Trojan Amva dopadł mnie. Jako amvo.exe

Ostatnie wpisy

Protest przeciw ACTA w najgorszym czasie i formie
Natasza Urbańska „Śpiewka 1920”
Robisz "tradycyjne" wesele? Nie zapraszaj mnie na nie.
Fototapety i plakaty - sklep internetowy iplakaty.pl
Lidushik „Pare” - muzyczna petarda prosto z Armenii

Bądź na czasie z RSS

Możesz subskrybować tylko wybrane kategorie - w tym celu skorzystaj z ikon RSS na liście kategorii.

Polecam: sklep z plakatami i fototapetami

Iplakaty.pl - internetowy sklep z plakatami, fototapetami i reprodukcjami

Iplakaty.pl - sklep internetowy oferujący najwyższej jakości plakaty i fototapety, a także akcesoria takie, jak ramy i kleje. W sklepie znajdziesz ogromny wybór grafik, fotografii i reprodukcji, które czekają, aby stać się prezentem dla Ciebie lub Twoich bliskich. Chcesz wiedzieć, dlaczego polecam ten sklep? Przeczytaj to - klik. Polecam!

Sobota, listopad 8. 2008

Czas najwyższy przeprosić się z antywirusem. Tyle czasu był szpanik, bo bez antywira działałem i nic mojemu systemowi nie dolegało. I klops aka. Dupa: przedwczoraj zaraziłem się tym syfem najprawdopodobniej po podłączeniu via USB telefonu mojego brata. To najbardziej możliwy ze scenariuszy, ponieważ najpopularniejszym sposobem rozprzestrzeniania się trojana Amva jest jego obecność na pendrajwach i innych tego typu nośnikach danych.

Objawy infekcji

W "Mój komputer" dwukrotne kliknięcie w ikonę dowolnego dysku powodowało pokazanie jego zawartości w nowym oknie. Nie dało się inaczej.
Znikła możliwość wyświetlania ukrytych plików i folderów. Można było sobie do woli włączać tę opcję, a i tak ta za jasną cholerę nie chciała zatrybić i każde "Ok" czy "Zastosuj" było najzwyczajniej w świecie olewane. To chyba najbardziej charakterystyczny objaw obecności trojana Amva. To pozwala draniowi lepiej się ukrywać.
plik amvo.exe w C:\Windows\system32\ - plik ukryty i nie sposób go zobaczyć (patrz powyższy podpunkt)
dziwne zachowanie zainstalowanych aplikacji przy próbie ich uruchomienia: niestabilne działanie (np. Opera) lub nieuruchamianie się (np. Mozilla Thunderbird)
amvo.exe w Autostarcie – od czasu do czasu zaglądam, czy updater jakiegoś AdobeReadera albo Javy nie wpakował się do Autostartu. Właśnie podczas jednej z takich rutynowych kontroli natrafiłem na podejrzany plik konia Amva

Z tego, co o chamie Amva wyczytałem wynika, iż ów on podpina się pod działające „normalne” procesy, może je wyłączać a także kasować pliki. Tradycjonalista jeden: teraz co nowy to nowe rzeczy wykrywa, kradnie, spam rozsyła a ten jak po staremu usuwa dane. I po staremu roznosi się nie przez neta, ale twarde nośniki bajtów. No cóż; w ciuchach też panuje moda na powrót starych trendów :)

Obecność Amva w zwykłych procesach skłoniła mnie do reinstalacji systemu. Niestety. Zawsze po jakichkolwiek infekcjach lubiłem postawić system na nowo tak szybko, jak to możliwe: najpierw, o ile było to konieczne, walka z dziadem, następnie zabezpieczanie najważniejszych danych i reinstal systemu. Tak też było i tym razem. Wywaliłem amvo.exe z Autostartu, ale skutki infekcji pozostały. Ręcznie wpisałem adres do ukrytego folderu "Dane Aplikacji", skopiowałem dane programów i postawiłem system na nowo.

Szukając informacji o trojanie Amva natrafiłem na kilka opisów leczenia systemu zeń, ale jak wspomniałem: dla mnie raz ugryziony system trzeba przeinstalować. Najciekawiej o tytułowym koniu trojańskim poczytać możecie sobie tutaj.

