VirusClean: Удаление и лечение вирусов Рязань, установка и настройка антивирусных программ
«Trojan.MulDrop.40896» является весьма мощной троянской программой. Основная задача данного зловредного вируса
заключается в загрузке зловредных программ на компьютер пользователя. Размер данного вируса 29184 байт.
Данный вирус может распространяться при помощи различных спам рассылок во вложении, а также может
инсталлироваться и другими загрузчиками или инсталляторами вредоносных программ. В ходе запуска данного «троянца»,
вирус Trojan.MulDrop.40896 соединяется с удаленным сервером, затем скачивает и устанавливает специальную вредоносную
программу, которая применяется для рассылки различного спама из семейства BackDoor.Buklnet, затем производится
удаление исходного файла.
Для того чтобы произвести восстановление системы после внедрения вредоносного вируса Trojan.MulDrop.40896, требуется
отключить зараженный компьютер от локальной сети или от Интернета, а также отключить и службу восстановления
системы. Далее, необходимо обновить антивирусную программу и произвести скачивание лечащей утилиты Dr.Web CureIt!.
В качестве альтернативы можно использовать и другое обновленное «лекарство», например, от антивирусной программы
«Kaspersky» или аналогичной программы.
После этого, следует войти в безопасный режим и перезагрузить компьютер, (Нажать клавишу F8 и произвести перезагрузку
компьютера). После этого, желательно повторно просканировать зараженный компьютер надежной антивирусной
программой, такой как «Kaspersky» или «ESET NOD32». В том случае, если компьютер находит какой – либо вирус, следует
применить действие «Лечить».
В Google Play найден троян MulDrop, загруженный более 1 000 000 раз
Рекомендуем почитать:
Xakep #293. MikroTik Nightmare
- Содержание выпуска
- Подписка на «Хакер» -60%
Специалисты компании «Доктор Веб» сообщили, что в официальном каталоге Google Play вновь была обнаружена малварь. Троян получил идентификатор Android.MulDrop.924 и применяется для установки на зараженное устройство дополнительного ПО, а также показывает навязчивую рекламу. Помимо Google Play, MulDrop распространяется и через сайты-сборники ПО.
Троян маскировался под приложение Multiple Accounts: 2 Accounts, которое было скачано более 1 000 000 раз и предлагает своим пользователям одновременно использовать несколько учетных записей в играх и другом ПО, установленном на мобильном устройстве. Хотя заявленная функциональность действительно присутствует, помимо нее в коде приложения также сокрыт «сюрприз» в виде трояна MulDrop.
Исследователи пишут, что вредонос имеет необычную модульную архитектуру. Часть ее функциональности расположена в двух вспомогательных программных модулях, которые зашифрованы и спрятаны внутри PNG-изображения, расположенного в каталоге ресурсов MulDrop.
Во время запуска троян извлекает и копирует эти модули в свою локальную директорию в разделе /data, после чего загружает их в память. Один из этих компонентов, помимо безобидных функций, содержит несколько рекламных плагинов, которые операторы малвари используют для получения прибыли. Среди них – троянский модуль Android.DownLoader.451.origin, который без разрешения пользователя скачивает игры и другие приложения, а также предлагает установить их. Он же отвечает за демонстрацию навязчивой рекламы на панели уведомлений.
Эксперты также обнаружили одну из модификаций трояна в более старой версии Multiple Accounts: 2 Accounts. Приложение было подписано сторонним сертификатом и наряду с вредоносным модулем Android.DownLoader.451.origin содержало дополнительный троянский плагин Android.Triada.99, который скачивает эксплоиты, чтобы получить на зараженном устройстве root-права, а также способен незаметно загружать и устанавливать дополнительное ПО. Специалисты «Доктор Веб» предполагают, что использование стороннего сертификата может сигнализировать о том, что новую версию MulDrop модифицировала и распространяет другая группа вирусописателей, никак не связанная с создателями оригинального приложения.
Участились атаки на пользователей российских бухгалтерских программ
Первый летний месяц 2016 года выдался жарким для специалистов по информационной безопасности — в июне было зафиксировано распространение троянца, написанного на встроенном языке программирования 1С, который запускал на атакованном компьютере опасного шифровальщика.
Кроме того, вирусные аналитики компании «Доктор Веб» завершили изучение нового банковского вируса Bolik, а вскоре был исследован бестелесный рекламный троянец Trojan.Kovter.297. Позже был исследован троянец-шпион Trojan.PWS.Spy.19338, способный фиксировать нажатия клавиш в различных приложениях, в том числе в популярных бухгалтерских программах. Также в течение месяца вирусные аналитики дважды обнаруживали в официальном каталоге Google Play троянцев для мобильной платформы Android.
Главные тенденции июня
-Появление полиморфного банковского вируса Bolik
-Распространение троянца для приложения 1С
-Появление бестелесного рекламного троянца Trojan.Kovter
-Распространение опасного троянца-шпиона Trojan.PWS.Spy.19338
Программы семейства 1С пользуются высокой популярностью среди бухгалтеров и экономистов российских компаний. Проявляют к ним интерес и вирусописатели: аналитикам компании «Доктор Веб» уже встречались вредоносные приложения, написанные на встроенном языке программирования 1С. Троянец 1C.Drop.1 отличается от них своей архитектурой и функциональным назначением — это полноценный дроппер, сохраняющий на диск и запускающий опасного шифровальщика Trojan.Encoder.567.
