Trojan 595 что это

Более того, авторы трояна добавили к названию папки «com4.», так что Windows считает папку аппаратным устройством. Проводник Windows не может удалить папку с таким названием.

Аналогично, удаление невозможно из консоли.

Нормальные антивирусы обходят этот трюк вирусописателей. Чтобы удалить папку вручную, нужно запустить из консоли следующую команду.

Троян Dynamer впервые обнаружен несколько лет назад, но Microsoft до сих пор считает его «серьёзной угрозой» для пользователей Windows.

Список имён папок (GUID) в режиме Бога для быстрого доступа к отдельным настройкам Windows

Источник

Вы пользуетесь Интернетом? На вашем компьютере хранится важная информация, личные сведения? Вы не хотите потерять содержимое своего жесткого диска или оплачивать чужие счета за Интернет? В этой статье я расскажу вам об одном из наиболее важных условий, обеспечивающих безопасность ваших данных — о том, как определить наличие на вашем компьютере троянов, и о том, как с ними надо бороться. Если вы еще ни разу не слышали о существовании троянов и не представляете, чем они опасны, предварительно прочитайте врезку.

Немного истории

О троянцах впервые серьезно заговорили после появления программы Back Orifice, созданной хакерской группой Cult of the Dead Cow в 1998 году. Возможность полностью управлять любым компьютером, подключенным к Сети, предварительно запустив на нем нужную программу, очень сильно взволновала людей. Разработчики программы уверяли, что это всего лишь обычное средство удаленного администрирования, но многочисленные взломы, совершенные с помощью Orifice’а, убеждали в обратном. Только хотелось бы отметить, что по сравнению со своими многочисленными клонами, выходящими с тех пор с завидным постоянством, Back Orifice выглядит чуть ли не безобидным тетрисом. Дело в том, что для использования этого трояна злоумышленник должен был обладать неплохими познаниями в работе сетей и компьютеров вообще, что сильно ограничивало круг его пользователей. Кроме того, первая версия проги вообще не имела графического интерфейса, что здорово распугивало начинающих хакеров. Однако время шло, появлялись все новые и новые программы, возможности их совершенствовались, алгоритмы работы улучшались. Теперь украсть необходимые пароли или получить доступ к компьютеру излишне доверчивого человека сможет даже малолетний ребенок.

Один из первых троянов — оцените возможности управления компьютером жертвы.

Что такое троян? Троянцев можно условно отнести к категории вирусов, от которых они, впрочем, имеют немало отличий. В отличие от большинства вирусов, троян сам по себе не способен на деструктивные действия, он не будет неконтролируемо размножаться на вашем винчестере и делать прочие гадости, — но только до тех пор, пока за дело не возьмется его “хозяин”. Большинство троянов состоит из двух частей: клиентской и серверной. Клиентская часть используется только для конфигурирования трояна и для доступа к компьютеру жертвы, а серверная — это та, которая распространяется потенциальным жертвам. Запустив у себя на компьютере серверную часть трояна, вы активируете его, и с этого момента он начинает свою деятельность. Поэтому в дальнейшем под словом “троян” будет подразумеваться именно серверная его часть. Вообще, трояны можно разделить на три основные категории, в соответствии с их основными функциями:

BackDoor (задняя дверь, черный ход) — эти трояны предоставляют своему хозяину полный доступ к компьютеру жертвы. Они работают по следующему принципу: вы запускаете файл, содержащий троян, он прописывается в автозагрузке и каждые 10-15 минут проверяет наличие соединения с Интернетом. Если соединение установлено, троян отсылает своему хозяину сигнал готовности и начинает работать по принципу приложения удаленного доступа. С этого момента злоумышленник может совершить любые действия с вашим компьютером, вплоть до форматирования диска.

MailSender (отравитель почты) — будучи однажды запущен, такой троян прописывается в системе и тихонько собирает сведения обо всех паролях, используемых вами. Наиболее продвинутые MailSender’ы способны даже перехватывать любые окна ввода пароля и сохранять все введенное там. Через определенные промежутки времени вся собранная информация отправляется по электронной почте злоумышленнику. Такой вид троянов является, по моему мнению, наиболее опасным, так как вы даже можете и не узнать о том, что кто-то пользуется вашим логином для входа в Интернет или отправляет от вашего имени сообщения по почте и Аське. К тому же, более-менее продвинутые хакеры все свои противозаконные действия совершают только под чужим именем, так что в наиболее тяжелом случае у вас могут начаться серьезные неприятности.

