Такого умного вируса, честно говоря, на своей памяти, я ни разу не видел. Он умен, хитер, и скрытен. Самым тяжелым была борьба с этим кибер-паразитом.
С чего всё началось.
В последнее время, я стал замечать, что ноутбук стал работать медленнее, больше нагревается, и вообще какая-то фигня с микрофоном (в настройках конфиденциальности не давал ползунок включения сдвинуть) . Решил загуглить: тишина, лишь куча бесполезной информации.
Подумал: зайду-ка я в диспетчер задач, проверить, может, есть что-то не то. Когда я попал в диспетчер задач, то обнаружил стандартные процессы, и лишь один из сотни заострил на себе мой взгляд: «System» со странной иконкой. Тогда-то, в моей голове и встало всё на свои места.
Начало битвы за безопасность.
Когда я собрался с силами, я решился начать «войну» с этим вирусом. Почему войну? Потому что удаление этого вируса было равнозначно войне. Далее поймете почему я выразился именно так.
Для начала, я попытался действовать стандартными способами:
• Найти каталог где лежит вирус
• Удалить как каталог, так и вирус
Какого было мое удивление, когда меня послали куда подальше)) Сначала, диспетчер задач закрылся через 2 секунды, после того как я нажал «Свойства» (чтобы просмотреть путь до файла), но я успел просмотреть путь.
Тогда я и подумать не мог, что моему удивлению еще будет куда идти: папка-то оказалась пуста, от слова совсем. В тот момент, в моей голове родился спорный вопрос: «То-ли я дурак, то-ли лыжи не едут», т.к. такого быть не может: диспетчер задач видит, что файл запущен из этого каталога, а его там вовсе нет.
С горем пополам, до меня дошла мысль: а если я всё-таки посмотрел каталог неверно. Открыл диспетчер задач, скачал скриншотер (не реклама) , и быстренько сделал скриншот этого самого файла, чтобы ориентироваться где искать этого скромника))
Итак. Нашел. Дальше, я подумал, что дело совсем простое: удалить, и забыть. Но фиг бы там плавал – в директорию ведь не зайти. Решил действовать через cmd (командную строку). Перешел в “C:\ProgramData\“, и через “rd” решил удалить всю директорию вируса. Но, меня послали куда подальше, сообщив, что такого файла в помине нет, но в тоже время есть.
Дальше, я прикинул что к чему, и решил действовать основательно. Вспомнил о существовании команды “DEL” с различными флагами. Вот тут, я и столкнулся с главной проблемой: регенерация. Удаляя один файл, второй воссоздавал копию удаленного файла. Проще говоря: делал всю мою работу бессмысленной.
Усиление мер против паразита.
Поняв, что я имею дело с противником гораздо умнее других противных, но тупых вирусов, до меня дошло: действовать надо основательно. Но как?
В ходе своих попыток, мне удалось выяснить следующее: он триггерится на (не реклама) “Process Hacker” (независимо от того, открыл ли я в браузере это название, или скачал программу) и на похожие ей программы, тупо закрывая их, в т.ч. и браузер, если там открыта хоть 1 вкладка с названием программы из его внутренней базы. Также, удалось выяснить, что после пары попыток закрытия дочерних .exe файлов (их полный список выложу чуть ниже) он вообще перестает допускать до диспетчера задач, просто закрывая его (однако, такой теневой бан длится максимум 5 минут).
По итогу, чтобы победить его, я нашел программу “AnVir” (не реклама) на которую он пускай и агрился, но по крайней мере можно было изменить её название и всё (к слову, с Process Hacker так сделать нельзя было, ибо тогда он не мог подгрузить внутренние модули самого PH). Благодаря этой программе, я увидел, что он заселил все свои файлы в автозагрузку для всех пользователей.
Победа близко!
В этой самой программе, мне удалось закинуть вирусные файлы в карантин на время, чтобы они не мешали мне заниматься удалением. Далее, я нашел один интересный файл: “script.bat“. И вот, передо мной все карты: вся его механика работы.
Что здесь можно увидеть? Во-первых: он палит все свои вирусные файлы, их расположение, и методы работы (на счёт этого: почти все), во-вторых: он сливал все данные о пользователе на iplogger (далее поясню для чего).С горем пополам, удалив все его файлы через “XYplorer” (не реклама), я нашел в его папках несколько файлов, которые привлекли мой интерес: “new.xml” и “settings.dat“.
Исследования и заключения.
Как я уже упоминал выше, меня заинтересовали файлы “new.xml” и “settings.dat“.При изучении файла “new.xml“, честно говоря, я выпал. Вирус подделывал подписи под подписи известных (и не очень) анти-вирусов, чтобы система и Windows Defender не ругались на высокие приоритеты приложений, и их действия. Там был расположен ОГРОМНЫЙ лист анти-вирусов, и прочих производителей (наверное, на всякий случай).
Файл “settings.dat” не открыл мне ничего особо нового, кроме того, что половина защиты вируса, изначально, находилась в нём, т.к. именно он ставил ограничения и вылеты, а .bat скрипт вируса лишь обеспечивал перезапуск вирусных .exe файлов и защиту от их завершения.
То есть, если подводить такие итоги, то .bat скрипт + settings.dat (настройки основного вирусного файла “winserv.exe“) – создавали эффект регенерации вируса, пока тот сливал все данные (в т.ч. и пароли, скриншоты работы пользователя, и многое другое), майнил на пк, и разносил себя на другие носители (как я предполагаю).
В результате своих действий, мне удалось выловить длинный лист файлов, которые я опубликую ниже, чтобы если Вы столкнулись с данным вирусом, то без проблем могли его удалить самостоятельно.
Вынесение итогов.
Написал я данную статью в связи с тем, что пока я бился с этим противным (но отнюдь умным) вирусом, в интернете я не нашел вообще информации по его удалению (естественно, не считая рекомендации переустановки системы).
Да и переустанавливать систему не имело никакого смысла. Во-первых: даже если у Вас два диска, то вирус просто размножит себя на два диска, и так или иначе Вы с ним останетесь. Во-вторых: если у Вас нет второго диска, и Вы переустановите систему, то вы потеряете всю свою личную информацию. В-третьих: даже если Вы сольете информацию на флешку, то не факт, что вирус не заразит флешку.
UPD: Один из комментаторов указал на то, что я не добавил в статью одну важную информацию, за что ему и спасибо! Итак. Теперь к сути.
Вирус изначально был зашит в мою систему (образ которой, я качал с торрента), а также, вирус сейчас массово зашивают в установщики игр (особенно любят портить репаки Xatab*(не реклама) ). Один из примеров сайтов, где зашивают вирусы в некоторые иры: moreigr (точнее одно из зеркал, не реклама).
К сожалению, сам сайт где я скачивал образ – я потерял, однако, советую не качать сборки Windows 10 Pro 22H2, образ которой может развернуться на флешке 4GB. Один из таких образов я и подхватил. На счёт зеркала moreigr (не реклама) где был вирус тоже не скажу, ибо история давняя (было еще весной 2023), но там я решил не заморачиваться и сделал переустановку. На этом всё =)
* Xatab. Помним, любим, скорбим. Press F.
Я надеюсь, мой пост поможет многим решить данную проблему, и очиститься от вирусов. Оставьте свое мнение в комментариях, и поделитесь: сталкивались-ли Вы с этим вирусом, и как бы Вы боролись с ним?
