Охота на вирус

Зачем я написал эту статью? В первую очередь для себя, т.к. похоже еще не раз вручную придется бороться с заражением, ибо наш корпоративный "супер" антивирь, несмотря на постоянное обновление и неслабый аппетит к ресурсам, демонстрирует свою беспомощность. Окружение: Dr.Web 6.00.3, новые базы, Windows 7 Pro SP1 со всеми обновками. Имя зверя: "Win32/TrojanDownloader.Nitiliers.A" по спецификации Nod32.

Немного назад во времени. По показаниям юзера, в момент заражения drWeb ругнулся, вроде даже сделал вид, что все исправил. Последующие проверки ничего не нашли. Прошло три выходных дня, обновились базы, еще одна проверка опять же ничего не нашла. Но более внимательные программы типа нашей прокси все же указывают на подозрительную активность на машине юзера.

Признаки. Во-первых, на диске [C:] появился "левый" каталог. Имя каталога не имеет смысла, набрано из латинских букв в двух регистрах. Внутри каталога ничего нет. Удаляю его с диска, обновляю окно, снова появляется.

Во-вторых, Process Explorer показывает запущенный svchost.exe с ключем "-k netsvcs" от имени пользователя, причем родителем процесса является explorer.exe. Это явный признак вируса, т.к. все svchost.exe должны работать под services.exe, запущенном от имени системы.

Итак, в системе вирус, причем резидентный. Поскольку корпоративный антивирь в прострации, будем охотиться по-старинке, руками :(. Первым делом попытался выяснить, что прописано в реестре [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\] в параметре Shell. Это любимое место запуска современных троянов.. но увы, не в этот раз.

Немного погуглив, нашел похожие симптомы другого заражения. Гнездо здесь:

Не могу сказать точные имена файлов, но если туда добраться, то становится понятно, кто есть кто.

А добраться оказывается непросто, т.к. на машине стоит Windows 7 и обращение к Application Data или Главное меню из каталога юзера выдает "Нет доступа". Я думал, это вирусная оборона, оказалость - причуды семерки. Чтобы попасть в Автозагрузку, идем

Application Data в Windows 7 тоже лишь "ярлык" без доступа, идем в [c:\Users\userXXX\AppData].

Как выяснилось, вирус селился только под одного юзера, что облегчило задачу уничтожения. Залогинился под админом, зашел в нужные каталоги и удалил все подозрительное. Я не смог выяснить, как же он запускался, но после перезагрузки машины ни какой ругани системы или следов вируса не обнаружено.

Замечу еще, что установленный на моей машине Nod32 v.4 даже при обращении к каталогу по сети видел вирус и пытался его снести, в то время как явное указание для drWeb проверить этот каталог не давало результата. Вот вам и разница между "дорогой корпоративный антивирус" и "реальная защита системы".