Εργαλείο εντοπισμού και κατάργησης φορτίου του Download.Ject

Περίληψη

Η Microsoft έχει πληροφορηθεί για την ύπαρξη ενός προγράμματος ιού τύπου Trojan με το όνομα W32/Berbew (παραλλαγές A-H), το οποίο λαμβάνεται μετά την προσβολή ενός υπολογιστή-πελάτη που βασίζεται στα Microsoft Windows από το κακόβουλο λογισμικό Download.Ject. Αυτό το ζήτημα προκύπτει όταν ένας χρήστης επισκέπτεται μια τοποθεσία Web φιλοξενούμενη σε διακομιστή που εκτελεί τις υπηρεσίες Microsoft Internet Information Services (IIS) και έχει προσβληθεί από το JS.Scob. Οι ιστοσελίδες που λαμβάνονται στον υπολογιστή του χρήστη περιέχουν ένα πρόσθετο πρόγραμμα JavaScript που πραγματοποιεί λήψη του ιού τύπου Trojan Backdoor:W32/Berbew. Το Backdoor:W32/Berbew είναι επίσης γνωστό ως Backdoor-AXJ, Webber ή Padodor. Όταν αυτό το πρόγραμμα Trojan εκτελείται στον υπολογιστή του χρήστη, πραγματοποιεί πολλές ενέργειες, συμπεριλαμβανομένων των εξής:

Παρακολουθεί την πρόσβαση στο Internet. Όταν ο χρήστης επισκεφθεί μία από τις πολλές τοποθεσίες χρηματοοικονομικών υπηρεσιών ή ISP στο Web, ο ιός Trojan καταγράφει ευαίσθητες πληροφορίες, όπως ονόματα σύνδεσης, κωδικούς πρόσβασης και άλλα εμπιστευτικά στοιχεία. Στη συνέχεια, ο ιός Trojan στέλνει τις πληροφορίες αυτές σε ένα διακομιστή Web για να τις ανακτήσει ο συντάκτης του ιού Trojan. Εγκαθιστά ένα διακομιστή μεσολάβησης, ο οποίος ρυθμίζει τις παραμέτρους του υπολογιστή του χρήστη για να χρησιμοποιηθεί για αναμετάδοση ενεργειών, όπως η αποστολή ανεπιθύμητης αλληλογραφίας.
Ανοίγει ψευδή παράθυρα διαλόγου που ζητούν από το χρήστη να εισαγάγει εμπιστευτικές πληροφορίες, όπως κωδικούς καρτών ATM ή αριθμούς πιστωτικών καρτών. Στη συνέχεια, οι πληροφορίες αυτές αποστέλλονται σε ένα διακομιστή Web, για να τις ανακτήσει ο συντάκτης του ιού Trojan.

Η Microsoft έχει κυκλοφορήσει ένα εργαλείο για την κατάργηση των παραλλαγών του ιού τύπου Trojan Backdoor:W32/Berbew από τον υπολογιστή σας. Μπορείτε να κάνετε λήψη αυτού του εργαλείου από το Κέντρο λήψης της Microsoft και να το εκτελέσετε στον υπολογιστή σας, για να καταργήσετε τους ιούς Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C και Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G και Backdoor:W32/Berbew.H.Τεχνικές ενημερωμένες εκδόσεις

8 Φεβρουαρίου 2005: Η Microsoft αντικατέστησε αυτό το εργαλείο με το Εργαλείο αφαίρεσης κακόβουλου λογισμικού των Microsoft Windows (Microsoft Windows Malicious Software Removal Tool).
Για πρόσθετες πληροφορίες σχετικά με το Εργαλείο αφαίρεσης κακόβουλου λογισμικού (Malicious Software Removal Tool), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

890830 Το Εργαλείο αφαίρεσης κακόβουλου λογισμικού των Microsoft Windows (Microsoft Windows Malicious Software Removal Tool) βοηθά στην κατάργηση συγκεκριμένου και υπερισχύοντος κακόβουλου λογισμικού από υπολογιστές που εκτελούν τον Windows Server 2003, τα Windows XP ή τα Windows 2000
14 Ιουλίου 2004: ενημερώθηκαν οι ενότητες "Περίληψη", "Προτεινόμενη αντιμετώπιση" και "Πληροφορίες χρήσης".
13 Ιουλίου 2004: Η Microsoft κυκλοφόρησε την έκδοση 1.0 του εργαλείου εντοπισμού και κατάργησης φορτίου Download.Ject στο Κέντρο λήψης της Microsoft (Microsoft Download Center). Η έκδοση 1.0 εντοπίζει και καταργεί όλες τις γνωστές παραλλαγές (A έως H) του ιού τύπου Trojan Backdoor:W32/Berbew.

