*** Злоумышленники, создатели порноинформеров и sms-вымогателей, продолжают свое триумфальное шествие по Сети. Недавно активизировался ещё один порноинформер. Вот он, во всей своей красе:
Этот порноинформер является типичным трояном – sms-вымогателем. Распространением вируса занимаются варезные, халявные и порноресурсы (самый активный из них – 3pic.com).
*** Как происходит заражение Самостоятельно порноинформер не устанавливается, установку осуществляет пользователь, кликнувший по ссылке порноинформера и санкционировавший установку (при этом предлагается установить какое-нибудь обновление или программу, например, обновлённую версию медиаплейера или скачать кодеки, или скачать бесплатно порно).
*** Симптомы заражения На заражённом ПК после запуска (или перезагрузки) появляется – поверх всех остальных окон – непотопляемое окно порноинформера (размером 798x551) с сообщением «Спасибо за установку нашего информера 3pic.com. Для удаления информера необходимо отправить SMS по указанному ниже номеру и ввести код удаления. Стоимость SMS можно узнать на сайте sms-price.ru. Отправьте SMS с текстом 1101064 на номер 5121. Введите полученный код…». А ниже – приписочка мелким шрифтом – «Для удаления информера необходимо отправить отправить 2SMS».
Так как окно порноинформера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно. При этом не удаётся запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows.
Штатным способом (посредством кнопки Пуск –> Выключить компьютер…) ПК нельзя ни выключить, ни перезагрузить (при этом в журнале событий Windows появляются записи «Попытка Выключение питания <Имя_компьютера> не удалась», «Попытка Перезагрузка <Имя_компьютера> не удалась»).
*** Деструктивные действия вируса При заражении системы вирус копирует в папку \Temp\ файлы ammde.exe (36 864 байт. Может иметь имя xtCi6.exe) и updates.exe (40 448 байт); – в папку \Documents and Settings\All Users\ копируются файлы systems.exe (390 656 байт; основной файл вируса. Может иметь имя fjCVqN.exe) и IEXPLORE.EXE (91 136 байт. Этот файл удаляет штатный веб-обозреватель IEXPLORE.EXE, расположенный в папке \Program Files\Internet Explorer\IEXPLORE.EXE, и подменяет его);
– в разделе Реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] вирус создаёт строковый (REG_SZ) параметр Shell со значением C:\Documents and Settings\All Users\systems.exe; – после загрузки ПК на экран монитора выводится окно порнобаннера, который своей раздражающей назойливостью провоцирует пользователя отправить 2 sms на указанный номер; – вирус отключает сетевые подключения; – …
*** Что представляет собой вирус порно-баннера Исполняемые (Portable Executable) файлы вируса предназначены для 32-битной платформы ОС Windows с процессором x86. Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
*** Как ликвидировать порнобаннер вручную и устранить последствия вирусной атаки Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.
1. Отключитесь от Интернета и от локальной сети; – так как вирус не позволяет перезагрузиться посредством кнопки Пуск, нажмите кнопку Reset; – при загрузке/перезагрузке ПК нажмите клавишу F8 (если появится окно выбора Boot Device, выберите жёсткий диск, на котором установлена ОС, нажмите Enter, потом F8); – в Меню дополнительных вариантов загрузки Windows при помощи клавиш со стрелками выберите Безопасный режим; – выберите нужную учётную запись; – в окне Рабочий стол с сообщением, что Windows работает в Безопасном режиме, нажмите Да (если вы нажмёте кнопку Нет, запустится программа восстановления системы);
2. – так как у файла systems.exe установлен атрибут Скрытый, чтобы найти его: – откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки); – в открывшемся диалоговом окне Свойства папки откройте вкладку Вид; – в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK;
3. – откройте папку \Documents and Settings\All Users\; – удалите файлы systems.exe и IEXPLORE.EXE; – в папке \Temp\ удалите файлы ammde.exe и updates.exe;
4. – нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK; – раскройте раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]; – удалите строковый (REG_SZ) параметр Shell со значением C:\Documents and Settings\All Users\systems.exe; – раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe); – проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,); – закройте Редактор реестра;
5. – нажмите Пуск –> Настройка –> Панель управления –> Свойства обозревателя; – в окне Свойства обозревателя откройте вкладку Общие;
– смените стартовую страницу 3pic.com на используемую вами; – нажатием на соответствующую кнопку удалите cookies; – очистите кэш интернет-файлов; – в разделе Журнал нажмите кнопку Очистить –> OK;
6. – восстановите штатный обозреватель Internet Explorer: – поместите в дисковод установочный диск; – нажмите Пуск –> Выполнить… –> в поле Открыть введите cmd –> OK; – в окне Интерпретатор команд введите следующие команды <буква_CD/DVD-привода>: cd <Enter> expand <буква_CD/DVD-привода>:\I386\IEXPLORE.EX_ "C:\Program Files\Internet Explorer\IEXPLORE.EXE"; – закройте окно Интерпретатора команд;
7. – включите сетевое подключение: – нажмите Пуск –> Настройка –> Сетевые подключения –> Подключения по локальной сети; – правой кнопкой мыши вызовите контекстное меню –> Включить;
8. – для предотвращения повторного заражения отключите восстановление системы (или вручную очистите папку System Volume Information);
9. – перезагрузите ПК; – включите восстановление системы.
Примечания 1. Для лечения можно также воспользоваться загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander. 2. Не следует посылать sms по указанным номерам, – ответа вы не получите, просто подарите деньги вымогателям, создавшим информер. По свидетельству тех, кому «посчастливилось» подцепить порноинформер, стоимость одной sms составляет до 300 р. 3. Порноинформер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», или порно, и санкционировать установку… 4. Антивирус и брандмауэр в таких случаях не помогут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – её нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)! 5. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы! 6. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 7. Почаще делайте резервное копирование важной информации.
Валерий Сидоров
*** • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2018. All rights reserved.
Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.