SDFix

Утилита для удаления различных вариаций SDBot/IRCBot (Backdoor Trojan)

Backdoor.IRCBot (также широко известен как SDBot) - это семейство вредоносных программ удаленного администрирования типа backdoor (т.е. позволяющие без ведома пользователя удаленно управлять его компьютером). Администратирование осуществляется посредством соединения с IRC-сервером и получением через каналы IRC команд удаленного управления от злоумышленника. Распространяется преимущественно через уязвимости операционной системы (т.к. имеет возможность сканировать сеть в поисках других компьютеров, подверженных наиболее распространенным уязвимостям Windows) и по локальной сети, посредством копирования себя в сетевые ресурсы общего доступа.

Используются следующие уязвимости:

Помимо несанкционированного подключения вредоносная программа в зависимости от своей модификации обладает способностью:

На данный момент модификаций этого вируса существует уже порядка нескольких сотен. Поэтому перечисление всех возможных названий создаваемых файлов требует слишком огромных масштабов. Но преимущественно вирусом используются имена близко напоминающие системные файлы.

Примеры заражения из логов HijackThis:

O4 - HKLM\..\Run: [Compaq32 Service Drivers] msconfig32.exe
O4 - HKLM\..\Run: [Configuration Loader] syscfg32.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [File System] taskmqr.exe
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [Microsoft] iexplorer.exe
O4 - HKLM\..\Run: [Microsoft Windows Startup] explorer.exe
O4 - HKLM\..\Run: [Update Checker] winlog.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [IEUpdate] ieupdate.exe
O4 - HKLM\..\Run: [Windows Services] spoolsvc.exe
O4 - HKLM\..\Run: [wmplayer] C:\WINDOWS\lsrvc.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\lssas.exe
O4 - HKLM\..\Run: [Microsoft Configoration Service] msconfigs.exe
O4 - HKLM\..\Run: [Microsoft Nvidia Video] nvidia.exe
O4 - HKLM\..\Run: [CRCSS] crcss.exe
O4 - HKLM\..\Run: [CRSSXP SysInfo] crssxp.exe
O4 - HKLM\..\Run: [DELXP Protocol] delxp.exe
O4 - HKLM\..\Run: [DRan posessor] DAP.exe
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] dllmanager32.exe
O4 - HKCU\..\Run: [sysupdate] c:\windows\system32\cmman32.exe
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [SoundMax Audio Drivers] SndMAX.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\Services.exe

Детектирование антивирусами:

Dr.WEB: BackDoor.IRC.Sdbot
Kaspersky:   Backdoor.IRC.SdBot; Backdoor.Win32.IRCBot; Backdoor.IRCBot; Backdoor.Win32.SdBot и др.
Symantec: Backdoor.Sdbot и др.
Sophos: W32/Sdbot; Troj/Sdbot
McAfee: W32/Sdbot.worm; IRC-Sdbot
Microsoft: Win32/IRCbot

Также все желающие просмотреть полный список модификаций SDBot, которые распознаются и удаляются данной утилитой, могут сделать это, распаковав архив программы (файл SDFix_ReadMe.htm), либо открыв страничку создателя.
Эта база обновляется регулярно, по мере обнаружения новых видов вредоносных программ.

Непосредственно само лечение компьютера с помощью SDFix:

  1. Скачиваем SDFix
    Открываем и запускаем SDFix.exe (это самораспаковывающийся архив)
    В системном каталоге будет создана папка SDFix:
    C:\SDFix
  2. Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)
    При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
  3. Открываем папку SDFix и запускаем файл RunThis.bat
    Пишем букву 'Y' и нажимаем на ENTER.
    Начнется удаление компонентов вредоносной программы и восстановление системных настроек в реестре.
    Когда эта процедура будет закончена, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем

  4. После перезагрузки процедура удаления снова ненадолго продолжится
    Ждем, пока появится надпись 'Finished' и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся)
    Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия

SDFix


Образец лога SDFix:

SDFix: Version 1.58
15/01/2007 - 17:10:55.53
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Safe Mode:
Checking Services:
Name:
.NET Connection Service
Path:
C:\WINDOWS\svchost.exe
.NET Connection Service Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File

Rebooting

Normal Mode:
Checking Files:
Files will be copied to Backups folder then removed:
C:\WINDOWS\svchost.exe - Deleted

Alternate Stream Check:
C:\WINDOWS\system32
No streams found.

Final Check:
Remaining Services:
------------------
Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\ SharedAccess\Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Apache Software Foundation\\ Apache2.2\\bin\\ httpd.exe"="C:\\ Program Files\\ Apache Software Foundation\\ Apache2.2\\bin\\httpd.exe:*:Enabled:Apache HTTP Server"
"C:\\Program Files\\BitLord\\BitLord.exe"="C:\\Program Files\\BitLord\\BitLord.exe:*:Enabled:BitLord"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled: Windows Live Messenger 8.0"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled: Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe:*: Enabled:SmartFTP Client 2.0"
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Windows Explorer"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*: Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile\ AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*: enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*: Enabled: Windows Live Messenger 8.0"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*: Enabled: Windows Live Messenger 8.0 (Phone)"

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Listing Files with hidden attributes:
C:\NTDETECT.COM
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys

Finished

Некоторые пояснения к логу:

  • Все удаленные файлы обязательно будут автоматически скопированы в папку 'Backups', которая по умолчанию создается вот здесь:
    C:\SDFix\backups\backups.zip
  • Alternate Stream Check - проверка на наличие 'альтернативных потоков' - если там что-либо будет найдено, то в системе присутствует еще и руткит.

  • Listing Files with hidden attributes - список файлов со скрытым атрибутом - необходимо обратить внимание в том случае, если данная модификация SDBot подразумевала создание файлов с названием из случайной комбинации букв. Подобные файлы не могут быть удалены с помощью SDFix и их нужно удалять вручную (только ни в коем случае нельзя удалять всё по списку, который выдаст тут SDFix, так как большинство из тех файлов - системные, без которых Windows может перестать работать(!)).

Автор: Saule
2007

         Вернуться к списку статей | На главную