Skip to content


Trojan-Keylogger.WIN32.Fung

A więc dzisiaj zostałem podstępnie zaatakowany przez trojana o niepokojącej nazwie Fung ;)

Objawy są następujące:

Jak widać autorzy zrobili dwa byki w fałszywym alercie. Kliknięcie na ENABLE PROTECTION zabiera nas na stronę defender-review[dot]com (DO NOT ENTER THERE – SPYWARE INSTALLER!). Możemy stamtąd ściągnać fałszywy program antywirusowy który doinstaluje nam jeszcze więcej różnych programów szpiegowskich – do wyboru, do koloru.

Co ciekawe jest też druga wersja tego alertu na moim komputerze (także zabiera mnie w podróż na powyższą stronę):

Na sieci jest sporo informacji jak pozbyć się tego badziewia, między innymi (doczytaj do końca zanim zaczniesz eksperymentować):

    Znajdź te pliki i je usuń:

  • %UserProfile\Application Data\Google\sccmsk.dll
  • %UserProfile\Application Data\Google\mupd1_2_1165664.exe
  • %UserProfile\Application Data\Google\mupd1_2_1711951.exe
    Ściągnij i użyj jedno z następujących narzędzi:

  • Malwarebytes 1.30
  • Spybot 1.6.0
  • AVG 7.5
  • SpyDoctor 6.0

Oczywiście rzeczywistość nie jest już taka kolorowa – po przetestowaniu wszystkich powyższych (plus na dokładkę VISTOWEGO WIndows Defendera) trojan jak był w systemie tak jest. Najwyraźniej mam najnowszą wersję tego świństwa. Ciekawi mnie jedna sprawa – jak doszło do zainfekowania systemu. Na pewno stało się to dzisiaj, miałem dwie zwiechy Opery (9.60) -jedną po dodaniu jakiejś dziwnej aplikacji do FACEBOOK’a, drugą na jakiejś stronce z filmami we flashu. Podejrzewam że zostałem zainfekowany poprzez aktywną zawartość typu flash, być może pdf.

Aktualnie testuję program SPYNOMORE który znalazłem na stronce removeonline.com. Te wszystkie strony oferujące programy do wywalania spyware są nieco przerażające, no bo niby skąd mamy wiedzieć co ściągamy ?
Ale na to też znalazłem sposób, może nie na 100% pewny, ale lepszy rydz niż nic. Przed ściągnięciem czegokolwiek skądkolwiek (do czego mamy jakiekolwiek wątpliwości) polecam odwiedzenie strony Nortona i nakarmienie jej wątpliwym adresem. Jeżeli strona nie jest SECURE to radzę poszukać innej.

Ok, na chwilę obecną walka trwa, dam Wam znać jak się to zakończyło… Jak ktoś ma jakieś sugestię to proszę się podzielić – SPYNOMORE też nic nie wykrył i zaczynam czuć się nieswojo:D

Update: Najnowsza biblioteka malwarebytes znajduje to świństwo:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zfuexeh (Rootkit.Agent)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zfuexeh (Rootkit.Agent)

C:\Windows\System32\drivers\kmzb.sys (Rootkit.Agent)

prawdopodobnie fragment zfuexeh jest zmienny, podobnie jak kmzb, jednak możliwe że da się je wyszukać poprzez Date Modified ;)

Posted in TechBlog.


3 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

  1. hrbmx says

    zainstaluj vmware i spod jakiegoś obrazu serfuj jak nie potrafisz utrzymać odpowiedniego poziomu bezpieczeństwa na macierzystym systemie ;>

    I spraw sobie program który się zwie gmer – calkiem fajny …

  2. Siegfried says

    niezly ten gmer, dzieki!
    a co do poziomu bezpieczenstwa to jak napisalem, podejrzewam flasha albo spreparowany obrazek

  3. Siegfried says

    hmm nie dziel skory na niedzwiedziu – niby gmer fajny ale niestety podczas skanowania nastepuje TOTALNA zwiecha :D



Some HTML is OK

or, reply to this post via trackback.