| English version | Распечатать |
***
…В последнее время автор статьи на многих флешках и ПК обнаруживает новый вирус – Achehe.exe (faebec4a.exe).
Исследование показало, что вирус является сетевым червем (с характерными признаками трояна), предназначенным для 32-битной платформы ОС Windows с процессором x86.
Осуществляет импорт системных библиотек: KERNEL32.dll (GetStartupInfoA, LoadLibraryA, GetModuleHandleA), USER32.dll (IsWindowEnabled, EnableWindow, IsWindowVisible, DrawTextA, GetWindowRect), GDI32.dll (GetDeviceCaps, CreateRoundRectRgn, CreateCompatibleBitmap, GetStockObject, CreateDCW), OLEAUT32.dll, MSVCRT.dll (_except_handler3, _acmdln, __p__fmode, _exit, _adjust_fdiv, __setusermatherr, __p__commode, strcmp, exit, _XcptFilter, __getmainargs, _initterm, _controlfp, __set_app_type).
Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Распространяется с помощью Глобальной, локальных, p2p-сетей, а также съёмных носителей (в том числе – флешек, карт памяти цифровых фотокамер и плейеров – при подключении их к заражённому ПК).
«Визитная» карточка вируса:
Version language: Italian
FileVersion: 2, 0, 8, 1
ProductVersion: 2, 0, 8, 1
Target OS: Win32 API (Windows NT) (0x40004)
Character Set: 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)
***
Деструктивные действия вируса
При заражении системы посредством съёмных носителей, в корневой директории флешки создается каталог RECYCLER (имеет атрибуты Скрытый, Системный, Только для чтения);
– в этот каталог копируются 2 файла – faebec4a.exe (262 144 байт; исполняемый файл вируса; имеет атрибут Скрытый) и Desktop.ini (63 байт) с содержимым:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E};
– всем папкам в корневой директории съемного диска присваиваются атрибуты Скрытый, Системный;
– чтобы пользователь ничего не заподозрил, для запуска каждой папки создается ярлык;
– в диалоговом окне Свойства каждого ярлыка на вкладке Ярлык в текстовом поле Объект прописывается команда запуска скрытой папки, например, %windir%\system32\cmd.exe /c "start %cd%RECYCLER\faebec4a.exe &&%windir%\explorer.exe %cd%страх.свид;
– в каталог \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7+ – в каталог \Users\Имя_пользователя\AppData\Roaming\) копируется исполняемый файл вируса Achehe.exe (262 144 байт; имеет атрибут Скрытый). Иконкой исполняемого файла вируса выбрано изображение замка;
– для обеспечения автоматического запуска вируса и внедрения его в системные процессы в разделе Реестра
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] создается строковый (REG_SZ) параметр Achehe, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\Имя_пользователя\Application Data\Achehe.exe (в Windows Vista и Windows 7 – \Users\Имя_пользователя\AppData\Roaming\Achehe.exe);
– при загрузке операционной системы вирус внедряется в адресное пространство Проводника Windows (Explorer.exe) и системных процессов svchost.exe, alg.exe, smss.exe, winlogon.exe;
– вирус отслеживает подключаемые к заражённому ПК съёмные носители (при подключении копирует на них вышеуказанный скрытый каталог RECYCLER, содержащий исполняемый файл вируса faebec4a.exe);
– …
***
Как ликвидировать вирус и устранить последствия вирусной атаки
Отключитесь от Интернета и от локальной сети;
– загрузите Windows в Безопасном режиме (Safe Mode) (если не удаётся загрузить Безопасный режим, для удаления исполняемого файла вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);
– в каталоге \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7 – в каталоге \Users\Имя_пользователя\AppData\Roaming\) удалите исполняемый файл вируса Achehe.exe;
– запустите Редактор реестра Windows:
• Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK;
• Windows Vista: нажмите Пуск, в текстовое поле Начать поиск (в Windows 7 – Найти программы и файлы) введите regedit;
– в появившемся перечне нажмите правой кнопкой мыши regedit.exe;
– из контекстного меню выберите Запуск от имени администратора;
– введите пароль, если появится соответствующий запрос;
– в открывшемся окне Редактор реестра откройте раздел
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];
– удалите строковый (REG_SZ) параметр Srvcvu со значением \Documents and Settings\Имя_пользователя\Application Data\Achehe.exe (в Windows Vista и Windows 7 – \Users\Имя_пользователя\AppData\Roaming\Achehe.exe);
– закройте Редактор реестра;
– в корневой директории заражённого съёмного диска удалите каталог RECYCLER (вместе с содержимым);
– удалите ярлыки папок в корневой директории съёмного диска;
– с помощью файлового менеджера Total Commander уберите у оригинальных папок в корневой директории съёмного диска атрибуты Скрытый, Системный:
– поочерёдно выделяя папки, выберите меню Файлы –> Изменить атрибуты…;
– в окне Изменение атрибутов уберите затемнение в чек-боксах Скрытый, Системный, Только для чтения –> OK;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);
– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;
– очистите кэш интернет-файлов;
– при необходимости измените стартовую страницу веб-браузера на первоначальную;
– при необходимости восстановите оригинальный hosts-файл;
– перезагрузите ПК;
– включите восстановление системы;
– просканируйте систему антивирусом со свежими базами.
Примечания
1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. Отключите автозапуск компакт-дисков, съёмных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съёмных дисков и флешек?).
5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…