Вирус КГБ. Описание и способ удаления

В распоряжение charter97.org попал вирус, который куратор Дима из КГБ вручил Максиму Чернявскому.

Максим должен был установить эту программу на компьютеры активистов Революции через социальную сеть, скрывающихся в Польше. Историю мы публиковали несколько дней назад.

Наши специалисты проанализировали полученный файл. Программа выглядела как инталляция Skype и может быть уже установлена на компьютерах активистов. Результаты исследования и рекомендации по удалению вредоносной программы мы предлагаем вашему вниманию:

Исследование файла Skype.exe (MD5: 43fe19eb0896979568b986b8e7fd0e42)

1. Что есть эта программа?

Программа представляет из себя самораспаковывающийся 7zip-архив, который содержит инсталятор коммерческой программы известной как Remote Manipulator System.

Официальный сайт производителя программы:

Разработчик: российская компания TeknotIT

Иконка программы изменена на изображение логотипа программы Skype, хотя вся остальная информация о файле приложения выдаёт её реального производителя и даже название.



2. Если она легальна, почему нет никаких окон?

Инсталяция проходит в пассивном режиме, специально предусмотренном разработчиком для администраторов компьтерных сетей, нуждающихся в массовой развертке данного ПО. По этой причине программа не отображает процесс установки и не запрашивает никаких подтверждений у пользователя.

3. Куда устанавливается эта программа?

Основные файлы программы копируются в директорию Crogram FilesRemote Manipulator System - Server.

Дополнительный компонент устанавливается в системную директорию по пути C:WINDOWSsystem32RWLN.dll

4. Кто и откуда может ей управлять?

После запуска программа проверяет соединение с интернетом, отправляя по адресу

Далее программа отправляет на сервер информацию о системе, на которой она работает. В этом запросе указан идентификатор пользователя, на которого зарегистрирована данная программа. В качестве идентификатора пользователя служит следующий e-mail: .

Кстати, имя почтового ящика vbybcnthcndjcn при наборе в русской раскладке даёт министерствост (Министерство Спорта и Туризма?).

5. Что можно сделать с помощью этой программы?

Вот некоторые возможности программы:

- Удаленное управление компьютером.
- Удаленное наблюдение за рабочим столом.
- Файловый менеджер
— Модуль для передачи и управления файлами.
- Удаленное управление задачами и устройствами.
- Удаленное изменение реестра.
- Терминал.
— Доступ к командной строке (аналог системной утилиты «Командная строка»).
- Управление питанием.
- Удаленный запуск программ.
- Подключение к веб-камере и микрофону.
- Запись видео с рабочего стола по расписанию.

6. Как понять что система заражена?

Определить присутствие программы в системе можно по характерным процессам, которые она создает:



7. Что насчет антивируса? Защитит ли он систему?

Программа относится к категории потенциально опасного ПО, т.к. может быть использована незаконно для получения несанкционированного доступа к данным хранящимся в компьютерной системе или сети. Антивирус Касперкого, например, детектирует программу как RemoteAdmin.Win32.RMS из категории Riskware. Однако информирование пользователя об обнаружении таких программ требует изменения настроек антивируса по-умолчанию. Так что проверяйте настройки вашего антивируса!

7. Как надежно избавиться от этой программы?

Лучше и быстрее всего будет всего ручное удаление, т.к. в программе предусмотрена процедура деинсталяции через Панель Управления.

Итак

- Идём в Панель Управления-> Установка/удаление программ. Находим и удаляем Remote Manipulator System.

- Перезагружаем систему.

- Находим и удаляем файл C:WINDOWSsystem32RWLN.dll.

8. Как в будущем предотвратить заражение этой программой?

Следует использовать правильно настроенное антивирусное ПО, постоянно следить за обновлением всех компонент системы и браузера.

А для того чтобы лишить будущие версии Remote Manipulator System возможности связаться с хозяином, можно с помощью Блокнота дописать в конец текстового файла C:windowssystem32driversetchosts следующую строку:

127.0.0.1 rmansys.ru

По информации

интересно

Судя по-всему все бабло моют

случайно наткнувшись на эту статью, я начинаю потихонечку верить ТС, который в випе про случай из жизни написал

профессионализм оставляет желать лучшего.

но с другой стороны: нам же лучше. чем глупее конторы СНГ, тем спокойнее нам

ИМХО отвод глаз, для убеждения в их тупости, или же просто лажанул кто то из новеньких. Я знаю как они работают, даже видел на деле пару раз. Самое что меня на ХА ха пробивало, они используют те же методы, что и мы, с зомбосетями и прочей малварью, разве что у них ехе-шники совершеней.(даказательную базу конкретно собирают при надобности) Так же есть МИФ, о универсальной открывалке любого ресурса и протрояниваю его православными связками. При надобности просто бы этим анонимам ресурс под связь протроянили и собрали то что им нужно, а так как описали улыбнуло, румыны в шоке =)

Очень корнкретно.)
Больше них на публику это самое, только ГРУ РФ в юсе лажанулось.

---------- Сообщение добавлено в 08:33 ---------- Предыдущее сообщение размещено в 08:28 ----------

Можно тут как можно поподробнее?

Лучше работают - это на врят ли. Хотя об их работе могу (к великому моему счастью) только из сми судить.

Осмелюсь предположить, что у каждой ОПГ в инете, как и контор, есть свои приват сплойты и спецы. Но с универсальностью - это миф на мой взляд.