Вирус КГБ. Описание и способ удаления
В распоряжение charter97.org попал "вирус", который "куратор Дима" из КГБ вручил Максиму Чернявскому.
Максим должен был установить эту программу на компьютеры активистов “Революции через социальную сеть”, скрывающихся в Польше. Историю “вербовки” студента журфака мы публиковали несколько дней назад.
Наши специалисты проанализировали полученный файл. Программа выглядела как инталляция Skype и может быть уже установлена на компьютерах активистов. Результаты исследования и рекомендации по удалению вредоносной программы мы предлагаем вашему вниманию:
Исследование файла Skype.exe (MD5: 43fe19eb0896979568b986b8e7fd0e42)
1. Что есть эта программа?
Программа представляет из себя самораспаковывающийся 7zip-архив, который содержит инсталятор коммерческой программы, известной как “Remote Manipulator System”.
Официальный сайт производителя программы: http://rmansys.ru/
Разработчик: российская компания TeknotIT
Иконка программы изменена на изображение логотипа программы Skype, хотя вся остальная информация о файле приложения выдаёт её реального производителя и даже название.
2. Если она легальна, почему нет никаких окон?
Инсталяция проходит в “пассивном” режиме, специально предусмотренном разработчиком для администраторов компьтерных сетей, нуждающихся в массовой развертке данного ПО. По этой причине программа не отображает процесс установки и не запрашивает никаких подтверждений у пользователя.
3. Куда устанавливается эта программа?
Основные файлы программы копируются в директорию “C:\Program Files\Remote Manipulator System – Server”.
Дополнительный компонент устанавливается в системную директорию по пути “C:\WINDOWS\system32\RWLN.dll”
4. Кто и откуда может ей управлять?
После запуска программа проверяет соединение с интернетом, отправляя по адресу http://rmansys.ru/utils/inet_id_notify.php?test=1
Далее программа отправляет на сервер информацию о системе, на которой она работает. В этом запросе указан идентификатор пользователя, на которого зарегистрирована данная программа. В качестве идентификатора пользователя служит следующий e-mail: vbybcnthcndjcn@mail.ru.
Кстати, имя почтового ящика “vbybcnthcndjcn” при наборе в русской раскладке даёт “министерствост” (Министерство Спорта и Туризма?).
5. Что можно сделать с помощью этой программы?
Вот некоторые возможности программы:
– Удаленное управление компьютером.
– Удаленное наблюдение за рабочим столом.
– Файловый менеджер
— Модуль для передачи и управления файлами.
– Удаленное управление задачами и устройствами.
– Удаленное изменение реестра.
– Терминал.
— Доступ к командной строке (аналог системной утилиты «Командная строка»).
– Управление питанием.
– Удаленный запуск программ.
– Подключение к веб-камере и микрофону.
– Запись видео с рабочего стола по расписанию.
6. Как понять, что система заражена?
Определить присутствие программы в системе можно по характерным процессам, которые она создает:
7. Что насчет антивируса? Защитит ли он систему?
Программа относится к категории потенциально опасного ПО, т.к. может быть использована незаконно для получения несанкционированного доступа к данным хранящимся в компьютерной системе или сети. Антивирус Касперкого, например, детектирует программу как RemoteAdmin.Win32.RMS из категории Riskware. Однако информирование пользователя об обнаружении таких программ требует изменения настроек антивируса по-умолчанию. Так что проверяйте настройки вашего антивируса!
7. Как надежно избавиться от этой программы?
Лучше и быстрее всего будет всего ручное удаление, т.к. в программе предусмотрена процедура деинсталяции через “Панель Управления”.
Итак
– Идём в “Панель Управления”-> “Установка/удаление программ”. Находим и удаляем Remote Manipulator System.
– Перезагружаем систему.
– Находим и удаляем файл C:\WINDOWS\system32\RWLN.dll.
8. Как в будущем предотвратить заражение этой программой?
Следует использовать правильно настроенное антивирусное ПО, постоянно следить за обновлением всех компонент системы и браузера.
А для того чтобы лишить будущие версии “Remote Manipulator System” возможности связаться с хозяином, можно с помощью Блокнота дописать в конец текстового файла C:\windows\system32\drivers\etc\hosts следующую строку:
127.0.0.1 rmansys.ru