Путеводитель по сайту

Очередной порно-sms-вымогатель, или Почём халявная «клубничка»?

 

 

***

Злоумышленники, создатели порноинформеров и sms-вымогателей, продолжают свое триумфальное шествие по Сети.

Недавно активизировался ещё один порноинформер. Вот он, во всей своей красе:

 

Очередной порно-sms-вымогатель, или Почём халявная «клубничка»?

 

Этот порноинформер является типичным трояном – sms-вымогателем.

Распространением вируса занимаются варезные, халявные и порноресурсы (самый активный из них – 3pic.com).

 

***

Как происходит заражение

Самостоятельно порноинформер не устанавливается, установку осуществляет пользователь, кликнувший по ссылке порноинформера и санкционировавший установку (при этом предлагается установить какое-нибудь обновление или программу, например, обновлённую версию медиаплейера или скачать кодеки, или скачать бесплатно порно).

 

***

Симптомы заражения

На заражённом ПК после запуска (или перезагрузки) появляется – поверх всех остальных окон – непотопляемое окно порноинформера (размером 798x551) с сообщением «Спасибо за установку нашего информера 3pic.com. Для удаления информера необходимо отправить SMS по указанному ниже номеру и ввести код удаления. Стоимость SMS можно узнать на сайте sms-price.ru. Отправьте SMS с текстом 1101064 на номер 5121. Введите полученный код…».

А ниже – приписочка мелким шрифтом«Для удаления информера необходимо отправить отправить 2SMS».

 

Так как окно порноинформера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно.

При этом не удаётся запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows.

 

Штатным способом (посредством кнопки Пуск –> Выключить компьютер…) ПК нельзя ни выключить, ни перезагрузить (при этом в журнале событий Windows появляются записи «Попытка Выключение питания <Имя_компьютера> не удалась», «Попытка Перезагрузка <Имя_компьютера> не удалась»).

 

***

Деструктивные действия вируса

При заражении системы вирус копирует в папку \Temp\ файлы ammde.exe (36 864 байт. Может иметь имя xtCi6.exe) и updates.exe (40 448 байт);

– в папку \Documents and Settings\All Users\ копируются файлы systems.exe (390 656 байт; основной файл вируса. Может иметь имя fjCVqN.exe) и IEXPLORE.EXE (91 136 байт. Этот файл удаляет штатный веб-обозреватель IEXPLORE.EXE, расположенный в папке \Program Files\Internet Explorer\IEXPLORE.EXE, и подменяет его);

 

Очередной порно-sms-вымогатель, или Почём халявная «клубничка»?

 

– в разделе Реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] вирус создаёт строковый (REG_SZ) параметр Shell со значением C:\Documents and Settings\All Users\systems.exe;

– после загрузки ПК на экран монитора выводится окно порнобаннера, который своей раздражающей назойливостью провоцирует пользователя отправить 2 sms на указанный номер;

– вирус отключает сетевые подключения;

– …

 

***

Что представляет собой вирус порно-баннера

Исполняемые (Portable Executable) файлы вируса предназначены для 32-битной платформы ОС Windows с процессором x86.

Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

 

 

***

Как ликвидировать порнобаннер вручную и устранить последствия вирусной атаки

Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.

 

1. Отключитесь от Интернета и от локальной сети;

– так как вирус не позволяет перезагрузиться посредством кнопки Пуск, нажмите кнопку Reset;

– при загрузке/перезагрузке ПК нажмите клавишу F8 (если появится окно выбора Boot Device, выберите жёсткий диск, на котором установлена ОС, нажмите Enter, потом F8);

– в Меню дополнительных вариантов загрузки Windows при помощи клавиш со стрелками выберите Безопасный режим;

– выберите нужную учётную запись;

– в окне Рабочий стол с сообщением, что Windows работает в Безопасном режиме, нажмите Да (если вы нажмёте кнопку Нет, запустится программа восстановления системы);

 

2. – так как у файла systems.exe установлен атрибут Скрытый, чтобы найти его:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK;

 

3. – откройте папку \Documents and Settings\All Users\;

– удалите файлы systems.exe и IEXPLORE.EXE;

– в папке \Temp\ удалите файлы ammde.exe и updates.exe;

 

4. – нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– раскройте раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];

удалите строковый (REG_SZ) параметр Shell со значением C:\Documents and Settings\All Users\systems.exe;

– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– закройте Редактор реестра;

 

5. – нажмите Пуск –> Настройка –> Панель управления –> Свойства обозревателя;

– в окне Свойства обозревателя откройте вкладку Общие;

 

Очередной порно-sms-вымогатель, или Почём халявная «клубничка»?

 

– смените стартовую страницу 3pic.com на используемую вами;

– нажатием на соответствующую кнопку удалите cookies;

– очистите кэш интернет-файлов;

– в разделе Журнал нажмите кнопку Очистить –> OK;

 

6. – восстановите штатный обозреватель Internet Explorer:

– поместите в дисковод установочный диск;

нажмите Пуск –> Выполнить… –> в поле Открыть введите cmd –> OK;

– в окне Интерпретатор команд введите следующие команды

<буква_CD/DVD-привода>: cd <Enter>

expand <буква_CD/DVD-привода>:\I386\IEXPLORE.EX_ "C:\Program Files\Internet Explorer\IEXPLORE.EXE";

– закройте окно Интерпретатора команд;

 

7. – включите сетевое подключение:

– нажмите Пуск –> Настройка –> Сетевые подключения –> Подключения по локальной сети;

– правой кнопкой мыши вызовите контекстное меню –> Включить;

 

8. – для предотвращения повторного заражения отключите восстановление системы (или вручную очистите папку System Volume Information);

 

9. – перезагрузите ПК;

– включите восстановление системы.

 

 

 

 

Примечания

1. Для лечения можно также воспользоваться загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander.

2. Не следует посылать sms по указанным номерам, – ответа вы не получите, просто подарите деньги вымогателям, создавшим информер. По свидетельству тех, кому «посчастливилось» подцепить порноинформер, стоимость одной sms составляет до 300 р.

3. Порноинформер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», или порно, и санкционировать установку…

4. Антивирус и брандмауэр в таких случаях не помогут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – её нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!

5. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!

6. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

7. Почаще делайте резервное копирование важной информации.

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.