Jak rozpoznać i unieszkodliwić VBKlip?

Data publikacji: 31/10/2013, Łukasz Siewierski

malware-icon

W poprzednim artykule pisaliśmy na temat nowego malware’u, nazwanego przez nas VBKlip, podmieniającego numer rachunku bankowego, który był skopiowany do schowka. W celu sprawdzenia czy nasz komputer jest zainfekowany wystarczy skopiować dowolny numer przypominający formatem numer rachunku bankowego (na przykład ten: 12 1234 1234 1234 1234 1234 1234) i spróbować go wkleić w edytorze tekstu (np. Microsoft Word, Notatnik), a następnie sprawdzić czy wklejony numer jest taki sam jak skopiowany.

Jak usunąć malware?

Aby usunąć wspomniane złośliwe oprogramowanie wystarczy zastosować technikę podobną do opisywanej przez nas wcześniej.
W pierwszej kolejności należy wcześniej pobrać i rozpakować program SysInternals Autoruns (dostępny pod adresem:http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx). Archiwum powinno zawierać cztery pliki:

1
2
3
4
Autoruns.chm
Autoruns.exe
Autorunsc.exe
Eula.txt

Po uruchomieniu pliku Autoruns.exe powinno pojawić się nam okno główne programu autoruns, jak na zdjęciu poniżej:


Jak widać program jest bardzo rozbudowany. Listuje on wszystkie znalezione na komputerze wpisy dotyczące automatycznego uruchamiania programów podczas startu systemu. Interesujące dla nas są tak naprawdę dwie zakładki, zawierające miejsca w których najczęściej instaluje się złośliwe oprogramowanie: Logon oraz Scheduled Tasks.

Identyfikacja oraz dezaktywacja złośliwego oprogramowania

Aby nieco zawęzić listę podejrzanych możemy skorzystać z opcji ukrycia wpisów dotyczących elementów systemu Windows oraz programów firmy Microsoft. Z menu Options wybieramy Hide Microsoft and Windows Entries (jak na obrazku)

Jedną z cech charakterystycznych dla złośliwego oprogramowania jest lokalizacja pliku (kolumna Image path). Jeżeli wpis ten zaczyna się od C:Documents and settings..., to z dużym prawdopodobieństwem jest to ten malware. W próbce, którą otrzymaliśmy zawsze miał nazwę AcroRd.exe. Należy jednak zwrócić uwagę, że malware może zapisać się w kilku lokalizacjach pod różnymi nazwami. Na przykład na poniższym obrazku są dwa różne wpisy odnoszące się do tego samego pliku. W takim przypadku należy wyłączyć oba wpisy klikając w przycisk wyboru znajdujący się na lewo do wpisu.

Wyłączając wszystkie podejrzane wpisy i restartując komputer sprawdźmy jeszcze raz czy numery kont są podmieniane. Jeśli nie są oznacza to, że pozbyliśmy się infekcji.