Троянец распространяется в сообщениях электронной почты с темой «У нас сменился БИК банка», к которым приложен файл внешней обработки для программы «1С:Предприятие». Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», троянец разошлет свою копию по адресам электронной почты, обнаруженным в базе контрагентов, а затем извлечет из своих ресурсов, сохранит на диск и запустит троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:
«Управление торговлей, редакция 11.1»
«Управление торговлей (базовая), редакция 11.1»
«Управление торговлей, редакция 11.2»
«Управление торговлей (базовая), редакция 11.2»
«Бухгалтерия предприятия, редакция 3.0»
«Бухгалтерия предприятия (базовая), редакция 3.0»
«1С:Комплексная автоматизация 2.0»
Trojan.MulDrop
Представитель семейства троянцев, предназначенных для установки на инфицированный компьютер других вредоносных программ.
Trojan.InstallCore.1903
Представитель семейства установщиков нежелательных и вредоносных приложений.
Trojan.Zadved
Надстройки, предназначенные для подмены в окне браузера результатов выдачи поисковых систем, а также демонстрации поддельных всплывающих сообщений социальных сетей. Кроме того, в их троянский функционал входит замена рекламных сообщений, демонстрируемых на различных сайтах.
Trojan.DownLoader
Семейство троянцев, предназначенных для загрузки на атакуемый компьютер других вредоносных приложений.
Trojan.LoadMoney
Семейство программ-загрузчиков, генерируемых серверами партнёрской программы LoadMoney. Данные приложения загружают и устанавливают на компьютер жертвы различное нежелательное ПО.
JS.Redirector
Семейство вредоносных сценариев, написанных на языке JavaScript, предназначенных для автоматического перенаправления пользователей браузеров на другие веб-страницы.
JS.Downloader
Семейство вредоносных сценариев, написанных на языке JavaScript, предназначенных для загрузки и установки на компьютер других вредоносных программ.
Один из представителей семейства вредоносных программ, относящихся к категории банковских троянцев. Данное приложение представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.
Trojan.PWS.Turist
Троянская программа, предназначенная для хищения паролей и другой конфиденциальной информации, прежде всего необходимой для доступа к системам дистанционного банковского обслуживания (в том числе использующим механизм авторизации с применением смарт-карт).
Trojan.Encoder.858
Представитель семейства троянцев-вымогателей, шифрующих файлы на компьютере и требующих от жертвы выкуп за расшифровку.
В начале июня вирусные аналитики компании «Доктор Веб» завершили исследование опасного банковского вируса Trojan.Bolik.1. Он предназначен для кражи денег со счетов клиентов российских банков, похищения конфиденциальной информации и шпионажа. Вирус наследует некоторые технические решения широко известных банковских троянцев Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы.
По команде киберпреступников Trojan.Bolik.1 ищет исполняемые файлы в сетевых папках и на подключенных к компьютеру USB-устройствах, после чего заражает их. Зараженные этим вирусом программы детектируются Антивирусом Dr.Web под именем Win32.Bolik.1. Внутри каждой такой программы хранится в зашифрованном виде сам банковский троянец Trojan.Bolik.1, а также другая необходимая вирусу информация.
Trojan.Bolik.1 может контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox (благодаря этому он способен похищать информацию, которую пользователь вводит в экранные формы). Кроме того, вирус умеет делать снимки экрана, фиксировать нажатия клавиш, создавать на зараженной машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Подробности об этой вредоносной программе изложены в подготовленной компанией «Доктор Веб» обзорной статье.
Еще одна новинка июня — бестелесный троянец Trojan.Kovter.297. Эта вредоносная программа незаметно для пользователя запускает в фоновом режиме несколько экземпляров браузера Microsoft Internet Explorer, посещает с их помощью указанные злоумышленниками сайты и накручивает количество просмотров рекламы, нажимая на рекламные ссылки и баннеры. Отличительной чертой троянца является то, что он не присутствует на инфицированном компьютере в виде отдельного файла, а работает непосредственно в оперативной памяти, используя для своего хранения системный реестр Windows.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
- Новости отрасли
- Информационная безопасность
MULDROP.Trojan прилип к программе, не могу удалить. (заявка № 172962)
Junior Member Регистрация 17.12.2014 Сообщений 13 Вес репутации 33
MULDROP.Trojan прилип к программе, не могу удалить.
MULDROP.Trojan прилип к программе, антивирус кидает его в карантин и программа становится не дееспособной, полностью удалял и ставил заново, он всё равно сидит там, программа не может быть виновата, т.к. была уже давно, а такое началось буквально вчера, прошу помощи в удалении этого вируса, спасибо.