LogWriter (составитель протокола) — такие трояны ведут запись в файл всего, что вводится с клавиатуры. Позже вся эта информация может быть отправлена почтой либо просмотрена по ftp-протоколу.

Кроме того, наиболее опасные трояны сочетают в себе функции сразу нескольких видов, что позволяет хакеру получить действительно полный контроль над удаленной машиной.

Правила безопасности

Как на компьютер могут попасть трояны? Как это ни прискорбно, но в большинстве случаев злосчастный файл запускает сам пользователь. Поэтому главными средствами в борьбе с троянами являются вовсе даже не антивирусы и фаерволы, а самая обычная осторожность. Подумайте сами, откуда у вас на компьютере могут взяться зараженные файлы? Как показывает практика, большинство троянцев приходит к пользователям по электронной почте либо же скачивается ими с веб-сайтов, bbs’ок и из прочих файловых архивов. Начнем с наиболее вероятного случая — с письма с вложенным файлом.

Вот такое письмо я недавно получил. “Фотки” оказались заражены вирусом, да еще и содержали трояна.

В большинстве случаев такое письмо сразу выделяется среди остальных. Но чтобы быть полностью уверенным, обратите внимание на такие признаки:

1. Письмо получено от незнакомого вам человека, не имеет обратного адреса или же пришло якобы от крупной компании (например, Microsoft), к которой вы не имеете никакого отношения. Очень часто попадаются письма, подписанные вашим провайдером, но (внимание!) присланные с халявного адреса вроде provider@mail.ru.

2. Письмо адресовано паре десятков людей сразу, причем ни одного из них вы не знаете.

3. В письме содержится текст типа: “Привет, YYY! Помнишь, ты просил меня выслать тебе крутейшую прогу XXXXXX? Извини, что так долго — раньше были проблемы с сервером. С уважением, В. Пупкин”. Естественно, что никакого Пупкина вы не знаете и никаких файлов у него не просили.

5. К письму приложен файл с расширением *.exe, который, по словам отправителя, является фотографией или видеоклипом. Причем размеры файла опять же не соответствуют его описанию. Запомните — никак не может видеофильм, даже продолжительностью 1-2 минуты, занимать 20-30Kb.

Ну-ну. Качал я, значит, патч к игрухе — а там.

Практически все вышеперечисленное верно и в большинстве других случаев, когда вам пытаются подсунуть трояна. Очень многие сайты, ftp-сервера, bbs’ки, особенно хакерской тематики, просто битком набиты подобным содержимым. Не поддавайтесь соблазну — вспомните поговорку про бесплатный сыр. По той же причине рекомендуется проверять новыми антивирусами все скачанные откуда-либо файлы, даже если вы их качали с крупнейшего и популярнейшего сайта.

Определяем трояна

Итак, представим себе ситуацию, что троянец все-таки был благополучно вами запущен, и теперь ваши данные находятся под серьезной угрозой. Как тут быть? Конечно, в самом простом случае вам понадобится только запустить свежую версию AVP или Doctor Web и удалить все зараженные файлы. Но существует большая вероятность того, что эти антивирусы ничего не найдут — дело в том, что новые трояны создаются практически каждый день, и, возможно, вы “подцепили” что-то недавно появившееся. Однако и без антивирусов можно без проблем определить наличие трояна. Во-первых, есть признаки, по которым уже можно заподозрить неладное. Например, если ваш компьютер периодически пытается выйти в Интернет без ваших на то указаний, или если во время неторопливых разговоров по Аське с вашего компьютера куда-то отправляются мегабайты данных, то вам стоит призадуматься. Ну и, конечно же, если вы еще и скачали вчера файл, отказавшийся запускаться по непонятным причинам, то надо срочно браться за дело. Вообще, всегда обращайте внимание на необычное поведение файлов — если дистрибутив какой-либо программы после ее запуска вдруг изменился в размерах, поменял свой значок либо вообще исчез — будьте уверены, в этом файле был “прошит” троян.

Обратите внимание на последнюю строчку — это троян GIP.

Первым делом посмотрите, что из приложений запущено в данный момент, закрыв перед этим все выполняемые программы. Делается это так: в стартовом меню Windows выберите пункт Программы/Стандартные/Сведения о системе. Затем в появившемся окне откройте вкладку Программная среда/Выполняемые задачи, и перед вами появится список всех выполняемых в данный момент приложений.

