990x.top
Простой компьютерный блог для души)
Virus.Win32.Nimnul.a — что это, как удалить?
Приветствую. Статья расскажет о данном вирусе, а также о способах его удаления с персонального компьютера.
Virus.Win32.Nimnul.a — что это такое?
Вирус, после попадания на компьютер — внедряется в некоторые приложения, системные компоненты, далее открывает удаленный доступ к зараженной машине.
Упакован UPX-упаковщиком, впрочем нормально для подобных угроз. Написан на языке программирования C++.
При подключенных USB-накопителях на них создаются копии вируса: в корне диска появляется папка Recycler с вирусным модулем, а также модифицируется файл autorun.inf. Результат — вирус постоянно запускается при открытии сьемного диска.
Также может создавать следующий файл:
Папка Microsoft с вредоносным файлом также может создаваться в следующих директориях (открыть можно путем Win + R > вставить переменную):
Вирус может работать под системным процессом svchost.exe, который запускается из временной папки %Temp%.
После нахождения данной угрозы Каспер перемещает ее в карантин.
Virus.Win32.Nimnul.a — как удалить?
Можно попробовать удалить вручную при желании, используя данные рекомендации:
Однако на данный момент скорее всего удалить угрозу можно при помощи антивирусных утилит. Только стоит проверить ПК инструментами от разных типов угроз:
В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:
Основные события месяца
Первый месяц лета прошел относительно спокойно: никаких значимых инцидентов, к счастью, не произошло. Киберкриминальный фон месяца можно назвать «классическим». В развивающихся странах злоумышленники использовали неграмотность пользователей в сфере IT-безопасности для распространения своих поделок. В развитых странах преобладали зловреды, охотящиеся за информацией и деньгами пользователей. В Бразилии, как всегда, распространялись банкеры, а в России вполне традиционно вредоносные программы использовались в разнообразных мошеннических схемах.
В последнее время много говорят про «облачные» услуги, предоставляемые различными компаниями. В июне «облачный» сервис сети Amazon был использован злоумышленниками для размещения и распространения вредоносного ПО. Оно нацелено на пользователей Бразилии и крадет данные клиентов 9 банков этой страны. Чтобы повысить свои шансы на успех, вредоносная программа препятствует корректной работе антивирусных программ и специальных плагинов, обеспечивающих безопасность онлайн-банкинга. В ее функционал также входит кража цифровых сертификатов и учетных записей Microsoft Live Messenger.
Злоумышленники не оставляют в покое платформу Mac OS X. Если в мае были обнаружены поддельные антивирусы под эту платформу, то сейчас мошенники распространяют бэкдор Backdoor.OSX.Olyx.a. Эта вредоносная программа предназначена для удалённого управления компьютером: злоумышленники могут использовать заражённую систему в своих целях: скачивать другие зловреды, запускать программы и выполнять команды интерпретатора.
Июнь порадовал успехами в борьбе с киберкриминалом правоохранительных органов разных стран, при этом ряд успешных операций стал следствием их совместных действий. Так, в США была пресечена криминальная деятельность двух интернациональных группировок, наживавшихся на продажах лжеантивирусов. По предварительным оценкам, ущерб от их деятельности составил 74 млн. долларов. Помимо американских спецслужб, в операции приняли участие силовые структуры Германии, Франции, Голландии, Швеции, Великобритании, Румынии, Канады, Украины, Литвы, Латвии и Кипра. В нескольких странах Юго-Восточной Азии было задержано около 600 человек, подозреваемых в реализации мошеннических схем в интернете. В операции приняли участие полицейские подразделения Китая, Тайваня, Камбоджи, Индонезии, Малайзии и Таиланда. А в России по обвинению в организации DDoS-атаки на конкурирующий сервис был арестован Павел Врублевский, владелец крупнейшего в России процессингового центра ChronoPay. Стоит упомянуть и еще одно значимое событие в сфере борьбы с киберкриминалом на законодательном уровне: в июне японский парламент принял ряд поправок к существующим законам, назначив тюремные сроки за создание и распространение вредоносных программ.
Рейтинг вредоносных программ
Как и в предыдущие месяцы, в июне TOP 20 вредоносных программ в интернете пополнился большим количеством новых представителей, а рейтинг зловредов, обнаруженных на компьютерах пользователей, практически не изменился.
Вредоносные программы в интернете
В TOP 20 вредоносных программ в интернете по-прежнему преобладают зловреды, которые используются для осуществления drive-by атак: редиректоры, скриптовые загрузчики и эксплойты. Такие вредоносные программы заняли 14 из 20 строчек рейтинга.
В TOP 20 попали четыре редиректора: Trojan-Downloader.JS.Agent.fzn (12-е место), Trojan-Downloader.JS.Agent.gay (13-е место), Trojan-Downloader.JS.IFrame.cfw (14-е место) и Trojan.JS.IFrame.tm (15-е место).
Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic01.png» target=_blank>
Фрагмент скрипта, заражённого Trojan-Downloader.JS.Agent.gay
Скриптовые загрузчики представлены в рейтинге двумя группами. Первая: Trojan.JS.Redirector.pz (5-е место), Trojan.JS.Redirector.qa (7-е место) и Trojan.JS.Redirector.py (8-е место), Trojan.JS.Redirector.qb (9-е место). Вторая: Trojan-Downloader.JS.Agent.gbj (11-е место) и Trojan-Downloader.JS.Agent.gaf (19-е место).
Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic02.png» target=_blank>
Фрагмент вредоносного загрузчика Trojan.JS.Redirector.qa
Отметим появление в рейтинге эксплойта Trojan-Downloader.SWF.Small.df (20-е место) в SWF-файлах. Его функционал заключается в скрытом запуске другого вредоносного SWF-файла, расположенного в той же папке на сервере.
Фрагмент обфусцированного JavaScript-скрипта Exploit.JS.Pdfka.duj
«. Exploit.HTML.CVE-2010-4452.bc злоумышленники решили замаскировать: большинство символов в тэгах «
» были заменены на последовательности «&#number», а в оставшихся символах были изменены регистры.
Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic04.png» target=_blank>
Вредоносные программы на компьютерах пользователей
Nimnul-инфектор
Впервые в TOP 20 этот зловред попал в мае и за два месяца добрался с 20-й позиции до 11-й. Это весьма необычно, учитывая, что файловые инфекторы постепенно сходят на нет. В настоящее время злоумышленники предпочитают зловреды, защищенные полиморфными упаковщиками (что обеспечивает уникальность упакованной вредоносной программы). Использовать файловые вирусы стало просто невыгодно: их разработка и поддержка достаточно сложны, при этом обнаружить их в системе относительно просто.
Вирус Nimnul.a заражает исполняемые файлы, добавляя в конец файла дополнительную секцию «.text» и модифицируя точку входа. После запуска любой заражённый файл проверяет наличие уникального идентификатора вируса в ОС (Mutex). Наличие объекта Mutex означает, что другой заражённый файл уже был запущен в системе. В этом случае вирус только запускает оригинальное приложение. Если же искомый Mutex не обнаружен, то сначала рассматриваемый синхронизирующий объект будет создан, а затем на диск будет сброшен основной компонент Nimnul. Этот компонент записывает на диск ещё несколько вредоносных библиотек.
Зловред крадёт персональные конфигурационные файлы популярных браузеров, подключается к удалённому серверу и в состоянии подменять вывод веб-страниц.
TOP 20 вредоносных программ в интернете
| Позиция | Изменение позиции | Вредоносная программа |
| 1 |  2 | AdWare.Win32.FunWeb.kd |
| 2 |  4 | Trojan-Downloader.JS.Agent.fxq |
| 3 |  2 | AdWare.Win32.FunWeb.jp |
| 4 |  -2 | Trojan.JS.Popupper.aw |
| 5 |  New | Trojan.JS.Redirector.pz |
| 6 |  5 | Trojan.HTML.Iframe.dl |
| 7 |  New | Trojan.JS.Redirector.qa |
| 8 |  New | Trojan.JS.Redirector.py |
| 9 |  New | Trojan.JS.Redirector.qb |
| 10 |  New | Exploit.HTML.CVE-2010-4452.bc |
| 11 |  New | Trojan-Downloader.JS.Agent.gbj |
| 12 |  New | Trojan-Downloader.JS.Agent.fzn |
| 13 |  New | Trojan-Downloader.JS.Agent.gay |
| 14 |  New | Trojan-Downloader.JS.Iframe.cfw |
| 15 |  New | Trojan.JS.Iframe.tm |
| 16 |  New | Exploit.JS.Pdfka.dyi |
| 17 |  New | Exploit.JS.Pdfka.duj |
| 18 |  New | Trojan-Ransom.JS.SMSer.id |
| 19 |  New | Trojan-Downloader.JS.Agent.gaf |
| 20 |  -1 | Hoax.Win32.Screensaver.b |
TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей
| Позиция | Изменение позиции | Вредоносная программа |
| 1 |  0 | Net-Worm.Win32.Kido.ir |
| 2 |  2 | AdWare.Win32.FunWeb.kd |
| 3 |  -1 | Virus.Win32.Sality.aa |
| 4 |  -1 | Net-Worm.Win32.Kido.ih |
| 5 |  0 | Trojan.Win32.Starter.yy |
| 6 |  0 | Virus.Win32.Sality.bh |
| 7 |  1 | Virus.Win32.Sality.ag |
| 8 |  -1 | Trojan-Downloader.Win32.Geral.cnh |
| 9 |  0 | HackTool.Win32.Kiser.il |
| 10 |  Return | AdWare.Win32.HotBar.dh |
| 11 |  1 | Virus.Win32.Nimnul.a |
| 12 |  -2 | Trojan-Downloader.Win32.FlyStudio.kx |
| 13 |  5 | Trojan.JS.Agent.bhr |
| 14 |  0 | Worm.Win32.FlyStudio.cu |
| 15 |  1 | Worm.Win32.Mabezat.b |
| 16 |  -3 | HackTool.Win32.Kiser.zv |
| 17 |  0 | Hoax.Win32.Screensaver.b |
| 18 |  1 | Trojan-Downloader.Win32.VB.eql |
| 19 |  -4 | Hoax.Win32.ArchSMS.pxm |
| 20 |  New | Trojan-Downloader.SWF.Small.dj |
| Помощь |
 | |
| Задать вопрос | |
| программы | |
| обучение | |
| экзамены | |
| компьютеры | |
| |