Xpress
Member
В мережі Інтернет виявлено вірусне програмне забезпечення, яке має назву “Uroboros”. Зазначене програмне забезпечення є rootkit, тобто воно інтегрується в операційну систему Windowsі використовує незаборонені правила та можливості операційної системи, скориставшись якими може бути здійснено перехоплення управління комп’ютером.
Антивірусні програми, встановлені у користувачів, станом на 19.06.2014 не можуть виявляти вказане шкідливе програмне забезпечення. Причиною такого явища стало знаходження його в неактивному стані, і активація його стає наявною лише при безпосередньому зверненні до нього.
Виявити факт зараження ЕОМ зазначеним вірусним програмним забезпеченням можливо після виконання певних дій:
перевірити наявність директорії C:\Windows\$Ntuninstall<випадковий-номер>$\, яка містить файли virtdisk.bin, fdisk.sys, rking_inst.exe;
перевірити наявність гілки системного реєстру HKLM\System\CurrentControlSet\Services\Ultra3;
перевірити наявність системного об’єкта \BaseNamedObjects\{B93DFED5-9A3B-459b-A617-59FD9FAD693E};
перевірити наявність системних пристроїв \Device\RawDisk1 \Device\RawDisk2;
сліди можливого звернення до командного центру управління вірусним програмним забезпеченням за такими доменними іменами:
north-area.bbsindex.com;
winter.sitell.com;
swim.onlinewebshop.net;
july.mypressonline.com;
toolsthem.xp3.biz;
softprog.freeoda.com;
euassociate.6te.net.
Виявлення вказаних файлів, гілок реєстру тощо можливо здійснювати з використанням стандартних програм операційної системи Windows або з використанням спеціального програмного забезпечення, наприклад, програми Winobj.
Антивірусні програми, встановлені у користувачів, станом на 19.06.2014 не можуть виявляти вказане шкідливе програмне забезпечення. Причиною такого явища стало знаходження його в неактивному стані, і активація його стає наявною лише при безпосередньому зверненні до нього.
Виявити факт зараження ЕОМ зазначеним вірусним програмним забезпеченням можливо після виконання певних дій:
перевірити наявність директорії C:\Windows\$Ntuninstall<випадковий-номер>$\, яка містить файли virtdisk.bin, fdisk.sys, rking_inst.exe;
перевірити наявність гілки системного реєстру HKLM\System\CurrentControlSet\Services\Ultra3;
перевірити наявність системного об’єкта \BaseNamedObjects\{B93DFED5-9A3B-459b-A617-59FD9FAD693E};
перевірити наявність системних пристроїв \Device\RawDisk1 \Device\RawDisk2;
сліди можливого звернення до командного центру управління вірусним програмним забезпеченням за такими доменними іменами:
north-area.bbsindex.com;
winter.sitell.com;
swim.onlinewebshop.net;
july.mypressonline.com;
toolsthem.xp3.biz;
softprog.freeoda.com;
euassociate.6te.net.
Виявлення вказаних файлів, гілок реєстру тощо можливо здійснювати з використанням стандартних програм операційної системи Windows або з використанням спеціального програмного забезпечення, наприклад, програми Winobj.