Теперь смотрите на четвертую колонку списка — там находятся описания запущенных приложений. Нам надо найти файл, не имеющий описания либо замаскированный под что-либо, связанное с Интернетом или корпорацией Майкрософт (подобные описания присутствуют у большинства троянов). Обычно троян устанавливается в системном каталоге Windows — так что в первую очередь посмотрите на файлы из этой директории. Теперь загляните в раздел Автоматически загружаемые программы и посмотрите, присутствует ли этот подозрительный файл там. Троянец должен обязательно загружаться вместе с системой, так что он не может не отобразиться на этой страничке. Если вы найдете явно подозрительную программу, то, естественно, надо будет ее удалить. Но учтите, что удалить трояна под Windows вам не удастся, так как система не разрешает удалять уже запущенные файлы (а троянец как раз запускается при каждой загрузке системы). В этом случае перезагрузите компьютер под DOS либо используйте системную дискету и, найдя тот самый подозрительный файл, перенесите его во временный каталог. Почему его сразу не удалить? Дело в том, что мы могли ошибиться, и, возможно, этот файл — вовсе и не троянец, а что-то необходимое для работы вашей операционки. Теперь снова загрузите Windows и, если система будет работать нормально, можете смело удалять подозрительный файл. В случае каких-либо сбоев снова загрузитесь в DOS-режиме и возвращайте файл на его место.

Посмотрите на первые две строки — это же дружище NetBus!

Так и только так можно определить присутствие абсолютно любого трояна. Не пытайтесь посмотреть список задач, открываемый по нажатию Ctrl-Alt-Del или Alt-Tab — любой уважающий себя трояноклепатель сделает так, чтобы его детище не было видно оттуда. А вот от sysinfo (о которой мы только что говорили) спрятаться невозможно.

Существуют и другие способы определения троянов, но вам должно хватить и этих. Плюс, конечно, можно использовать антивирусы, умеющие бороться с троянами. Например, антивирус Касперского (AVP). И запомните одно. В любом случае, вы должны заниматься не отловом и обезвреживанием многочисленных троянов — лучше просто не запускать “плохие” файлы.

Вычисляем обидчика

Вот какой путь проделало это письмо.

Напоследок поговорим о том, что делать в случае, если троян уже был благополучно вами запущен, но с системы еще не удален. Думаю, многим захочется узнать, что за шутник попытался атаковать ваш компьютер, это поможет вам предотвратить возможные неприятности. Если троян был прислан вам по почте, то первым делом нужно глянуть на то, кто же вам его отправил. Конечно, только очень глупый человек рассылает трояны от своего имени, поэтому нам придется воспользоваться некоторой дополнительной информацией о письме. Дело в том, что по умолчанию почтовые программы не показывают так называемые кладжи (Kludges — подробная информация об отправителе), ограничиваясь только тем адресом, который ввел сам отправитель. Для просмотра этих данных включите в своем почтовом клиенте опцию Show Kludges (хотя в некоторых программах она может называться по-другому). Для выяснения, откуда пришло злосчастное письмо, посмотрите на строчку Received. Если же ваш почтовый клиент не поддерживает такой режим, просто найдите папку на винчестере, в которой лежит полученная вами корреспонденция, и откройте нужное письмо любым текстовым редактором.

Источник

Вирусы группы Trojan.Encoder

На днях столкнулся с очень вредным поганцем. Обратилась ко мне женщина с просьбой почистить комп от вирусов. Говно вопрос, подумал я, но очень сильно ошибся. Компьютер был поражен одним из вирусов группы Trojan.Encoder или CryptoLocker.

Как он действует:
1. Вредоносное ПО попадает на компьютер пользователя при открытии вложений в электронных письмах (обычно это PDF-файл).
2. Затем CryptoLocker зашифровывает документы пользователя (документы, созданные в Word, Excel и др.).
3. После завершения шифрования появляется всплывающее окно с предложением получить пароль для расшифровки за вознаграждение.

На данный момент расшифровке подвергается малая часть таких документов. Найти решения можно на форумах Касперского или Доктора Веб. К сожалению, пострадавшей не повезло, и её документы на данный момент не подвергаются расшифровке. 3 года работы, финансовых документов и просто личных файлов фактически уничтожено.

