Win32.HLLW.Shadow.based


Не открывается ни один антивирусный сайт (http://drweb.com,  http://kaspersky.ru и http://esetnod32.ru), и антивирусные программы не обновляются. Сайты, не имеющие отношения к антивирусам открываются как обычно.

Причина: вирус на компьютере, часто Win32.HLLW.Shadow.based

Описание:
Опасный сетевой червь, который распространения через уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до Windows 7. Win32.HLLW.Shadow.based упаковывает свои файлы в постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ. Некоторые образцы Win32.HLLW.Shadow.based, могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555.

Распространение
Прежде всего, через съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.
Червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. Для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

Инсталляция:
После запуска Win32.HLLW.Shadow.based определяет свое местонахождения, в каком процессе он находится. Если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. После чего открывает в "Проводнике" текущую папку и прекращает свою работу.
При нахождении Win32.HLLW.Shadow.based не в процессе rundll32.exe, он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.
Если он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.

В состав Win32.HLLW.Shadow.based входит драйвер, который изменяет в памяти системный файл tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.

Методы борьбы:
Для лечения системы и профилактики от Win32.HLLW.Shadow.based рекомендуется установить патчи, указанные в информационных бюллетенях Microsoft: MS08-067, MS08-068, MS09-001. Необходимо отключить компьютер от локальной сети и от Интернета. Обратное подключение к локальной сети возможно лишь после того, как будут вылечены все компьютеры, находящиеся в сети. Лечение системы можно произвести при помощи бесплатной утилиты Dr.Web CureIt!.

Скачать утилиту Dr.Web CureIt с зараженного компьютера можно следующем образом:

  • Через командную строку ("Пуск" - "Выполнить" - "cmd") и пробуем пропинговать сайт антивируса:
    ping ftp.drweb.com, большая вероятность, что заданный узел обнаружить не получится.
ping ftp
  • Узнаем ip адрес этого хоста через командную строку:
    nslookup ftp.drweb.com и получим ip-шник ( address:  81.176.67.170 ).
ping ip
  • Проверяем, пингуется-ли этот сайт по IP: ping 81.176.67.170.
ping ip otv
  • Получив ответы, заходим на сайт по его IP, т.е. в адресной строке, вместо http://drweb.com/, пишем 81.176.67.170
  • Заходим, скачиваем Dr.Web CureIt отсюда и лечим.

Это одноразовый бесплатный антивирус от DrWeb, т.е. он один раз проверяет систему и удаляет найденные вирусы, в связи с отсутствием в нем функции обновления.
После проверки на вирусы с помощью CureIT, желательно перезагрузиться. После перезагрузки, сайты антивирусов должны начать открываться, а резидентный антивирус сможет обновиться.

Таким методом лечил свой компьютер и еще несколько на стороне.

P.S. Для дополнительной защиты от троянов, червей, шпионского программного обеспечения и т.д., рекомендую установить в сочетании с резидентным антивирусом такие программы Malware Anti-Malware и SpyWare Doctor