*** В последнее время часто встречается вирус, исполняемые файлы которого имеют названия 0OBeB.exe и 46.com. Исследование показало, что вирус является трояном-кейлоггером, предназначенным для 32-битной платформы ОС Windows с процессором x86. Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Антивирусы так идентифицируют зловреда: – Avast – Win32:VB-OIK; – AVG – Crypt.MXH; – BitDefender – Trojan.Generic.3105039; – DrWeb – Win32.HLLW.MyBot; – F-Secure – Trojan.Generic.3105039; – Kaspersky – Trojan.Win32.Buzus.daqq; – NOD32 – Win32/Injector.ARI; – Panda – Trj/Buzus.AH; – Symantec – Suspicious.Insight; – TrendMicro – TROJ_DROPPER.PDO; – VBA32 – SScope.Trojan.VB.100.
*** Деструктивные действия вируса При заражении системы вирус копирует в папку Temp файл 0OBeB.exe (86 016 байт); – для маскировки (ведь расширения файлов по умолчанию не отображаются!) файл 0OBeB.exe имеет стандартный значок, который обычно применяется для обозначения графических файлов; – в папке \WINDOWS\system32 вирус создаёт файл 46.com (точная копия файла 0OBeB.exe; 86 016 байт);
– в папке \WINDOWS\system32 вирус создаёт файл 46 (без расширения) – текстовый лог-файл, в который записываются все нажатия клавиш клавиатуры (лог-файл кейлоггера); – в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] вирус создаёт строковый (REG_SZ) параметр explorer со значением C:\WINDOWS\System32\46.com...;
– в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CB87AF00-6FEA-FB04-EF19-ACAB3CAAB786}] вирус создает строковый (REG_SZ) параметр StubPath со значением C:\WINDOWS\System32\46.com; – после автозапуска (при старте системы) вирус скрытно запускает веб-обозреватель IEXPLORE.EXE и внедряется в его процесс, занимая 5816КБ ОЗУ; – при этом в папке \WINDOWS\Prefetch вирус создает файл IEXPLORE.EXE-********.pf; – при попытке выгрузить IEXPLORE.EXE с помощью Диспетчера Задач через небольшой промежуток времени он запускается снова;
– пытаясь передать собранную информацию, вирус генерирует весьма ощутимый паразитный трафик.
*** Как ликвидировать вирус и устранить последствия вирусной атаки Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.
Самый простой способ лечения – загрузиться в Безопасном Режиме (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander); – в папке \WINDOWS\system32 удалите файлы 46.com и 46 (без расширения); – в папке \WINDOWS\Prefetch удалите файл IEXPLORE.EXE-********.pf; – в папке Temp удалите файл 0OBeB.exe;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK; – раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe); – проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,); – раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковый (REG_SZ) параметр explorer со значением C:\WINDOWS\System32\46.com...; – раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CB87AF00-6FEA-FB04-EF19-ACAB3CAAB786}], удалите строковый (REG_SZ) параметр StubPath со значением C:\WINDOWS\System32\46.com; – закройте Редактор реестра;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– для предотвращения повторного заражения отключите восстановление системы (или вручную очистите папку System Volume Information); – очистите кэш интернет-файлов; – перезагрузите ПК; – включите восстановление системы.
Примечания 1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы! 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 3. Почаще делайте резервное копирование важной информации.
Валерий Сидоров
*** • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2016. All rights reserved.
Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.