Злоумышленники, создатели порно-информеров и sms-вымогателей, продолжают свое триумфальное шествие по Сети.

Недавно активизировался еще один порно-информер. Вот он, во всей своей красе:

Этот порно-информер является типичным трояном – sms-вымогателем.

Распространением вируса занимаются варезные, халявные и порно-ресурсы (самый активный из них – 3pic.com).

***

Как происходит заражение

Самостоятельно порно-информер не устанавливается, установку осуществляет пользователь, кликнувший по ссылке порно-информера и санкционировавший установку (при этом предлагается установить какое-нибудь обновление или программу, например, обновленную версию медиа-плеера или скачать кодеки, или скачать бесплатно порно).

***

Симптомы заражения

На зараженном ПК после запуска (или перезагрузки) появляется – поверх всех остальных окон – непотопляемое окно порно-информера (размером 798x551) с сообщением «Спасибо за установку нашего информера 3pic.com. Для удаления информера необходимо отправить SMS по указанному ниже номеру и ввести код удаления. Стоимость SMS можно узнать на сайте sms-price.ru. Отправьте SMS с текстом 1101064 на номер 5121. Введите полученный код…».

А ниже – приписочка мелким шрифтом – «Для удаления информера необходимо отправить отправить 2SMS».

Так как окно порно-информера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно.

При этом не удается запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows.

Штатным способом (посредством кнопки Пуск –> Выключить компьютер…) ПК нельзя ни выключить, ни перезагрузить (при этом в журнале событий Windows появляются записи «Попытка Выключение питания <Имя_компьютера> не удалась», «Попытка Перезагрузка <Имя_компьютера> не удалась»).

***

Деструктивные действия вируса

При заражении системы вирус копирует в папку \Temp\ файлы ammde.exe (36 864 байт. Может иметь имя xtCi6.exe) и updates.exe (40 448 байт);

– в папку \Documents and Settings\All Users\ копируются файлы systems.exe (390 656 байт; основной файл вируса. Может иметь имя fjCVqN.exe) и IEXPLORE.EXE (91 136 байт. Этот файл удаляет штатный веб-обозреватель IEXPLORE.EXE, расположенный в папке \Program Files\Internet Explorer\IEXPLORE.EXE, и подменяет его);

– в разделе Реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] вирус создает строковый (REG_SZ) параметр Shell со значением C:\Documents and Settings\All Users\systems.exe;

– после загрузки ПК на экран монитора выводится окно порно-баннера, который своей раздражающей назойливостью провоцирует пользователя отправить 2 sms на указанный номер;

– вирус отключает сетевые подключения;

– …

***

Что представляет собой вирус порно-баннера

Исполняемые (Portable Executable) файлы вируса предназначены для 32-битной платформы ОС Windows с процессором x86.

Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

***

Как идентифицируют порно-баннер антивирусы

• Файл systems.exe:

– a-squared – Trojan.Win32.Ransom!IK;

– Avast – Win32:Malware-gen;

– AVG – Cryptic.LZ;

– CAT-QuickHeal – DNAScan;

– DrWeb – Trojan.Winlock.1563;

– eSafe – Win32.NewMalware.Ko;

– GData – Win32:Malware-gen;

– Ikarus – Trojan.Win32.Ransom;

– McAfee – New Malware.ko;

– Microsoft – Trojan:Win32/Ransom.AJ;

– NOD32 – Win32/Delf.PFH;

– Panda – Trj/CI.A;

– PCTools – HeurEngine.ZeroDayThreat;

– Rising – Trojan.Win32.Generic.52030944;

– Sophos – Sus/UnkPack-C;

– Sunbelt – Trojan.Win32.Generic!BT;

– Symantec – Suspicious.Graybird.1.

• Файл IEXPLORE.EXE:

– Antiy-AVL – Trojan/Win32.Patched.gen;

– Symantec – WS.Reputation.1.

• Файл ammde.exe:

– Comodo – Heur.Packed.Unknown;

– Microsoft – TrojanDropper:Win32/Oficla.G;

– NOD32 – a variant of Win32/Kryptik.EFH.