Какие могут быть меры предосторожности:
1. НЕ ОТКРЫВАЙТЕ подозрительные e-mail-вложения, особенно если это PDF-файлы и вы не ожидали получить письмо с вложениями.
2. НЕ ПЕРЕХОДИТЕ по подозрительным ссылкам в электронных письмах. При получении ссылки наведите на нее курсор и убедитесь, что фактический URL-адрес, который появится во всплывающем окне, совпадает с заявленным в ссылке. Данное требование в особенности касается так называемых «коротких ссылок». Если сомневаетесь, проверьте ссылку, вручную скопировав ее в адресную строку браузера.
3. ДЕЛАТЬ БЭКАПЫ.

Всем, кто пострадал от этого вируса рекомендую:
1. все пораженные файлы скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал — дак это распространил информацию типа «я заплатил и мне выслали дешифратор. ».
За этими «счастливчиками» могут быть всё те же злоумышленники.
Ну и напоследок берегите себя, свои данные и не забывайте про резервные копии.
Не плюсов ради, информации для.

Источник

Как защититься от троянца Emotet

Что такое Emotet?

Emotet – это вредоносная программа, которая изначально задумывалась как банковский троянец. С ее помощью злоумышленники получают доступ к конфиденциальным данным на чужих устройствах. Emotet известен тем, что умеет обманывать базовые антивирусы так, что те не могут его распознать. После загрузки программа ведет себя, как компьютерный червь, стремясь проникнуть на другие устройства сети.

В основном троянец распространяется через спам. В электронном письме содержится вредоносная ссылка или зараженный документ. При загрузке документа или переходе по ссылке зловред автоматически устанавливается на компьютер. Поддельные письма практически не отличаются от обычных, поэтому жертвами Emotet стали многие пользователи.

Краткое описание зловреда

Emotet впервые обнаружили в 2014 году – троянец атаковал клиентов немецких и австрийских банков. С его помощью злоумышленники получали доступ к учетным данным пользователей. В последующие годы зловред захватил весь мир.

Затем Emotet эволюционировал из банковского троянца в дроппер, который устанавливал другие вредоносные программы на устройства. Эти программы и наносили фактический вред системе.

Чаще всего Emotet загружал следующее вредоносное ПО.

Самая желанная цель мошенников, использующих Emotet, – это чужие деньги. Например, преступники могут угрожать публикацией украденных данных для получения выкупа.

Кто под прицелом?

Emotet нацелен как на отдельных пользователей, так и на компании, организации и государственные учреждения. В 2018 году 450 компьютеров больницы города Фюрстенфельдбрук (Германия) заразились Emotet. Чтобы остановить эпидемию, пришлось отключить устройства и выйти из системы спасательно-координационного центра. В сентябре и декабре 2019 года пострадали апелляционный суд Берлина и Гисенский университет. Также в числе жертв оказались Высшая медицинская школа Ганновера и городская администрация Франкфурта-на-Майне.

Это лишь несколько примеров. Считается, что реальное число жертв гораздо больше – предположительно, многие организации побоялись предавать огласке инцидент, чтобы защитить репутацию.

Важно отметить, что если поначалу Emotet в основном атаковал компании и организации, то сегодня жертвами все чаще становятся отдельные пользователи.

Какие устройства атакует Emotet?

Первое время Emotet находили только на устройствах с последними версиями Windows. Но в начале 2019 года стало известно, что компьютеры Apple также подвержены атакам. Злоумышленники отправляли потенциальным жертвам письма, выдавая себя за сотрудников службы поддержки Apple. Они грозили «ограничить доступ к учетной записи» при отсутствии ответа. Жертвам сообщалось, что необходимо перейти по указанной в письме ссылке, чтобы отменить деактивацию и удаление сервисов Apple.

Как распространяется Emotet?

В основном Emotet распространяется при помощи сбора данных в Outlook. Троянец читает электронную переписку на уже зараженных устройствах и создает похожие сообщения для обмана пользователей. Поддельные письма сложно отличить от настоящих – этим они отличаются от обычного спама. Emotet рассылает фишинговые письма контактам жертвы: друзьям, членам семьи и коллегам.

Чаще всего в таких письмах содержится зараженный документ Word, который получатель скачивает на компьютер, или вредоносная ссылка. Поскольку имя отправителя совпадает с именем реального человека, адресат уверен, что получил подлинное письмо. В большинстве инцидентов жертвы переходили по опасной ссылке или загружали зараженный документ.

Получив доступ к сети, Emotet стремится проникнуть на другие устройства. Троянец пытается взломать учетные записи методом перебора паролей. Также Emotet может попасть на устройство с Windows посредством эксплойта EternalBlue и уязвимости DoublePulsar. В таких случаях вредоносное ПО устанавливается без участия пользователя. В 2017 году программа-вымогатель WannaCry использовала эксплойт EternalBlue в масштабной и разрушительной кибератаке.

