| English version | Распечатать |
***
В последнее время часто встречается вирус, исполняемые файлы которого имеют названия 0OBeB.exe и 46.com.
Исследование показало, что вирус является трояном-кейлоггером, предназначенным для 32-битной платформы ОС Windows с процессором x86.
Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Антивирусы так идентифицируют зловреда:
– Avast – Win32:VB-OIK;
– AVG – Crypt.MXH;
– BitDefender – Trojan.Generic.3105039;
– DrWeb – Win32.HLLW.MyBot;
– F-Secure – Trojan.Generic.3105039;
– Kaspersky – Trojan.Win32.Buzus.daqq;
– NOD32 – Win32/Injector.ARI;
– Panda – Trj/Buzus.AH;
– Symantec – Suspicious.Insight;
– TrendMicro – TROJ_DROPPER.PDO;
– VBA32 – SScope.Trojan.VB.100.
***
Деструктивные действия вируса
При заражении системы вирус копирует в папку Temp файл 0OBeB.exe (86 016 байт);
– для маскировки (ведь расширения файлов по умолчанию не отображаются!) файл 0OBeB.exe имеет стандартный значок, который обычно применяется для обозначения графических файлов;
– в папке \WINDOWS\system32 вирус создаёт файл 46.com (точная копия файла 0OBeB.exe; 86 016 байт);
– в папке \WINDOWS\system32 вирус создаёт файл 46 (без расширения) – текстовый лог-файл, в который записываются все нажатия клавиш клавиатуры (лог-файл кейлоггера);
– в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] вирус создаёт строковый (REG_SZ) параметр explorer со значением C:\WINDOWS\System32\46.com...;
– в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CB87AF00-6FEA-FB04-EF19-ACAB3CAAB786}] вирус создает строковый (REG_SZ) параметр StubPath со значением C:\WINDOWS\System32\46.com;
– после автозапуска (при старте системы) вирус скрытно запускает веб-обозреватель IEXPLORE.EXE и внедряется в его процесс, занимая 5816КБ ОЗУ;
– при этом в папке \WINDOWS\Prefetch вирус создает файл IEXPLORE.EXE-********.pf;
– при попытке выгрузить IEXPLORE.EXE с помощью Диспетчера Задач через небольшой промежуток времени он запускается снова;
– пытаясь передать собранную информацию, вирус генерирует весьма ощутимый паразитный трафик.
***
Как ликвидировать вирус и устранить последствия вирусной атаки
Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.
Самый простой способ лечения – загрузиться в Безопасном Режиме (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);
– в папке \WINDOWS\system32 удалите файлы 46.com и 46 (без расширения);
– в папке \WINDOWS\Prefetch удалите файл IEXPLORE.EXE-********.pf;
– в папке Temp удалите файл 0OBeB.exe;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковый (REG_SZ) параметр explorer со значением C:\WINDOWS\System32\46.com...;
– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CB87AF00-6FEA-FB04-EF19-ACAB3CAAB786}], удалите строковый (REG_SZ) параметр StubPath со значением C:\WINDOWS\System32\46.com;
– закройте Редактор реестра;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– для предотвращения повторного заражения отключите восстановление системы (или вручную очистите папку System Volume Information);
– очистите кэш интернет-файлов;
– перезагрузите ПК;
– включите восстановление системы.
Примечания
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации.
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…