Вирус с подменой системных файлов Windows

Последние несколько недель наблюдается «эпидемия» нового компьютерного вируса под ОС Windows. Симптомы заражения:  во время работы появляется окно «Защита файлов  Windows» с сообщением «Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows  необходимо восстановить оригинальные версии этих файлов. Теперь вставьте CD».

Если вставить диск  дистрибутивом, то система восстановит подмененные фалы, но не на долго – буквально через несколько минут ситуация повторяется. Следовательно, какой-то процесс периодически пытается подменить системные файлы своими зараженными. Но, исследуя запущенные в памяти процессы,  ничего лишнего не наблюдается. Вероятно, вирус «цепляется» к какой-то динамической библиотеке.  В автозагрузке никаких лишних программ нет.

Впервые такая ситуация наблюдалась нашими специалистами во время установки лицензионной ОС Windows XP SP3 на клиентский компьютер. Система была успешно установлена и настроена, компьютер подсоединили к локальной сети клиента, чтобы загрузить обновления, установить через Интернет Java и другие программы. Спустя некоторое время (около получаса) начали  наблюдаться описанные выше симптомы.  Во время установки, кроме диска с системой,  использовался один единственный диск с ПО, который использовался неоднократно до этого случая – заражение при помощи внешних носителей исключается.  Т.к. из Интернета скачивалось ПО сугубо с официальных сайтов (Java, Acrobat Reader, Adobe Flashplayer, Light Alloy и д.р.) мы с уверенностью исключили возможность заражения из посещенных сайтов. Вывод напрашивался один – заражен какой-то из компьютеров в сети, на котором отсутствуют симптомы, но который заражает другие компьютеры. Антивирусы ничего не обнаруживали.  Ни источник «заражения», ни сам вирус на локальной машине нам выявить не удалось.

Аналогичная ситуация повторилась еще раз совершено в  другой сети с другим дистрибутивом ОС и другим набором ПО: свежеустановленная система спустя некоторое время стала «просить» компакт диск, чтобы восстановить подмененные файлы. Опять-таки, антивирусы ничего не нашли, в автозагрузке чисто, лишних процессов в памяти нет. В режиме «Защиты от сбоев» симптомов заражения не наблюдалось.

Наши специалисты еще несколько раз столкнулись с аналогичной проблемой.  Во всех случаях для выхода в Интернет в сетях использовался роутер, что исключает заражение компьютера напрямую из Интернета путем  атак, а так как заражения наблюдались даже на только что установленных ОС – исключаем заражение посещением злонамеренных сайтов и с внешних носителей. Вывод напрашивался один: заражение происходит с какого-то компьютера в локальной сети. Иногда проявлялись и другие симптомы: на панели задач не отображались кнопки программ, невозможно скопировать ни один файл путем «перетаскивания» мышкой.

Мы начали исследовать проблему на одном из «зараженных» компьютеров, предварительно сделав резервную копию дисков. Вот что мы обнаружили.

На диске С: появилась папка с именем, состоящим из набора цифр и латинских символов. В этой папке находились несколько файлов с расширением .dll, .txt и один исполняемый файл iinstall.exe.  Сканирование этой папки различными антивирусами не вызывало никаких подозрений на вирус.  Мы решили запустить файл install.exe. Файл запускался, но никаких окон не создавалось.  Сразу же после запуска файла антивирусная система NOD32 выдала предупреждение о заражении системы вирусом Win32/Agent.RFN  из фала c:\windows\system32\rpcss.dll, а в автозагрузке на некоторое время появлялись неизвестные ярлыки.

Следовательно, файл install.exe заражал систему вирусом. Мы решили посмотреть свойства этого файла. И были очень удивлены! Свойства файла указывали на то, что это якобы библиотека Visual C и файл подписан действительным сертификатом Microsoft!  Лично у нас это вызывает сомнения.

Очистка антивирусами результатов не давала – система «успешно» заражалась вновь и вновь.  Мы нашли на сайте http://www.bleepingcomputer.com/ утилиту, которая успешно обнаруживает все зараженные файлы и удаляет их, после чего повторного заражения не происходит. Сам файл install.exe и остальное содержимое «загадочной» папки остается нетронутым и, если «вручную» запустить файл на исполнение – система заражается вновь.

Хотя нам удалось найти способ «лечения» против  этого вируса, мы до сих пор не знаем источника и способа попадания зараженных файлов на компьютер. Наши предположения остаются такими, что вирус распространяется при помощи какой-то бреши в системе через локальную сеть с одного «компьютера-носителя», на котором не проявляются никакие симптомы «заражения».

Мы  исследуем эту проблему дальше и будем рады любой имеющейся информации об этом вирусе от наших коллег. Следите за публикациями на нашем сайте gsi.kiev.ua

◄НАЗАД   |   НАВЕРХ▲