Tagi dla tego wpisu: bezpieczeństwo w sieci, windows

Kategoria: Bezpieczeństwo w sieci | Komentarze (6)

do góry | strona główna

Komentarze do wpisu

A wytłumaczy mi ktoś kiedyś po co komu te syfki? Co komuś po tym, że wsysło mi kilka plików i działać nie mogę. Zarobi nie osoba która to zrobiła tylko prawdopodobnie jakiś sklep komputerowy, jeżeli jakiś laik sam sobie nie poradzi z syfkiem. Ehh... nie rozumiem. może jestem za młody :P
btw. Za tydzień jadę do Olki... dało by się proces przyspieszyć?

Filip B. | wszystkie | 2008-11-08 10:39

@Filip B.

Dla zabawy, zdobycia doświadczenia, coraz częściej dla pieniędzy.

Podobno komputer bez internetu jest bezpieczniejszy, nie? G... prawda. Kiedy kuzyn przynosi mi pendrive'a, to zwykle razem z jakimś syfem, to samo z kolegą, który nie jest podłączony do sieci. Skąd one się biorą? Cracki do gier (czyli poniekąd z internetu) i z płyt z czasopism o grach (raczej te mniej popularne typu Play, na ich płycie już dwa razy spotkałem trojana).

Ravicious | www | wszystkie | 2008-11-08 10:56

Ostatnio miałem bardzo groźnego trojana (10/10 w skali zagrożenia), spryciarz podczepił mi się do rejestru gdzie ciężko go było wykryć a tym bardziej usunąć. Avast zareagował dopiero kiedy ten uruchomił jakiś proces, Avastem niestety nie dało się go z rejestru wykurzyć.

Dobrze że mam też darmowego Ad-Aware specjalistę od tego typu szkodników, wykurzył go błyskawicznie i mam nadzieję że na dobre.

przemo | www | wszystkie | 2008-11-08 21:59

Szuman, człowieku z nieba mi zleciałeś albo czytasz w moich myślach :D Ja w piątek wieczorem miałem z nim (czyt. z tym wirusem) problem, postawiłem system od nowa ale dalej miałem problem. Okazało się, że zapomniałem przeskanować pendrive i znowu sobie system zabrudziłem ;/ Stwierdził, że już tego dnia nie zdążę, wchodzę na iGoogle (mam tego bloga jako jeden z gadżetów) a tu Szuman ma ten sam problem co ja ;p Niestety ostatnio nie mam zbyt dużo wolnego czasu wiec dopiero jutro zajmę się tą infekcją ;]

matfeusz | www | wszystkie | 2008-11-08 22:46

Nie tak dawno byłem u znajomego by wskrzesić jego Windowsa. W domu przygotowując się chciałem zabrać pendriva z sp3, kodekami itd. Po chwili namysłu, wiedząc że kolega nie jest z tych co to wydają pieniądze na soft zostawiłem przezornie dysk w domu. Co się okazało. Trojany uszkodziły tak Windowsa, że nie było widać partycji systemowej "C" nawet z konsoli odzyskiwania. Tam gdzie miał być system pisało obszar niezidentyfikowany. Windows startował i się resetował na przemian. Format C ponowna instalacja systemu. Ponieważ tak jak pisałem ludzie w naszym pięknym kraju nie są "frajerami" i nie zaprzątają sobie głowy softem, ściągnęliśmy Avasta. Co się okazało na dysku C już niczego nie było, za to na dalszych dyskach i owszem. Całkiem sporo różnych trojanów, szpiegowskiego oprogramowania. Powie ktoś, no tak ten cholerny, dziurawy produkt MS. Nie, nie Panie i Panowie! To to cholerne ściąganie scrackowanych programików, durnych pogodynek, tapet trójwymiarowych, tysięcy "najlepszych" programów do tuningu Windowsa. To w końcu wachlarz płytek CD z gierkami, programami od "kolegi". W pracy u żony, baby w przerwach przegrywały sobie z pendrajwów cudowne tapety. Jak mi żonka mówiła to co było, było nudne, a tak ma kolekcję 100 pięknych widoków. Jakie było moje zdziwienie, gdy po podłączeniu pena GDATA uaktywnił się pokazując trojana. To nie Windows, ani IE są niebezpieczne. To raczej przyzwyczajenia użytkowników są straszne.

Włodek | wszystkie | 2008-11-09 13:50

@Włodek, to nie przyzwyczajenia użytkowników przyciągają jak magnes do kompa wszystkie syfy, tylko ich beztroska i potrzeba otwarcia każdego linku, potrzeba ściągnięcia każdego programu itp

SpeX | www | wszystkie | 2008-11-09 22:35

Dodaj komentarz