Συμπτώματα

Ίσως να αντιμετωπίσετε ένα ή περισσότερα από τα παρακάτω συμπτώματα:

Οι επιδόσεις του υπολογιστή μειώνονται ή η σύνδεση δικτύου είναι αργή.
Εμφανίζονται μηνύματα ή παράθυρα διαλόγου που ζητούν αριθμούς ασφαλείας ATM και πληροφορίες πιστωτικών καρτών, όταν επισκέπτεστε ορισμένες τοποθεσίες ηλεκτρονικών χρηματοοικονομικών υπηρεσιών και ISP στο Web.

Αιτία

Αυτή η συμπεριφορά προκύπτει επειδή ο υπολογιστής σας έχει μολυνθεί από τον ιό τύπου Trojan Backdoor:W32/Berbew. Ο ιός Backdoor:W32/Berbew μεταδίδεται από τον ιό Trojan Download.Ject. Για περισσότερες πληροφορίες σχετικά με τον τρόπο εξακρίβωσης αν ο υπολογιστής σας έχει μολυνθεί από μια παραλλαγή του Backdoor:W32/Berbew, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):

http://www.microsoft.com/security/incident/Download_Ject.mspx

Προτεινόμενη αντιμετώπιση

Ένα λογισμικό αντιμετώπισης ιών με ενημερωμένες υπογραφές θα βοηθήσει στην αποτροπή μόλυνσης του υπολογιστή σας από τον ιό τύπου Trojan Backdoor:W32/Berbew.

Σημαντικό Επίσης προτείνουμε να χρησιμοποιείτε ένα τείχος προστασίας για το Internet, καθώς και ένα πρόγραμμα εντοπισμού ιών με ενημερωμένες υπογραφές, και να διατηρείτε ενημερωμένα τα Windows και τα προγράμματά σας.

Για πρόσθετες πληροφορίες σχετικά με τον τρόπο αποφυγής των ιών και τον τρόπο αποκατάστασης έπειτα από προσβολή από ιό, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

129972 Ιοί υπολογιστών: περιγραφή, πρόληψη και αποκατάσταση

Πληροφορίες λήψης και εγκατάστασης

Προϋποθέσεις

Για το εργαλείο εντοπισμού και κατάργησης φορτίου του Download.Ject υπάρχουν οι ακόλουθες προϋποθέσεις:

Ο υπολογιστής σας πρέπει να εκτελεί το Windows 2000 SP2 ή νεότερη έκδοση ή μια έκδοση 32 bit των Microsoft Windows XP.
Πρέπει να συνδεθείτε ως διαχειριστής του υπολογιστή ή ως μέλος της ομάδας Administrators.

Για πρόσθετες πληροφορίες σχετικά με τον τρόπο προσδιορισμού της έκδοσης 32 bit ή 64 bit των Windows XP που εκτελείται στον υπολογιστή σας, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

827218 Τρόπος καθορισμού της έκδοσης 32-bit ή 64-bit των Windows XP που εκτελείται στον υπολογιστή σας

Εάν δεν πληρούνται αυτές οι προϋποθέσεις, η εγκατάσταση αποτυγχάνει και εμφανίζεται ένα μήνυμα λάθους. Για περισσότερες πληροφορίες σχετικά με αυτό το μήνυμα λάθους, προβάλετε το παρακάτω αρχείο καταγραφής:

%Windir%\Debug\Berbcln.logΕπιπλέον, συνιστάμε να εγκαταστήσετε την ενημερωμένη έκδοση των Windows για να απενεργοποιήσετε το αντικείμενο ADODB.stream στον Internet Explorer, πριν να εκτελέσετε το εργαλείο κατάργησης. Παρόλο που το εργαλείο κατάργησης θα καταργήσει τον ιό τύπου Trojan από υπολογιστές που έχουν προσβληθεί, δεν θα αποτρέψει νέα μόλυνση, εάν ο υπολογιστής σας εξακολουθεί να είναι ευάλωτος. Εγκαθιστώντας την κρίσιμη ενημερωμένη έκδοση, μπορείτε να βοηθήσετε να αποτραπούν πρόσθετες λήψεις κώδικα που έχει δημιουργηθεί με κακοπροαίρετη πρόθεση από διακομιστή που έχει μολυνθεί από τον ιό Download.Ject.

Για πρόσθετες πληροφορίες σχετικά με την ενημερωμένη έκδοση των Windows για την απενεργοποίηση του αντικειμένου ADODB.stream, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

870669 Τρόπος απενεργοποίησης του αντικειμένου ADODB.Stream από τον Internet Explorer

Απαιτήσεις επανεκκίνησης

Δεν χρειάζεται να ξεκινήσετε πάλι τον υπολογιστή σας, μετά την εγκατάσταση αυτού του εργαλείου.

