Вирус КГБ. Описание и способ удаления

В распоряжение charter97.org попал "вирус", который "куратор Дима" из КГБ вручил Максиму Чернявскому.

Максим должен был установить эту программу на компьютеры активистов "Революции через социальную сеть", скрывающихся в Польше. Историю "вербовки" студента журфака мы публиковали несколько дней назад.

Наши специалисты проанализировали полученный файл. Программа выглядела как инталляция Skype и может быть уже установлена на компьютерах активистов. Результаты исследования и рекомендации по удалению вредоносной программы мы предлагаем вашему вниманию:

Исследование файла Skype.exe (MD5: 43fe19eb0896979568b986b8e7fd0e42)

1. Что есть эта программа?

Программа представляет из себя самораспаковывающийся 7zip-архив, который содержит инсталятор коммерческой программы, известной как "Remote Manipulator System".

Официальный сайт производителя программы: http://rmansys.ru/

Разработчик: российская компания TeknotIT

Иконка программы изменена на изображение логотипа программы Skype, хотя вся остальная информация о файле приложения выдаёт её реального производителя и даже название.

2. Если она легальна, почему нет никаких окон?

Инсталяция проходит в "пассивном" режиме, специально предусмотренном разработчиком для администраторов компьтерных сетей, нуждающихся в массовой развертке данного ПО. По этой причине программа не отображает процесс установки и не запрашивает никаких подтверждений у пользователя.

3. Куда устанавливается эта программа?

Основные файлы программы копируются в директорию "C:\Program Files\Remote Manipulator System - Server".

Дополнительный компонент устанавливается в системную директорию по пути "C:\WINDOWS\system32\RWLN.dll"

4. Кто и откуда может ей управлять?

После запуска программа проверяет соединение с интернетом, отправляя по адресу http://rmansys.ru/utils/inet_id_notify.php?test=1

Далее программа отправляет на сервер информацию о системе, на которой она работает. В этом запросе указан идентификатор пользователя, на которого зарегистрирована данная программа. В качестве идентификатора пользователя служит следующий e-mail: vbybcnthcndjcn@mail.ru.

Кстати, имя почтового ящика "vbybcnthcndjcn" при наборе в русской раскладке даёт "министерствост" (Министерство Спорта и Туризма?).

5. Что можно сделать с помощью этой программы?

Вот некоторые возможности программы:

- Удаленное управление компьютером.
- Удаленное наблюдение за рабочим столом.
- Файловый менеджер
— Модуль для передачи и управления файлами.
- Удаленное управление задачами и устройствами.
- Удаленное изменение реестра.
- Терминал.
— Доступ к командной строке (аналог системной утилиты «Командная строка»).
- Управление питанием.
- Удаленный запуск программ.
- Подключение к веб-камере и микрофону.
- Запись видео с рабочего стола по расписанию.

6. Как понять, что система заражена?

Определить присутствие программы в системе можно по характерным процессам, которые она создает:

7. Что насчет антивируса? Защитит ли он систему?

Программа относится к категории потенциально опасного ПО, т.к. может быть использована незаконно для получения несанкционированного доступа к данным хранящимся в компьютерной системе или сети. Антивирус Касперкого, например, детектирует программу как RemoteAdmin.Win32.RMS из категории Riskware. Однако информирование пользователя об обнаружении таких программ требует изменения настроек антивируса по-умолчанию. Так что проверяйте настройки вашего антивируса!

7. Как надежно избавиться от этой программы?

Лучше и быстрее всего будет всего ручное удаление, т.к. в программе предусмотрена процедура деинсталяции через "Панель Управления".

Итак

- Идём в "Панель Управления"-> "Установка/удаление программ". Находим и удаляем Remote Manipulator System.

- Перезагружаем систему.

- Находим и удаляем файл C:\WINDOWS\system32\RWLN.dll.

8. Как в будущем предотвратить заражение этой программой?

Следует использовать правильно настроенное антивирусное ПО, постоянно следить за обновлением всех компонент системы и браузера.

А для того чтобы лишить будущие версии "Remote Manipulator System" возможности связаться с хозяином, можно с помощью Блокнота дописать в конец текстового файла C:\windows\system32\drivers\etc\hosts следующую строку:

127.0.0.1 rmansys.ru