Skype virus trojan NgrBotНа днях, сотрудников накрыло лавиной сообщений из скайпа от контактов из списка… Как обнаружилось дальше это абсолютно новый вирус. Вирус выступает как дополнение к скайпу, при этом он сам себя активирует — что есть брешью в безопасности Skype. Так же он меняет некоторые системные файлы.

Пересылаемое сообщение выглядит так:

это новый аватар вашего профиля?)) http://goo.gl/…

При скачивании по ссылке загружается zip архив содержащий skype_04102012_image.exe В программе Skype среди дополнений появляются новые приложения с полным доступом, а лежат эти самые приложения в папке C:\Documents and settings\[Username]\Application data\, они с разными названиями, но все выглядят приблизительно так (симантек покусал парочку):


NgrBot
Так же наличие вируса в системе можно определить по ухудшению работы браузеров (тормозит загрузка сайтов) и по активным сетевым соединениям, которые можно увидеть выполнив команду

netstat -n -b

в командной строке Windows. В выводе видны запросы на 53й порт (DNS):

netstat_NgrBot

 

Удалить новый вирус из Skype можно пройдя следующие шаги (действительно для Windows XP, а для Windows 7 действия те же, но путь к каталогам другой):
Сразу хочу сказать, что переустановка Windows с форматированием HDD — решит проблему 100%, но кому оно хочется 8)

  1. После заражения системы первым делом нужно отключить интернет для предотвращения размножения трояна.
  2. Зайти в скайп. Настройки. Контроль доступа программного интерфейсаконтроль доступа программ
  3. Удаляем все лишние приложения.
  4. Идем в каталог C:\Documents and settings\[Username]\Application data\ и удаляем подозрительные .exe файлы.
  5. Чистим Temp директорию C:\Documents and settings\[Username]\Local settings\Temp, чистим корзину
  6. Далее следует просканировать систему антивирусом (нет не тем что уже установлен в системе) качаем (качать следует с не зараженного компьютера) утилиту Dr.Web CureIt! или еще лучше CureIt! beta 7.0 или Kaspersky Virus Removal Tool 2011.
  7. Если просканировать не удается можно использовать загрузочный диск Dr.Web Live CD (он позволяет проверить жесткий диск на вирусы до загрузки windows).
  8. Перезагружаем комп, меняем пароль на Skype. Проверяем еще раз все шаги (не остались ли симптомы), сканируем антивирусом систему

В Windows 7, вирус может быть в следующих разделах, проверьте их:
C:\Users\[Username]\AppData\Roaming
C:\Users\[Username]\AppData\

Еще вирус может прописывать себя в файлы восстановления системы. В таких случаях используйте CureIt! beta 7.0 — проверенно, убивает даже там!

Не лишним будет напомнить об обновлении Windows!

Несколько полезных ссылок:

Бесплатный антивирус касперского на пол года
Информация о вирусе от Dr.Web
Вариант лечения от Skype
Некоторые тех.сведения по вирусу
Статья на Хабре