Πληροφορίες χρήσης

Σημαντικό Πριν να ακολουθήσετε αυτά τα βήματα, βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας για όλα τα σημαντικά δεδομένα σας.

Όταν εγκαταστήσετε το εργαλείο εντοπισμού και κατάργησης φορτίου του Download.Ject και αποδεχθείτε την Άδεια Χρήσης Τελικού Χρήστη (End-User License Agreement - EULA), το πακέτο εγκατάστασης θα εξαγάγει το αρχείο Berbcln.exe σε προσωρινό φάκελο και κατόπιν θα εκτελεστεί το εργαλείο κατάργησης. Το εργαλείο κατάργησης επαληθεύει αν ο υπολογιστής σας πληροί τις προϋποθέσεις που αναφέρονται στην ενότητα Προϋποθέσεις. Εάν πληρούνται αυτές οι προϋποθέσεις, το εργαλείο κατάργησης πραγματοποιεί τις εξής ενέργειες:

Το εργαλείο εξετάζει τα εξής δευτερεύοντα κλειδιά μητρώου για καταχωρήσεις που πρόσθεσε ο ιός τύπου Trojan:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
- HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
Το εργαλείο αναζητά στη μνήμη ενδείξεις του κύριου στοιχείου του ιού τύπου Trojan Backdoor:Win32/Berbew. Εάν το εργαλείο κατάργησης εντοπίσει τέτοιες ενδείξεις, η διαδικασία τερματίζεται.
Το εργαλείο αναζητά τα εξής αρχεία δεδομένων που δημιούργησε ο ιός τύπου Trojan. Τα αρχεία αυτά μπορεί να περιέχουν ευαίσθητα προσωπικά δεδομένα. Το εργαλείο διαγράφει τα αρχεία αυτά.

Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat
Το εργαλείο διαγράφει όλα τα αρχεία που σχετίζονται με τον ιό τύπου Trojan Backdoor:W32/Berbew. Τα αρχεία αυτά εντοπίστηκαν στα βήματα 1 και 2.
Το εργαλείο καταργεί τις καταχωρήσεις μητρώου που εντόπισε στο βήμα 1. Εάν μια τιμή μητρώου Berbew δεν αναφέρεται πλέον σε αρχείο του σκληρού δίσκου, το εργαλείο κατάργησης δεν καταργεί την "ορφανή" τιμή μητρώου, επειδή η τιμή μητρώου δεν θα προκαλέσει καμία βλάβη, εάν το συσχετισμένο αρχείο δεν υπάρχει στον σκληρό δίσκο.
Ως μέρος του τρόπου λειτουργίας του, ο ιός τύπου Trojan εκτελεί δύο περιόδους λειτουργίας του Microsoft Internet Explorer σε κρυφά παράθυρα. Τα παράθυρα αυτά προσπαθούν να συνδεθούν με τοποθεσίες Web κακόβουλων χρηστών. Η πρώτη περίοδος λειτουργίας προσπαθεί να στείλει κλεμμένα προσωπικά δεδομένα και η άλλη περίοδος λειτουργίας αναζητά ενημερωμένες εκδόσεις λογισμικού για τον ιό τύπου Trojan. Εάν το εργαλείο εντοπίσει τον ιό τύπου Trojan Backdoor:W32/ Berbew στον υπολογιστή, το εργαλείο τερματίζει όλες τις περιόδους λειτουργίας του Internet Explorer που εκτελούνται τη συγκεκριμένη στιγμή.

Το εργαλείο εμφανίζει ένα μήνυμα που περιγράφει το αποτέλεσμα της διαδικασίας εντοπισμού και κατάργησης. Η ακόλουθη λίστα περιέχει τα μηνύματα που ίσως εμφανιστούν και εξηγεί τη σημασία τους.

Μήνυμα	Σημασία
No infection detected	Ο ιός τύπου Trojan Backdoor:Win32/Berbew δεν εντοπίστηκε στον υπολογιστή σας.
Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.	Ο ιός τύπου Trojan Backdoor:Win32/Berbew καταργήθηκε. Δεν απαιτούνται πρόσθετες ενέργειες.
This tool must be run by an administrator.	Πρέπει να αποσυνδεθείτε και να συνδεθείτε ξανά ως διαχειριστής.
Fatal error, please review log file.	Ανατρέξτε στον κατάλογο %Windir%\Debug\Berbcln.log για περισσότερες λεπτομέρειες.
Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.	Δοκιμάστε να εκτελέσετε ξανά το εργαλείο και ελέγξτε το αρχείο καταγραφής για σφάλματα.
This tool requires Windows 2000 or Windows XP.	Αυτό το εργαλείο υποστηρίζεται μόνο στις εκδόσεις Windows 2000 και Windows XP.
Incorrect Windows version (Win32s)	Αυτό το εργαλείο δεν υποστηρίζεται στα Windows 3.1 με Win32s.