• Файл updates.exe:

– a-squared – Trojan.Win32.Agent!IK;

– AhnLab-V3 – Win-Trojan/Agent.40448.LQ;

– AntiVir – TR/Crypt.XPACK.Gen;

– Avast – Win32:Rootkit-gen;

– AVG – Crypt.VDK;

– BitDefender – Trojan.Generic.3856665;

– Comodo – TrojWare.Win32.Trojan.Agent.Gen;

– DrWeb – Trojan.Inject.8402;

– eSafe – Win32.TrojanAgent.Be;

– F-Secure – Trojan:W32/Agent.DJDW;

– GData – Trojan.Generic.3856665;

– Ikarus – Trojan.Win32.Agent;

– Kaspersky – Trojan.Win32.Obfuscated.ajyf;

– McAfee – Generic.dx!spw;

– Microsoft – Trojan:Win32/Agent.BE;

– NOD32 – Win32/Kryptik.EBK.Gen;

– Norman – W32/Agent.USUO;

– nProtect – Trojan.Generic.3851551;

– Panda – Trj/CI.A;

– Prevx – High Risk Cloaked Malware;

– Sophos – Mal/Generic-L;

– Sunbelt – Trojan.Win32.Agent;

– Symantec – Trojan.FakeAV!gen27;

– TrendMicro – TROJ_INJECT.AMW.

***

Как ликвидировать порно-баннер вручную и устранить последствия вирусной атаки

Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.

1. Отключитесь от Интернета и от локальной сети;

– так как вирус не позволяет перезагрузиться посредством кнопки Пуск, нажмите кнопку Reset;

– при загрузке/перезагрузке ПК нажмите клавишу F8 (если появится окно выбора Boot Device, выберите жесткий диск, на котором установлена ОС, нажмите Enter, потом F8);

– в Меню дополнительных вариантов загрузки Windows при помощи клавиш со стрелками выберите Безопасный режим;

– выберите нужную учетную запись;

– в окне Рабочий стол с сообщением, что Windows работает в Безопасном режиме, нажмите Да (если вы нажмете кнопку Нет, запустится программа восстановления системы);

2. – так как у файла systems.exe установлен атрибут Скрытый, чтобы найти его:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK;

3. – откройте папку \Documents and Settings\All Users\;

– удалите файлы systems.exe и IEXPLORE.EXE;

– в папке \Temp\ удалите файлы ammde.exe и updates.exe;

4. – нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– раскройте раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];

– удалите строковый (REG_SZ) параметр Shell со значением C:\Documents and Settings\All Users\systems.exe;

– закройте Редактор реестра;

5. – нажмите Пуск –> Настройка –> Панель управления –> Свойства обозревателя;

– в окне Свойства обозревателя откройте вкладку Общие;

– смените стартовую страницу 3pic.com на используемую вами;

– нажатием на соответствующую кнопку удалите cookies;

– очистите кэш интернет-файлов;

– в разделе Журнал нажмите кнопку Очистить –> OK;

6. – восстановите штатный обозреватель Internet Explorer:

– поместите в дисковод установочный диск;

– нажмите Пуск –> Выполнить… –> в поле Открыть введите cmd –> OK;

– в окне Интерпретатор команд введите следующие команды

<буква_CD/DVD-привода>: cd <Enter>

expand <буква_CD/DVD-привода>:\I386\IEXPLORE.EX_ "C:\Program Files\Internet Explorer\IEXPLORE.EXE";

– закройте окно Интерпретатора команд;

7. – включите сетевое подключение:

– нажмите Пуск –> Настройка –> Сетевые подключения –> Подключения по локальной сети;

– правой кнопкой мыши вызовите контекстное меню –> Включить;

8. – для предотвращения повторного заражения отключите восстановление системы (или вручную очистите папку System Volume Information);

9. – перезагрузите ПК;

– включите восстановление системы.

Примечания

1. Для лечения можно также воспользоваться загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander.

2. Не следует посылать sms по указанным номерам, – ответа вы не получите, просто подарите деньги вымогателям, создавшим информер. По свидетельству тех, кому «посчастливилось» подцепить порно-информер, стоимость одной sms составляет до 300 р.

3. Порно-информер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», или порно, и санкционировать установку…

4. Антивирус и брандмауэр в таких случаях не помогут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!

5. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

6. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

7. Почаще делайте резервное копирование важной информации.

Валерий Сидоров

***

• Очередной лохотрон, или Чьи скачки «В СКАЧКЕ»?..

• Как избавиться от порно-информера?

• Знакомьтесь: CMedia и FieryAds – очередные порно-sms-вымогатели

• Что делать, если недоступен пункт меню «Свойства папки»?

• Что делать, если после лечения от вирусов не открывается флешка?

• Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?

• Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?

• Как восстановить загрузку Windows в Безопасном режиме?