Afgelopen week was het zover, de eerste virus aanval die, voor zover ik het gemerkt heb, niet door Trend Micro gedetecteerd werd. Dat ondanks dat de laatste versie van Trend Micro Officescan draaide, versie 10.6, met de laatste pattern bestanden en engine! Gelukkig een niet al te intelligent virus, want er werd alleen veel geprint op allerlei printers waardoor het vreemde gedrag snel opviel en de geïnfecteerde werkplekken snel gevonden konden worden. De waarschijnlijke oorzaak was het nog niet aangebracht zijn van recente een Windows patch, knowledgebase artikel 2718704. Soms is snel patchen dus wel aan te bevelen!


Hieronder een kort stappenplan om het virus te vinden en op te ruimen. Om opschoonacties uit te voeren maak ik veelvuldig gebruik van de Sysinternal Suite programma's van Mark Russinovich (hier besproken).


Detectie


Allereerst de detectie, is de werkplek geïnfecteerd? Start als eerste het AutoRuns programma en kijk bij de te starten programma's, veelal onder beide run en startup secties. Is de werkplek geïnfecteerd, dan staat er zoiets als hieronder.




Er staat inderdaad een niet bekende regel die verder uitzoekwerk vraagt. Door tweemaal te klikken op de regel wordt het Windows programma regedit gestart en is te zien wat er precies gestart wordt.



Zoals te zien is, wordt er een verdacht programma gestart met rundll32 met extra parameters. Laten we het programma Process Explorer eens starten en kijken of het verdachte programma draait.



Dit is inderdaad het geval, De werkplek is geïnfecteerd! We zullen op moeten schonen en gelukkig is dit vrij eenvoudig.


Opschonen


De onderstaande stappen zorgen ervoor dat in ieder geval dit virus verdwijnt:



  1. Sluit het programma af, via Process Explorer, via de knop 'Kill Process'

  2. Verwijder het dll bestand. Let op, dit is kan verborgen én zogenaamd systeem bestand zijn, en het kan dus nodig zijn de afbeeld opties van Windows Verkenner aan te moeten passen om het dll bestand zichtbaar te krijgen. Als het bestand zichtbaar is.


    • Knip en plak het bestand naar een andere plek (bijvoorbeeld c:\Temp)

    • Zet de rechten correct om deze te kunnen verwijderen (dit kan nodig zijn binnen een Windows domein, zet een nieuwe eigenaar en voldoende rechten)

    • Verwijder het dll bestand


  3. Verwijder de register sleutel


Om te controleren of er geen resten zijn blijven staan, wordt aangeraden de werkplek opnieuw te starten en de eerste detectiestappen nogmaals uit te voeren. De bovenstaande stappen hebben mij in ieder geval wel geholpen. Komt het virus toch weer terug, dan zijn er resten achtergebleven en kunnen de stappen nog eens uitgevoerd worden. Voor hardnekkige virussen is een opstart CD een goede oplossing, bijvoorbeeld een WinPE opstart CD met regedit erop.


Succes met opschonen!


No comments

The author does not allow comments to this entry