Όταν κλείσετε το παράθυρο του μηνύματος, το εργαλείο κατάργησης τερματίζεται και το αρχείο Berbcln.exe διαγράφεται από τον προσωρινό φάκελο. Μπορείτε τώρα να διαγράψετε το αρχείο Windows-KB873018-ENU-V1.exe με μη αυτόματο τρόπο.

Το εργαλείο κατάργησης δημιουργεί ένα αρχείο καταγραφής που ονομάζεται Berbcln.log στο φάκελο %Windir%\Debug. Μπορείτε να προβάλετε αυτό το αρχείο καταγραφής, για να προσδιορίσετε αν εντοπίστηκαν και καταργήθηκαν μολύνσεις από το Backdoor:W32/Berbew.gen.

Διακόπτες γραμμής εντολών

Το πρόγραμμα εγκατάστασης του εργαλείου κατάργησης υποστηρίζει τους ακόλουθους διακόπτες γραμμής εντολών:

/Q – Χρήση εγκατάστασης χωρίς μηνύματα ή απόκρυψη μηνυμάτων κατά την εξαγωγή των αρχείων.
/Q:U - Χρήση εγκατάστασης χωρίς μηνύματα χρήστη. Κατά την εγκατάσταση χωρίς μηνύματα χρήστη, εμφανίζονται ορισμένα παράθυρα διαλόγου στο χρήστη.
/Q:A - Χρήση εγκατάστασης χωρίς μηνύματα διαχειριστή. Κατά την εγκατάσταση χωρίς μηνύματα διαχειριστή δεν εμφανίζεται κανένα παράθυρο διαλόγου στο χρήστη.
/T:
διαδρομή – Καθορίστε τη θέση του προσωρινού φακέλου που χρησιμοποιείται από το πρόγραμμα Εγκατάστασης (Setup) του εργαλείου εντοπισμού και κατάργησης φορτίου του Download.Ject ή καθορίστε το φάκελο προορισμού για την εξαγωγή των αρχείων (όταν αυτός ο διακόπτης χρησιμοποιείται μαζί με το διακόπτη /C).
/C - Εξαγωγή των αρχείων χωρίς εγκατάσταση. Εάν ο διακόπτης /T:
διαδρομή δεν καθοριστεί, θα σας ζητηθεί να καθορίσετε ένα φάκελο προορισμού.
/C:
cmd – Καθορίστε τη διαδρομή και το όνομα ενός άλλου αρχείου Setup.inf ή ενός αρχείου .exe που θα χρησιμοποιηθεί για την εγκατάσταση του εργαλείου.
/R:N - Να μην γίνεται ποτέ επανεκκίνηση του υπολογιστή μετά την εγκατάσταση.
/R:I - Προτροπή του χρήστη να κάνει επανεκκίνηση του υπολογιστή, εάν απαιτείται, εκτός από την περίπτωση που αυτός ο διακόπτης χρησιμοποιείται μαζί με το διακόπτη /Q:A.
/R:A - Να γίνεται πάντα επανεκκίνηση του υπολογιστή μετά την εγκατάσταση.
/R:S - Επανεκκίνηση του υπολογιστή μετά την εγκατάσταση, χωρίς να ζητείται η έγκριση του χρήστη.

Για πρόσθετες πληροφορίες σχετικά με τους υποστηριζόμενους διακόπτες εγκατάστασης, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

197147 Διακόπτες γραμμής εντολών για τα πακέτα ενημερωμένων εκδόσεων λογισμικού IExpress

Το εργαλείο κατάργησης υποστηρίζει τους εξής διακόπτες γραμμής εντολών:

/S - Ενεργοποίηση της κατάστασης λειτουργίας χωρίς μηνύματα για το εργαλείο. Αυτός ο διακόπτης αποκρύπτει το παράθυρο διαλόγου κατάστασης μόλυνσης που εμφανίζεται μετά την εκτέλεση του εργαλείου.

Πληροφορίες κατάργησης

Το αρχείο Berbcln.exe διαγράφεται αυτόματα από την προσωρινή του θέση μετά την εκτέλεση του εργαλείου κατάργησης. Μπορείτε να διαγράψετε το πακέτο προγράμματος εγκατάστασης του εργαλείου μετά την εγκατάσταση του εργαλείου κατάργησης.

Σημείωση Μετά την εγκατάσταση του εργαλείου εντοπισμού και κατάργησης φορτίου του Download.Ject, το εργαλείο δεν εμφανίζεται στη λίστα
Εγκατεστημένα προγράμματα (Installed programs) του εργαλείου "Προσθαφαίρεση προγραμμάτων" (Add/Remove Programs) του Πίνακα Ελέγχου (Control Panel).