Ruskill káros szoftver

CH azonosító

CH-14106

Angol cím

Ruskill malware

Felfedezés dátuma

2017.06.20.

Súlyosság

Közepes

Érintett rendszerek

Windows

Érintett verziók

Microsoft Windows 10, Microsoft Windows 8.1, Microsoft Windows 7, Microsoft Windows Vista

Összefoglaló

A Win32.U.Ruskill trójai (más néven: Win32/Dynamer!ac, Trojan.Ge, stb.) vírus személyes információkat lophat a felhasználótól, további káros kódot tölthet le, valamint a támadó teljes irányítása alá is vonhatja a célszámítógépet. A vírus többféleképpen is megfertőzheti a rendszert: egyrészt azáltal, hogy a felhasználó megtekint egy feltört vagy káros weboldalt, másrészt a kártevő akár véletlenül is lefuttatásra kerülhet a rendszeren.

Leírás

A trójai az alábbi problémákat okozhatja a számítógépen:

  • magas jogosultsági szinten fut, ezért eltávolítása nem triviális;
  • képes további káros szoftvereket telepíteni;
  • megnehezíti a felhasználó számára az internetes böngészést, valamint átirányíthatja a weboldalakat;
  • módosíthatja a rendszerfájlokat és az operációs rendszer alapbeállításait a rendszerleíró-adatbázisban (registry), ezáltal kikapcsolhatja a rendszer több összetevőjét;
  • drasztikusan lelassíthatja a számítógépet, amely a rendszer összeomlásához vezethet.

Megoldási javaslatok

Érdemes áttekinteni a feladatkezelőben az éppen futó .exe kiterjesztésű fájlokat.

A következő mappákban érdemes körültekintően ellenőrizni és törölni a vírussal összeköthető fájlokat:
– C:WINDOWSsystem32
– C:WINDOWSsystem32drivers
– C:Documents and Settings[user name]Application Data
– C:Documents and Settings[user name]Local SettingsTemp

A rendszerleíró-adatbázisban az alábbi bejegyzések árulkodóak lehetnek a kártevő jelenlétéről:
– HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “[random.EXE”
– HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun “[random].EXE”

Emellett a Windows Defender Antivirus (Windows 10, Windows 8.1), a Microsoft Security Essentials (Windows 7, Windows Vista), a Microsoft Safety Scanner és a Norton Power Eraser (NPE) képes felismerni a vírust és annak variánsait, amelyek további leírása és letöltési, telepítési útmutatója az alábbi hivatkozásokon érhető el.

Technikai információk

Type: Backdoor.Win32.U.Ruskill.195584
SHA-1: 41F976E13A84E145168523054043794C848A66D4
SHA-256: 92BB2EFEEA875EB5E8779F13CC50D1A831B3C538EB73E15384F8748266BE8FF1
MD5: 33D32552D7B0C7F86D9DDEFC3BA2B24B
Filename: mobsync.exe, api8[1].gif, gwyfr.exe, api8[2].gif, api8.gif, bav3b.exe, gnor3.exe, 92bb2efeea875eb5e8779f13cc50d1a831b3c538eb73e15384f8748266be8ff1.bin
File Size: 1 308 160 B
File Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit