Вирус JS/Exploit.JavaDepKit.A trojan

После посещения сайта (ссылку приводить не буду :) - в подвале сайта, как довольно часто случается прописался злостный javascript-вирус, который потянул за собой ещё кучу вирусов) Нод выдал кучу предупреждений:

IMON    file    http://gripgrate.ru:8080/Applet1.html    JS/Exploit.JavaDepKit.A trojan
AMON    file    C:\WINDOWS\system32\fjhdyfhsn.bat    BAT/KillFiles.NCB trojan    quarantined - deleted        Event occurred on a modified file. The file was moved to quarantine. You may close this window.
AMON    file    C:\WINDOWS\system32\fjhdyfhsn.bat    BAT/KillFiles.NCB trojan    quarantined - deleted        Event occurred on a modified file. The file was moved to quarantine. You may close this window.

И дальше - куча вирусов вида:

AMON    file    C:\WINDOWS\system32\drivers\atmarpc.sys    Win32/Bubnix.AH trojan    quarantined - deleted    Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\iexplore.exe. The file was moved to quarantine. You may close this window.
AMON    file    C:\WINDOWS\system32\drivers\asyncmac.sys    Win32/Bubnix.AH trojan    quarantined - deleted    Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\iexplore.exe. The file was moved to quarantine. You may close this window.
AMON    file    C:\WINDOWS\system32\drivers\aec.sys    Win32/Bubnix.AH trojan    quarantined - deleted    Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\iexplore.exe. The file was moved to quarantine. You may close this window.

ПО поводу первого нашел только у ESET (наверное, у остальных антивирусов он по-другому называется)
http://www.eset.com/blog/2010/04/15/unpatched-java-deployment-kit-vulnerability-exploited-in-the-wild

Гадость эта прописывается ещё и в автозагрузку.
C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan

Проверка drweb CureIt выявила парочку вирусов. Однако, компьютер так и не загрузился. Kaspersky AVP Tool нашел вирусы в каталогах Java. Однако, загрузка так и не “пошла” - после входа в windows появляется рабочий стол, однако, похоже, куча служб “зависает” и подвешивает систему - мышка ходит, над “Пуском” крутятся часики, однако никаких других действий выполнить нельзя.

В каталоге System32/drivers  нашел файлы .sys.bak (aec.sys.bak, asyncmac.sys.bak, cdaudio.sys.bak) - видимо, зараза аккуратно забэкапилась :) Или удалить не получилось. Скопировал оригинальные.

Метки:

Автор будет признателен, если Вы поделитесь ссылкой на статью, которая Вам помогла:
BB-код (для вставки на форум)

html-код (для вставки в ЖЖ, WP, blogger и на страницы сайта)

ссылка (для отправки по почте)

Добавить комментарий