| English version | Распечатать |
***
Злоумышленники, создатели порноинформеров и sms-вымогателей, продолжают свое триумфальное шествие по Сети.
Недавно активизировался ещё один порноинформер. Вот он, во всей своей красе:
Этот порноинформер является типичным трояном – sms-вымогателем.
Распространением вируса занимаются варезные, халявные и порноресурсы (самый активный из них – 3pic.com).
***
Как происходит заражение
Самостоятельно порноинформер не устанавливается, установку осуществляет пользователь, кликнувший по ссылке порноинформера и санкционировавший установку (при этом предлагается установить какое-нибудь обновление или программу, например, обновлённую версию медиаплейера или скачать кодеки, или скачать бесплатно порно).
***
Симптомы заражения
На заражённом ПК после запуска (или перезагрузки) появляется – поверх всех остальных окон – непотопляемое окно порноинформера (размером 798x551) с сообщением «Спасибо за установку нашего информера 3pic.com. Для удаления информера необходимо отправить SMS по указанному ниже номеру и ввести код удаления. Стоимость SMS можно узнать на сайте sms-price.ru. Отправьте SMS с текстом 1101064 на номер 5121. Введите полученный код…».
А ниже – приписочка мелким шрифтом – «Для удаления информера необходимо отправить отправить 2SMS».
Так как окно порноинформера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно.
При этом не удаётся запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows.
Штатным способом (посредством кнопки Пуск –> Выключить компьютер…) ПК нельзя ни выключить, ни перезагрузить (при этом в журнале событий Windows появляются записи «Попытка Выключение питания <Имя_компьютера> не удалась», «Попытка Перезагрузка <Имя_компьютера> не удалась»).
***
Деструктивные действия вируса
При заражении системы вирус копирует в папку \Temp\ файлы ammde.exe (36 864 байт. Может иметь имя xtCi6.exe) и updates.exe (40 448 байт);
– в папку \Documents and Settings\All Users\ копируются файлы systems.exe (390 656 байт; основной файл вируса. Может иметь имя fjCVqN.exe) и IEXPLORE.EXE (91 136 байт. Этот файл удаляет штатный веб-обозреватель IEXPLORE.EXE, расположенный в папке \Program Files\Internet Explorer\IEXPLORE.EXE, и подменяет его);
– в разделе Реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] вирус создаёт строковый (REG_SZ) параметр Shell со значением C:\Documents and Settings\All Users\systems.exe;
– после загрузки ПК на экран монитора выводится окно порнобаннера, который своей раздражающей назойливостью провоцирует пользователя отправить 2 sms на указанный номер;
– вирус отключает сетевые подключения;
– …
***
Что представляет собой вирус порно-баннера
Исполняемые (Portable Executable) файлы вируса предназначены для 32-битной платформы ОС Windows с процессором x86.
Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
***
Как ликвидировать порнобаннер вручную и устранить последствия вирусной атаки
Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.
1. Отключитесь от Интернета и от локальной сети;
– так как вирус не позволяет перезагрузиться посредством кнопки Пуск, нажмите кнопку Reset;
– при загрузке/перезагрузке ПК нажмите клавишу F8 (если появится окно выбора Boot Device, выберите жёсткий диск, на котором установлена ОС, нажмите Enter, потом F8);
– в Меню дополнительных вариантов загрузки Windows при помощи клавиш со стрелками выберите Безопасный режим;
– выберите нужную учётную запись;
– в окне Рабочий стол с сообщением, что Windows работает в Безопасном режиме, нажмите Да (если вы нажмёте кнопку Нет, запустится программа восстановления системы);
2. – так как у файла systems.exe установлен атрибут Скрытый, чтобы найти его:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK;
3. – откройте папку \Documents and Settings\All Users\;
– удалите файлы systems.exe и IEXPLORE.EXE;
– в папке \Temp\ удалите файлы ammde.exe и updates.exe;
4. – нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];
– удалите строковый (REG_SZ) параметр Shell со значением C:\Documents and Settings\All Users\systems.exe;
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– закройте Редактор реестра;
5. – нажмите Пуск –> Настройка –> Панель управления –> Свойства обозревателя;
– в окне Свойства обозревателя откройте вкладку Общие;
– смените стартовую страницу 3pic.com на используемую вами;
– нажатием на соответствующую кнопку удалите cookies;
– очистите кэш интернет-файлов;
– в разделе Журнал нажмите кнопку Очистить –> OK;
6. – восстановите штатный обозреватель Internet Explorer:
– поместите в дисковод установочный диск;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите cmd –> OK;
– в окне Интерпретатор команд введите следующие команды
<буква_CD/DVD-привода>: cd <Enter>
expand <буква_CD/DVD-привода>:\I386\IEXPLORE.EX_ "C:\Program Files\Internet Explorer\IEXPLORE.EXE";
– закройте окно Интерпретатора команд;
7. – включите сетевое подключение:
– нажмите Пуск –> Настройка –> Сетевые подключения –> Подключения по локальной сети;
– правой кнопкой мыши вызовите контекстное меню –> Включить;
8. – для предотвращения повторного заражения отключите восстановление системы (или вручную очистите папку System Volume Information);
9. – перезагрузите ПК;
– включите восстановление системы.
Примечания
1. Для лечения можно также воспользоваться загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander.
2. Не следует посылать sms по указанным номерам, – ответа вы не получите, просто подарите деньги вымогателям, создавшим информер. По свидетельству тех, кому «посчастливилось» подцепить порноинформер, стоимость одной sms составляет до 300 р.
3. Порноинформер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», или порно, и санкционировать установку…
4. Антивирус и брандмауэр в таких случаях не помогут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – её нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!
5. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!
6. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
7. Почаще делайте резервное копирование важной информации.
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…