Выловил зловреда ntos.exe и протестировал его работу!!!
Да, действительно, вся проблема из-за этого гаденыша!!!
Ктобы мог подумать что такой старый маразматик, может еще как-то пакостить.
А именно, задалбывать диалогом.
Возможно он имеет в себе какой-то механизм, который не выявили.
Он же не просто так обращается к закрытым ключам?
В сообщении выше, где я говорил про трояна, я не упомянул, что на той машине тоже был и ntos!!!
Но я не западозрил его в этой проблеме.
Привожу выдержку из описания ntos:
Процесс, который использует вредоносная программа,
шифрующая файлы пользователя на зараженном компьютере.
Является приложением Windows (PE EXE-файл).
Упакована UPX. Размер в пакованом виде — 58368 байт.
После запуска вирус формирует уникальный ключ,
предназначенный для шифрования файлов, и сохраняет его в системном реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "<ключ шифрования>"
Также вредоносная программа добавляет себя в ключ автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"
Значение данного ключа периодически проверяется из системных процессов,
в которые внедрился вредоносный код (например, «Winlogon.exe»).
В случае если значение ключа меняется (удаляется «%System%\ntos.exe»),
то оно автоматически восстанавливается из системного процесса.
Кроме того, внедренный код защищает от модификации,
переименования и копирования файл,
инсталлированный в системный каталог — «%System%\ntos.exe».
Далее, если текущая дата находится в диапазоне
с 10 по 15 июля 2007 года включительно,
вирус приступает к шифрованию всех найденных
пользовательских файлов со следующими расширениями:
- в основном это архивы, документы, файлы БД
- системных и программных файлов он не трогает
- всего 233 типа
В каждый каталог, файлы которого были зашифрованы,
вредоносная программа помещает файл read_me.txt,
в котором требует выкуп. :)Таким образом вирус абсолютно безвреден в наше время и если дата на компе стоит правильно. :)
Примечательно, что файл ntos.exe в папке system32 ни через проводник, ни через far, ни через total НЕ ВИДИТСЯ(хотя системные и скрытые вкл смотреть).
При первом запуске файл еще виден на диске в system32.
После перезагрузки файл не виден.
К томуже если удалить сертификаты из личных, окно перестает появляться. :)
При попытке прописать с дискеты сертификаты еще раз, ничего не получается.
Выводится список контейнеров на носителе и после этого не давая возможности выбрать контейнер и продолжить, криптопро начинает "протирать дырку в дискете", т.е. опять и опять обращаться к носителю.(эксперемент проводился на VMWARE)
Файл увидеть самому получилось только после загрузки BOOT Acronis DD и через ОБЗОР. Достаточно переименовать файл и все, вирус обезврежен.
P.S. Если службе поддержки интересен сам вирус, могу прислать на ВАШ страх и риск, и ВАШУ ответственность.
Отредактировано пользователем 17 июля 2008 г. 14:08:28(UTC)
| Причина: Не указана