Кто стоит за Emotet?

«разработчики Emotet передают свое программное обеспечение и инфраструктуру третьим лицам на правах субаренды».

Злоумышленники часто используют другие вредоносные программы в сочетании с Emotet для достижения своих целей. По мнению BSI, их интересуют деньги, поэтому атаки считаются киберпреступлениями, а не шпионажем. Сегодня все еще неизвестно, кто является создателем Emotet. Ходят разные слухи о стране происхождения программы, но точных сведений нет.

Насколько опасен Emotet?

Сотрудники Министерства внутренней безопасности США пришли к выводу, что Emotet – чрезвычайно разрушительная и дорогая программа. Затраты на устранение последствий одного инцидента могут достигать миллиона долларов Поэтому глава BSI Арне Шёнбом (Arne Schoenbohm) считает этого троянца «королем вредоносного ПО».

Вне всяких сомнений, Emotet – одна из самых сложных и опасных вредоносных программ. Она полиморфна. Это значит, что ее код немного меняется каждый раз, когда к ней обращаются.

Именно поэтому антивирусам так сложно идентифицировать Emotet – большинство из них использует сигнатуры для поиска угроз. В феврале 2020 года ИБ-исследователи из Binary Defense обнаружили, что целью атак Emotet могут быть Wi-Fi-сети. При подключении зараженного устройства к беспроводной сети Emotet сканирует другие Wi-Fi сети поблизости. Используя список паролей, программа пытается подключиться к этим сетям и заразить другие устройства.

Киберпреступники играют на страхе своих жертв. Поэтому нет ничего удивительного в том, что пандемия коронавируса, начавшаяся в декабре 2019 года, сыграла им на руку. Преступники пишут поддельные электронные письма, в которых якобы содержится полезная информация о коронавирусе. Увидев такое сообщение, будьте крайне осторожны, особенно если в нем есть файлы или ссылки.

Как защититься от троянца Emotet?

Антивирус не может на 100% защитить от таких троянцев, как Emotet. Обнаружение полиморфной программы – лишь первый шаг в борьбе с ней. На сегодняшний день не существует решения, которое обеспечило бы полную защиту от Emotet и других постоянно меняющихся троянцев. Только приняв организационные и технические меры, можно свести к минимуму риск заражения.

Вот советы, которые помогут вам уберечься от Emotet

Как удалить Emotet?

Если вам кажется, что ваш компьютер заражен Emotet, – не поддавайтесь панике. Предупредите об этом всех, с кем общаетесь по электронной почте, поскольку они находятся в зоне риска.

Отключите компьютер от сети, чтобы ограничить распространение троянца. Затем поменяйте пароли для всех учетных записей (в электронной почте, браузерах и т. д.). Но делайте это на устройстве, которое точно не заражено и не подключено к зараженной сети.

Поскольку Emotet – полиморфный зловред (т. е. его код немного меняется каждый раз, когда к нему обращаются), очищенный компьютер может тут же подхватить троянца повторно при подключении к зараженной сети. Поэтому крайне важно один за другим очистить все компьютеры сети. В этом вам поможет антивирус. Еще вы можете обратиться за помощью в службу поддержки вашего поставщика защитного ПО.

EmoCheck: есть ли польза?

Группа экстренного реагирования на инциденты (CERT) из Японии выпустила EmoCheck – инструмент, способный, по заверению разработчиков, обнаружить Emotet на зараженном компьютере. Но даже EmoCheck не гарантирует стопроцентной защиты из-за полиморфизма троянца.

Инструмент может выявить типичные цепочки символов и предупредить о потенциальном заражении троянцем. Однако изменчивость Emotet не позволит сказать наверняка, что компьютер чист.

Выводы

Emotet – одна из самых опасных вредоносных программ в истории ИБ. Ее жертвами могут стать отдельные пользователи, компании и даже международные организации. Попав в систему, троянец запускает на компьютере другое (шпионское) ПО.

От жертв Emotet часто требуют выкуп, обещая вернуть украденные данные. Ни одна программа не гарантирует стопроцентной защиты от этого зловреда. Тем не менее можно снизить риск заражения.

Воспользуйтесь нашими советами, если вам кажется, что компьютер заражен Emotet. Для максимальной безопасности используйте комплексные защитные решения, такие как продукты «Лаборатории Касперского».

Источник