Vir Security Tool a jeho odstranění

Jak jsem k němu přišel

Při vyhledávání na Google (hledal jsem zrovna nějaké věci k Matlabu) se mi ve výsledcích dole zobrazila zpráva o tom, že společnost Google na žádost jiné společnosti DMCA zablokovala jeden výsledek vyhledávání a pokud si chcete přečíst proč, následujte odkaz.

Zajímalo mě, jestli se jedná o nějakou ochranu autorských práv, tak jsem na odkaz klik a nestačil se divit.

Chování viru

Po malé chvilce vyskočilo okno jakéhosi Security Tool, kompletně v češtině, tvářící se jako nějaký antivirus, který hned začal (nevím jestli jen na oko) šmejdit ve složkách Windows a našel v nich asi 30 virů a podobné havěti. Pak začaly ještě vyskakovat různé hláškami typu: "počítač není chráněn", "váš firewall nefunguje", "odstranit vybrané problémy". Dokonce se program minimalizoval do SysTool a z něho vysílal takovéta jakoby systémové bubliny o dění. Když se ale myší na jeho ikonu najelo, zobrazil se název "9831436814", to už mi došlo, že mám co do činění s nějakou mrchou (také jsem jej na viry.cz našel) a nekompromisně jsem jej killnul v procesech (Ctrl+Alt+Del - Procesy - 9831436814.exe ukončit).

Vzhled viru (z http://www.2-spyware.com; má verze však byla kompletně v češtině!)

Podle toho, co jsem o viru Security Tool četl na viry.cz může mít dost destruktivní účinky.

Zdroj

Pozor! Nebezpečné odkazy, nevkládejte je do adresního řádku!

Odkaz z Google na DMCA, odkud podle mě útok vznikl: http://www.chillingeffects.org/notice.cgi?sID=24892

Útočná stránka (nevím, odkud se tam přesměrovala): http://deepresult.co.cc

Vir se vyskytuje zřejmě pod jménem náhodné číselné kombinace, ne jen výše uvedených "9831436814.exe".

Odstranění viru Security Tool

Proveden kompletní scan při bootu antivirem Avast, scan programem Spybot and Destroy, scan Malwarebytes' Anti-Malware. Žádný z programů výše uvedený exe soubor nenašel, jen Avast detekoval nějaký setup.exe, který se v inkriminovanou dobu nacpal kamsi do složek IE.

Nakonec jsem tedy ručně musel dovymazat:

"C:\\Documents and Settings\\USER\\Local Settings\\Data aplikací\\9831436814.exe" a položku (zástupce) z nabídky Programy.

Pomocí programu HJT jsem pak ještě opravil (Fix) tyto položky:

O4 - HKCU\..\RunOnce: [9831436814] "C:\DOCUME~1\USER\LOCALS~1\DATAAP~1\9831436814.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

(z http://www.viry.cz/forum/viewtopic.php?f=13&t=92947&start=105)

Reference: Jak odstranit Security Tool (česky), How To Delete Security Tool

Závěr

Zvláštní je, že Avast Home ve chvíli, kdy se ta potvora virus spustila, má v logu zaznamenánu detekci dvou infikovaných souborů, ale nic proti tomu očividně neudělal. Ve SpyBotu je pak v logu ve stejný čas změna položky StartUp, taky o tom ale ani nepípnul. Proto jsem nyní ve SpyBotu (pravým na ikoně SysTray) zaškrtl "Paranoid mode" (čili se SpyBote ptá na každou změnu systémové položky zvlášť). Nicméně, je to jeden z důvodů, proč jsem zase začal uvažovat o trvalém přechodu na Linux:-)