Вложения
- hijackthis.log (11.8 Кб, 4 просмотров)
- virusinfo_syscheck.zip (44.5 Кб, 4 просмотров)
Будь в курсе! Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
17.12.2014, 10:38 #2
Cyber 
Регистрация 11.05.2011 Сообщений 2,283 Вес репутации 375
Уважаемый(ая) Lacriz, спасибо за обращение на наш форум!
Удаление вирусов — абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность — пожалуйста поддержите проект.
17.12.2014, 15:47 #3
Senior Helper Регистрация 03.08.2010 Сообщений 25,577 Вес репутации 756
ProxyServer = 89.218.120.162:9090 ProxyOverride = 127.0.0.1:9421;
знакомо? Сами прописывали?
Закройте все программы
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD', 'command'); RebootWindows(false); end.
После выполнения скрипта компьютер перезагрузится.
— Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.( virusinfo_syscheck.zip;hijackthis.log )
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку «Scan» («Сканировать») и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt .
- Прикрепите отчет к своему следующему сообщению.
+ файл который антивирус кидает в карантин
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Это понравилось:
17.12.2014, 18:01 #4
Junior Member Регистрация 17.12.2014 Сообщений 13 Вес репутации 33
Сообщение от regist 
ProxyServer = 89.218.120.162:9090 ProxyOverride = 127.0.0.1:9421;
знакомо? Сами прописывали?
Здравствуйте, простите что не точно, были некоторые проблемы с прокси(не хотел возвращать мой айпи) давно и я что-то менял подобное, выглядит подозрительно?
Файлов который dr.web кидает в карантин, два. Спасибо за ответ.
Вложения
- virusinfo_syscheck.zip (43.9 Кб, 1 просмотров)
- hijackthis.log (11.5 Кб, 1 просмотров)
- AdwCleaner[R0].txt (17.6 Кб, 1 просмотров)
17.12.2014, 19:18 #5
Senior Helper Регистрация 03.08.2010 Сообщений 25,577 Вес репутации 756
1) Обязательно отключите антивирус.
2) Запустите AVZ от имени админа и выполните скрипт
begin ExecuteRepair(22); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command'); RebootWindows(true); end.
3) — Удалите в AdwCleaner всё кроме папок от mail.ru — если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
4) По поводу карантина, там файлы от майл.ру скорее всего доктор веб добавил на них детект (а раньше просто его не было). Так что тут два варианта добавить в исключения антивируса, либо разбираться с тех. поддержкой антивируса.
Это понравилось:
17.12.2014, 21:01 #6
Junior Member Регистрация 17.12.2014 Сообщений 13 Вес репутации 33
Сообщение от regist
1) Обязательно отключите антивирус.
2) Запустите AVZ от имени админа и выполните скрипт
begin ExecuteRepair(22); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command'); RebootWindows(true); end.
3) — Удалите в AdwCleaner всё кроме папок от mail.ru — если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
4) По поводу карантина, там файлы от майл.ру скорее всего доктор веб добавил на них детект (а раньше просто его не было). Так что тут два варианта добавить в исключения антивируса, либо разбираться с тех. поддержкой антивируса.
Ну, лаунчер я переустановлю, не проблема. А как полность отключить dr.web? Или так и нужно, что каждую систему по очереди? Спасибо, сейчас сделаю и отпишусь.
17.12.2014, 21:04 #7
Senior Helper Регистрация 03.08.2010 Сообщений 25,577 Вес репутации 756
не знаю, вебом не пользуюсь. Пробуйте каждую по отдельности.
Это понравилось:
17.12.2014, 21:29 #8
Junior Member Регистрация 17.12.2014 Сообщений 13 Вес репутации 33
Отчёт только от AdwCleaner нужно? Спасибо большое, вроде переустановил, просканировал и ничего не нашло, удаление завершено?
Вложения
- AdwCleaner[S0].txt (17.1 Кб, 1 просмотров)
17.12.2014, 21:39 #9
Senior Helper Регистрация 03.08.2010 Сообщений 25,577 Вес репутации 756
Свежий лог AdwCleaner сделайте.
Это понравилось:
17.12.2014, 21:47 #10
Junior Member Регистрация 17.12.2014 Сообщений 13 Вес репутации 33
Вот, вроде чистенький, хотя всё равно предлагает удалять майл.ру
Вложения
- AdwCleaner[R2].txt (1.3 Кб, 2 просмотров)
17.12.2014, 22:33 #11
Senior Helper Регистрация 03.08.2010 Сообщений 25,577 Вес репутации 756
- Пожалуйста, запустите adwcleaner.exe
- Нажмите Uninstall (Удалить).
- Подтвердите удаление нажав кнопку: Да.
Это понравилось:
17.12.2014, 23:05 #12
Junior Member Регистрация 17.12.2014 Сообщений 13 Вес репутации 33
Вроде да, сканировал, да и время прошло, он так и не ругался, спасибо большое за вашу помощь и старание
17.12.2014, 23:24 #13
Senior Helper Регистрация 03.08.2010 Сообщений 25,577 Вес репутации 756
Выполните скрипт в AVZ при наличии доступа в интернет:
var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.