Вирус КГБ. Описание и способ удаления

В распоряжение charter97.org попал "вирус", который "куратор Дима" из КГБ вручил Максиму Чернявскому.

Вирус КГБ. Описание и способ удаления
Максим должен был установить эту программу на компьютеры активистов "Революции через социальную сеть", скрывающихся в Польше. Историю "вербовки" студента журфака мы публиковали несколько дней назад.
 
Наши специалисты проанализировали полученный файл. Программа выглядела как инталляция Skype и может быть уже установлена на компьютерах активистов. Результаты исследования и рекомендации по удалению вредоносной программы мы предлагаем вашему вниманию:
Исследование файла Skype.exe (MD5: 43fe19eb0896979568b986b8e7fd0e42)

 
1. Что есть эта программа?
Программа представляет из себя самораспаковывающийся 7zip-архив, который содержит инсталятор коммерческой программы, известной как "Remote Manipulator System".
Официальный сайт производителя программы: http://rmansys.ru/
Разработчик: российская компания TeknotIT
Иконка программы изменена на изображение логотипа программы Skype, хотя вся остальная информация о файле приложения выдаёт её реального производителя и даже название.
 
2. Если она легальна, почему нет никаких окон?
Инсталяция проходит в "пассивном" режиме, специально предусмотренном разработчиком для администраторов компьтерных сетей, нуждающихся в массовой развертке данного ПО. По этой причине программа не отображает процесс установки и не запрашивает никаких подтверждений у пользователя.
 
3. Куда устанавливается эта программа?
Основные файлы программы копируются в директорию "C:\Program Files\Remote Manipulator System - Server".
Дополнительный компонент устанавливается в системную директорию по пути "C:\WINDOWS\system32\RWLN.dll"
 

4. Кто и откуда может ей управлять?
После запуска программа проверяет соединение с интернетом, отправляя по адресу http://rmansys.ru/utils/inet_id_notify.php?test=1
Далее программа отправляет на сервер информацию о системе, на которой она работает. В этом запросе указан идентификатор пользователя, на которого зарегистрирована данная программа. В качестве идентификатора пользователя служит следующий e-mail: [email protected].
Кстати, имя почтового ящика "vbybcnthcndjcn" при наборе в русской раскладке даёт "министерствост" (Министерство Спорта и Туризма?).
 
5. Что можно сделать с помощью этой программы?
Вот некоторые возможности программы:
- Удаленное управление компьютером.
- Удаленное наблюдение за рабочим столом.
- Файловый менеджер
— Модуль для передачи и управления файлами.
- Удаленное управление задачами и устройствами.
- Удаленное изменение реестра.
- Терминал.
— Доступ к командной строке (аналог системной утилиты «Командная строка»).
- Управление питанием.
- Удаленный запуск программ.
- Подключение к веб-камере и микрофону.
- Запись видео с рабочего стола по расписанию.
 
6. Как понять, что система заражена?
Определить присутствие программы в системе можно по характерным процессам, которые она создает:
 
7. Что насчет антивируса? Защитит ли он систему?
Программа относится к категории потенциально опасного ПО, т.к. может быть использована незаконно для получения несанкционированного доступа к данным хранящимся в компьютерной системе или сети. Антивирус Касперкого, например, детектирует программу как RemoteAdmin.Win32.RMS из категории Riskware. Однако информирование пользователя об обнаружении таких программ требует изменения настроек антивируса по-умолчанию. Так что проверяйте настройки вашего антивируса!
 
8. Как надежно избавиться от этой программы?
Лучше и быстрее всего будет всего ручное удаление, т.к. в программе предусмотрена процедура деинсталяции через "Панель Управления".
Итак
- Идём в "Панель Управления"-> "Установка/удаление программ". Находим и удаляем Remote Manipulator System.
- Перезагружаем систему.
- Находим и удаляем файл C:\WINDOWS\system32\RWLN.dll.
 
9. Как в будущем предотвратить заражение этой программой?
Следует использовать правильно настроенное антивирусное ПО, постоянно следить за обновлением всех компонент системы и браузера.
А для того чтобы лишить будущие версии "Remote Manipulator System" возможности связаться с хозяином, можно с помощью Блокнота дописать в конец текстового файла C:\windows\system32\drivers\etc\hosts следующую строку:
127.0.0.1 rmansys.ru
 
12:46 07/11/2011




Loading...


загружаются комментарии