Путеводитель по сайту

Achehe.exe = faebec4a.exe = вирус…

 

 

***

…В последнее время автор статьи на многих флешках и ПК обнаруживает новый вирус – Achehe.exe (faebec4a.exe).

Исследование показало, что вирус является сетевым червем (с характерными признаками трояна), предназначенным для 32-битной платформы ОС Windows с процессором x86.

Осуществляет импорт системных библиотек: KERNEL32.dll (GetStartupInfoA, LoadLibraryA, GetModuleHandleA), USER32.dll (IsWindowEnabled, EnableWindow, IsWindowVisible, DrawTextA, GetWindowRect), GDI32.dll (GetDeviceCaps, CreateRoundRectRgn, CreateCompatibleBitmap, GetStockObject, CreateDCW), OLEAUT32.dll, MSVCRT.dll (_except_handler3, _acmdln, __p__fmode, _exit, _adjust_fdiv, __setusermatherr, __p__commode, strcmp, exit, _XcptFilter, __getmainargs, _initterm, _controlfp, __set_app_type).

 

Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Распространяется с помощью Глобальной, локальных, p2p-сетей, а также съёмных носителей (в том числе – флешек, карт памяти цифровых фотокамер и плейеров – при подключении их к заражённому ПК).

 

«Визитная» карточка вируса:

Version language: Italian

FileVersion: 2, 0, 8, 1

ProductVersion: 2, 0, 8, 1

Target OS: Win32 API (Windows NT) (0x40004)

Character Set: 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)

 

 

***

Деструктивные действия вируса

При заражении системы посредством съёмных носителей, в корневой директории флешки создается каталог RECYCLER (имеет атрибуты Скрытый, Системный, Только для чтения);

– в этот каталог копируются 2 файла – faebec4a.exe (262 144 байт; исполняемый файл вируса; имеет атрибут Скрытый) и Desktop.ini (63 байт) с содержимым:

   [.ShellClassInfo]

   CLSID={645FF040-5081-101B-9F08-00AA002F954E};

– всем папкам в корневой директории съемного диска присваиваются атрибуты Скрытый, Системный;

– чтобы пользователь ничего не заподозрил, для запуска каждой папки создается ярлык;

 

Achehe.exe = faebec4a.exe = вирус…

 

 

– в диалоговом окне Свойства каждого ярлыка на вкладке Ярлык в текстовом поле Объект прописывается команда запуска скрытой папки, например, %windir%\system32\cmd.exe /c "start %cd%RECYCLER\faebec4a.exe &&%windir%\explorer.exe %cd%страх.свид;

 

Achehe.exe = faebec4a.exe = вирус…

 

 

в каталог \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7+ – в каталог \Users\Имя_пользователя\AppData\Roaming\) копируется исполняемый файл вируса Achehe.exe (262 144 байт; имеет атрибут Скрытый). Иконкой исполняемого файла вируса выбрано изображение замка;

 

Achehe.exe = faebec4a.exe = вирус…

 

 

– для обеспечения автоматического запуска вируса и внедрения его в системные процессы в разделе Реестра

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] создается строковый (REG_SZ) параметр Achehe, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\Имя_пользователя\Application Data\Achehe.exeWindows Vista и Windows 7\Users\Имя_пользователя\AppData\Roaming\Achehe.exe);

– при загрузке операционной системы вирус внедряется в адресное пространство Проводника Windows (Explorer.exe) и системных процессов svchost.exe, alg.exe, smss.exe, winlogon.exe;

– вирус отслеживает подключаемые к заражённому ПК съёмные носители (при подключении копирует на них вышеуказанный скрытый каталог RECYCLER, содержащий исполняемый файл вируса faebec4a.exe);

– …

 

 

 

 

***

Как ликвидировать вирус и устранить последствия вирусной атаки

Отключитесь от Интернета и от локальной сети;

загрузите Windows в Безопасном режиме (Safe Mode) (если не удаётся загрузить Безопасный режим, для удаления исполняемого файла вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);

– в каталоге \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7 – в каталоге \Users\Имя_пользователя\AppData\Roaming\) удалите исполняемый файл вируса Achehe.exe;

 

– запустите Редактор реестра Windows:

Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK;

Windows Vista: нажмите Пуск, в текстовое поле Начать поиск Windows 7Найти программы и файлы) введите regedit;

– в появившемся перечне нажмите правой кнопкой мыши regedit.exe;

– из контекстного меню выберите Запуск от имени администратора;

– введите пароль, если появится соответствующий запрос;

– в открывшемся окне Редактор реестра откройте раздел

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];

удалите строковый (REG_SZ) параметр Srvcvu со значением \Documents and Settings\Имя_пользователя\Application Data\Achehe.exeWindows Vista и Windows 7\Users\Имя_пользователя\AppData\Roaming\Achehe.exe);

– закройте Редактор реестра;

 

– в корневой директории заражённого съёмного диска удалите каталог RECYCLER (вместе с содержимым);

удалите ярлыки папок в корневой директории съёмного диска;

 

с помощью файлового менеджера Total Commander уберите у оригинальных папок в корневой директории съёмного диска атрибуты Скрытый, Системный:

– поочерёдно выделяя папки, выберите меню Файлы –> Изменить атрибуты…;

– в окне Изменение атрибутов уберите затемнение в чек-боксах Скрытый, Системный, Только для чтения –> OK;

 

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;

очистите историю посещений;

– очистите кэш интернет-файлов;

при необходимости измените стартовую страницу веб-браузера на первоначальную;

– при необходимости восстановите оригинальный hosts-файл;

 

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

 

Примечания

1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

4. Отключите автозапуск компакт-дисков, съёмных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съёмных дисков и флешек?).

5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.