощи антивируса. Достаточно загрузиться в режиме поддержки командной строки, запустить Total Commander для удобства, и через него вручную удалить файлы трояна. Первым делом, необходимо, чтобы Total Commander показывал скрытые файлы и папки. Для этого необходимо нажать Конфигурация > Содержимое панелей > Показывать скрытые/системные файлы. Затем зайти на флешку и удалить каталог Recycler, а так же все файлы с расширением *.lnk, называющиеся по названию каталогов, размещенных на флешке. Затем удалить каталог Recycler на всех разделах жестких дисков. После чего загрузить утилиту windows\system32\dllcache\msconfig.exe. В ней выбрать вкладку автозагрзука и внимательно проанализировать, какой элемент автозагрузки принадлежит Zaberg. Это могуть быть файлы: jodrive.exe, aon32.exe, zaberg.exe, xci32.exe или ещё что-то похожее. В любом случае, все они будут прятаться в папке windows\system32 или dllcache. Как только файл вируса определен, его необходимо удалить. После чего обязательно перепроверить через поиск на всех дисках наличие таких файлов как ecleaner.exe, zaberg.exe, 40109cb.exe, jodrive.exe, aon32.exe, xci32.exe. Если они будут обнаружены еще где-то, их следует также удалить. После всех вышеописанных манипуляций, необходимо перезагрузить компьютер. И если всё сделано правильно, Zaberg больше не будет опасен.
В целях подстраховки от заражения подобными Zaberg.exe троянами, рекомендуется в настройках Windows разрешить отображение скрытых файлов и папок, а также расширений файлов.
Роман КАРПАЧ,
www.fdd5-25.net,
www.twitter.com/fdd525net
Версия для печати
Комментарии
А на основании каких данных вы судите об эпидемии? Поинтересовался у вирлаба VBA32 (ВирусБлокАда), у них данный образец в антивирусной базе уже почти как год
Повторяюсь.
Это значит, что само тело трояна ecleaner.exe, zaberg.exe удаляется, но его функция плодовитости не исчезает. Так как файлы jodrive.exe, aon32.exe, xci32.exe или схожие по названию, продолжают находиться в автозагрузке, в реестре. И как только пользователь вставляет флешку на таком недолеченном компьютере, папки автоматически скрываются и на них создаются одноименные ярлыки. Причем, файл делающий это не определяется как троян. По крайней мере так было на момент написания статьи. Т.е. две с половиной недели назад.
Почему я говорю про эпидемию? Потому что раньше я имел дело только с обычными авторанерами на флешках. Это был самый распространённый тип вредоносов. Сейчас же они почти перестали попадаться мне. Но зато с маниакальным упорством мне попадается Zaberg. Модификации которого Avast! и Комодо (самые популярные антивирирусы для дома) - частенько просто не видят в упор.
Чтобы помочь юзерам избавиться от этой напасти, я и написал этот обзор. Можно было написать и *.bat файл, но беда в том, что часть трояна создающаяя ярлыки от версии к версии меняет название.