Путеводитель по сайту

Что за вирус 0OBeB.exe, или 46-й пошёл!..

 

 

***

Что за вирус 0OBeB.exe, или 46-й пошёл!..

В последнее время часто встречается вирус, исполняемые файлы которого имеют названия 0OBeB.exe и 46.com.

Исследование показало, что вирус является трояном-кейлоггером, предназначенным для 32-битной платформы ОС Windows с процессором x86.

Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

 

Антивирусы так идентифицируют зловреда:

AvastWin32:VB-OIK;

AVGCrypt.MXH;

BitDefenderTrojan.Generic.3105039;

DrWebWin32.HLLW.MyBot;

F-SecureTrojan.Generic.3105039;

KasperskyTrojan.Win32.Buzus.daqq;

NOD32Win32/Injector.ARI;

PandaTrj/Buzus.AH;

SymantecSuspicious.Insight;

TrendMicroTROJ_DROPPER.PDO;

VBA32SScope.Trojan.VB.100.

 

 

***

Деструктивные действия вируса

При заражении системы вирус копирует в папку Temp файл 0OBeB.exe (86 016 байт);

– для маскировки (ведь расширения файлов по умолчанию не отображаются!) файл 0OBeB.exe имеет стандартный значок, который обычно применяется для обозначения графических файлов;

– в папке \WINDOWS\system32 вирус создаёт файл 46.com (точная копия файла 0OBeB.exe; 86 016 байт);

 

Что за вирус 0OBeB.exe, или 46-й пошёл!..

 

– в папке \WINDOWS\system32 вирус создаёт файл 46 (без расширения) – текстовый лог-файл, в который записываются все нажатия клавиш клавиатуры (лог-файл кейлоггера);

– в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] вирус создаёт строковый (REG_SZ) параметр explorer со значением C:\WINDOWS\System32\46.com...;

 

Что за вирус 0OBeB.exe, или 46-й пошёл!..

 

– в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CB87AF00-6FEA-FB04-EF19-ACAB3CAAB786}] вирус создает строковый (REG_SZ) параметр StubPath со значением C:\WINDOWS\System32\46.com;

– после автозапуска (при старте системы) вирус скрытно запускает веб-обозреватель IEXPLORE.EXE и внедряется в его процесс, занимая 5816КБ ОЗУ;

– при этом в папке \WINDOWS\Prefetch вирус создает файл IEXPLORE.EXE-********.pf;

– при попытке выгрузить IEXPLORE.EXE с помощью Диспетчера Задач через небольшой промежуток времени он запускается снова;

 

Что за вирус 0OBeB.exe, или 46-й пошёл!..

 

– пытаясь передать собранную информацию, вирус генерирует весьма ощутимый паразитный трафик.

 

 

 

 

***

Как ликвидировать вирус и устранить последствия вирусной атаки

Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.

 

Самый простой способ лечения – загрузиться в Безопасном Режиме (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);

– в папке \WINDOWS\system32 удалите файлы 46.com и 46 (без расширения);

– в папке \WINDOWS\Prefetch удалите файл IEXPLORE.EXE-********.pf;

– в папке Temp удалите файл 0OBeB.exe;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковый (REG_SZ) параметр explorer со значением C:\WINDOWS\System32\46.com...;

– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CB87AF00-6FEA-FB04-EF19-ACAB3CAAB786}], удалите строковый (REG_SZ) параметр StubPath со значением C:\WINDOWS\System32\46.com;

– закройте Редактор реестра;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– для предотвращения повторного заражения отключите восстановление системы (или вручную очистите папку System Volume Information);

– очистите кэш интернет-файлов;

– перезагрузите ПК;

– включите восстановление системы.

 

 

Примечания

1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации.

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.