(2009. október 21.)

	- Flaxcom, F-Secure, Net Academia nyomán - Magával rántja a Windows XP-t a befagyott kártevő.

A Microsoft Magyarország értesülései szerint az utóbbi napokban számos felhasználó találkozott olyan problémával, hogy számítógépén a korábban jól működő Windows XP rendszer hirtelen nem indul be teljesen - a képernyő fekete marad, csak a kurzor látható rajta.

A szoftvercég szerint ezt az általában Microsoft Update frissítések telepítése után előforduló problémát vírusfertőzés okozhatja és megoldásként fájlok, illetve registry kulcs törlését javasolják. A finn F-Secure antivírus gyártó részletesen utánajárt a problémának és az általuk talált adatok igazolták a gyanút: az események valóban egy fertőzéssel kezdődnek.

A Delf.phk néven ismert, 15.872 bájt méretű trójai program a gépre jutva véletlenszerű néven a lemezre írja magát. A kártevő ezután hozzákezd a rendszer alaposabb megfertőzéséhez: letölt és telepít egy Kates.j nevű jelszólopó programot, amely beépül a felhasználói környezetbe. Ez a 18.432 bájtos kártevő az alábbi Windows API komponenseket manipulálja rejtett működése érdekében: kernel32.dll, advapi32.dll és user32.dll.

Bajt okozhatott a jó szándékú változtatás

A felhasználók által tapasztalt problémát éppen az okozhatja, hogy egy nemrég megjelent Microsoft Update frissítés biztonsági okokból változtatást eszközölt a fenti DLL rendszerfájlokon. A kártevő, amely addig szépen, csendben ügyködött a gépen, a javítófoltozás után már nem tud teljesen betöltődni és ez akadályozza az általa behálózott Windows felhasználói környezet indítását - a képernyő fekete marad.

Az eset fő érdekességét a ritkasága jelenti, mivel a modern kártevők mindent megtesznek az észrevétlen, a felhasználó számára láthatatlan működés érdekében. A netes bűnözők célja az, hogy ártó szoftvereik a lehető legtovább rejtve ügyködhessenek a feltört gépen - miközben ők értékesítik annak spam-küldő és DDoS hálózati támadó kapacitását, illetve visszaélnek a felhasználótól ellopott személyes azonosítókkal. Komoly műszaki hiba szükséges ahhoz, hogy a módszer lelepleződjön és most éppen ezt történt!

Van segítség!

Szerencsére a Windows-t fejre állító Kates.j mentesítésre több út is kínálkozik. Ha a gépet sikerül annyira beindítani, hogy a háromgombos kombináció (Ctrl+Alt+Del) hatására megjelenjen a Feladatkezelő ablaka, akkor ott lehet új folyamatot indítani, például webről elérhető víruskereső, vagy ingyenes egyedi mentesítő program futtatása céljából.

Ha ez nem lehetséges, akkor a gépet külső forrásból is át lehet vizsgálni. Erre a célra elérhetők a neten vírusirtót tartalmazó ún. Rescue CD csomagok, amelyeket például a finn F-Secure és az orosz Kaspersky Lab biztonsági cégek weblapjáról is ingyen le lehet tölteni indítólemezre írás céljából.

Hozzáértők kézzel is mentesíthetnek, bakizással azonban tönkre lehet tenni a Windows-t, így a feladat odafigyelést igényel! Töröljük a kártevő által létrehozott registry kulcsot:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi9
"véletlenszerű_név.bak 0yAAAAAAAA"

Keressük meg és nevezzük át a véletlenszerű nevű, 15.872 és 18.432 bájtos fájlokat a \Documents and Settings\felhasználó_neve\Local Settings\ alatt és a Windows rendszermappában. (A törlés csak akkor javasolt, ha nagyon biztosak vagyunk a dolgunkban!)

A gép sikeres beindítása után mindenképpen futtassunk le a Windows alatt is egy teljes körű ellenőrzést, hogy meggyőződhessünk arról, nem maradt további rejtett kártevő a gépen és a későbbiekben is vigyázzunk a Windows rendszer épségének fenntartására - amihez a víruskereső, kémprogramirtó és személyi tűzfal folyamatos futtatása elengedhetetlen!

"A szoftvercég szerint ezt az általában Microsoft Update frissítések telepítése után előforduló problémát vírusfertőzés okozhatja és ..." Hm.

( forrás: virushirado.hu)