Zaberg троян — достача

Судя по всему в Беларуси эпидемия, нового и в то же время относительно старого трояна Zaberg. Подробного описания паразита на момент набора данной статьи найти не удалось, а методы борьбы описанные во многих форумах, мягко говоря, устарели, так как троянец, судя по всему, был недавно модернизирован.
Собственно, подвигло меня на написание данного материала то, что сканер Dr Web Cure It и McAfee antivirus plus 2011 на момент набора текста могли распознать паразита, но не могли его удалить целиком из компьютера жертвы.
Какова же симптоматика Zaberg? Она, в принципе, схожа с классическим автораннером. Как и преславутый предтеча, троянец размножается исключительно через инфицированные флешки, но он не использует файл autorun.inf для своего автозапуска. Так как в таком случае его распознает любой USB антивирус и заблокирует. Создатель Zaberg явно человек не глупый, поэтому он пошел совершенно по иному пути. Троянец скрывает папки на флешке жертвы при этом создает ярлыки с иконкой названия существующих каталогов и ссылкой на запуск тела трояна, которое находится на флешке в скрытой папке Recycler (корзина).

Посмотреть: Скриншот 800х600

Замечено, что в разных модификациях трояна, тело паразита называется по-разному. В самой вредной модификации троянец лежит на флешке в файле Recycler\40109cb.exe. В обычной модификации в Recycler\ecleaner.exe или zaberg.exe. Именно на эти файлы ссылаются ярлыки-папки, созданные трояном.
Первое что может заметить пользователь при заражении Zaberg – это утечку трафика. Так всего за десять минут он создает около 4 мегабайт дополнительных данных. Поэтому любой пользователь мобильного интернета по трафику может заметить данное действие. Неприятен тот факт, что встроенный брандмауэр Windows XP не блокирует трояна в отличие от файрволла встроенного, например, в антивирус McAfee.
В том, случае если антивирус удаляет трояна Zaberg, часть его всё равно отсаеётся в компьютере, и он продолжает плодить на всех вставляемых съемных носителях информации ярлыки, скрывая при этом каталоги. В этот момент сложно понять откуда исходит угроза. Так как четыре антивируса, которыми я сканировал компьютер жертвы не показали никакого результата. Они попросту не видели проблемы.
Чтобы не пользоваться дополнительными утилитами мониторинга файлов для обнаружения Zaberg.exe, проще всего загрузиться в режиме поддержки командной строки. Именно так возможно обнаружить в автозагрузке путь к запуску трояна. Так как в обычном и безопасном режиме Zaberg не удосуживается оставить на себя ссылку в автозагрузке.
Избавиться от Zaberg можно и не прибегая к помощи антивируса. Достаточно загрузиться в режиме поддержки командной строки, запустить Total commander для удобства. И через него вручную удалить файлы трояна. Первым делом, необходимо, чтобы Total Commander показывал скрытые файлы и папки. Для этого необходимо нажать конфигурация->содержимое панелей->показывать скрытые/системные файлы. Затем зайти на флешку и удалить каталог Recycler, а так же все файлы с расширением *.lnk называющиеся по названию каталогов размещенных на флешке. Затем удалить каталог Recycler на всех разделах жестких дисков. После чего загрузить утилиту C:\windows\system32\dllcache\msconfig.exe. В ней выбрать вкладку автозагрзука и внимательно проанализировать, какой элемент автозагрузки принадлежит Zaberg. Это могуть быть файлы: jodrive.exe, aon32.exe, zaberg.exe, xci32.exe или ещё что-то похожее. В любом случае все они будут прятаться в папке C:\windows\system32 или dllcache. Как только файл вируса определен его необходимо удалить. После чего обязательно перепроверить через поиск на всех дисках наличие таких файлов как: ecleaner.exe, zaberg.exe, 40109cb.exe, jodrive.exe, aon32.exe, xci32.exe. Если они будут обнаружены еще где-то их следует так же удалить. После всех вышеописанных манипуляций, необходимо перезагрузить компьютер. И если всё сделано правильно, Zaberg больше не будет опасен.
В целях подстраховки от заражения подобными Zaberg.exe троянами, рекомендуется в настройках windows разрешить отображение скрытых файлов и папок, а так же расширений файлов.

 

(r) www.fdd5-25.net Форма обратной связи.