*** …В последнее время автор статьи на многих флешках и ПК обнаруживает новый вирус – Achehe.exe (faebec4a.exe). Исследование показало, что вирус является сетевым червем (с характерными признаками трояна), предназначенным для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: KERNEL32.dll (GetStartupInfoA, LoadLibraryA, GetModuleHandleA), USER32.dll (IsWindowEnabled, EnableWindow, IsWindowVisible, DrawTextA, GetWindowRect), GDI32.dll (GetDeviceCaps, CreateRoundRectRgn, CreateCompatibleBitmap, GetStockObject, CreateDCW), OLEAUT32.dll, MSVCRT.dll (_except_handler3, _acmdln, __p__fmode, _exit, _adjust_fdiv, __setusermatherr, __p__commode, strcmp, exit, _XcptFilter, __getmainargs, _initterm, _controlfp, __set_app_type).
Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Распространяется с помощью Глобальной, локальных, p2p-сетей, а также съёмных носителей (в том числе – флешек, карт памяти цифровых фотокамер и плейеров – при подключении их к заражённому ПК).
«Визитная» карточка вируса: Version language: Italian FileVersion: 2, 0, 8, 1 ProductVersion: 2, 0, 8, 1 Target OS: Win32 API (Windows NT) (0x40004) Character Set: 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)
*** Деструктивные действия вируса При заражении системы посредством съёмных носителей, в корневой директории флешки создается каталог RECYCLER (имеет атрибуты Скрытый, Системный, Только для чтения); – в этот каталог копируются 2 файла – faebec4a.exe (262 144 байт; исполняемый файл вируса; имеет атрибут Скрытый) и Desktop.ini (63 байт) с содержимым: [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E}; – всем папкам в корневой директории съемного диска присваиваются атрибуты Скрытый, Системный; – чтобы пользователь ничего не заподозрил, для запуска каждой папки создается ярлык;
– в диалоговом окне Свойства каждого ярлыка на вкладке Ярлык в текстовом поле Объект прописывается команда запуска скрытой папки, например, %windir%\system32\cmd.exe /c "start %cd%RECYCLER\faebec4a.exe &&%windir%\explorer.exe %cd%страх.свид;
– в каталог \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7+ – в каталог \Users\Имя_пользователя\AppData\Roaming\) копируется исполняемый файл вируса Achehe.exe (262 144 байт; имеет атрибут Скрытый). Иконкой исполняемого файла вируса выбрано изображение замка;
– для обеспечения автоматического запуска вируса и внедрения его в системные процессы в разделе Реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] создается строковый (REG_SZ) параметр Achehe, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\Имя_пользователя\Application Data\Achehe.exe (в Windows Vista и Windows 7 – \Users\Имя_пользователя\AppData\Roaming\Achehe.exe); – при загрузке операционной системы вирус внедряется в адресное пространство Проводника Windows (Explorer.exe) и системных процессов svchost.exe, alg.exe, smss.exe, winlogon.exe; – вирус отслеживает подключаемые к заражённому ПК съёмные носители (при подключении копирует на них вышеуказанный скрытый каталог RECYCLER, содержащий исполняемый файл вируса faebec4a.exe); – …
*** Как ликвидировать вирус и устранить последствия вирусной атаки Отключитесь от Интернета и от локальной сети; – загрузите Windows в Безопасном режиме (Safe Mode) (если не удаётся загрузить Безопасный режим, для удаления исполняемого файла вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander); – в каталоге \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7 – в каталоге \Users\Имя_пользователя\AppData\Roaming\) удалите исполняемый файл вируса Achehe.exe;
– запустите Редактор реестра Windows: • Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK; • Windows Vista: нажмите Пуск, в текстовое поле Начать поиск (в Windows 7 – Найти программы и файлы) введите regedit; – в появившемся перечне нажмите правой кнопкой мыши regedit.exe; – из контекстного меню выберите Запуск от имени администратора; – введите пароль, если появится соответствующий запрос; – в открывшемся окне Редактор реестра откройте раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]; – удалите строковый (REG_SZ) параметр Srvcvu со значением \Documents and Settings\Имя_пользователя\Application Data\Achehe.exe (в Windows Vista и Windows 7 – \Users\Имя_пользователя\AppData\Roaming\Achehe.exe); – закройте Редактор реестра;
– в корневой директории заражённого съёмного диска удалите каталог RECYCLER (вместе с содержимым); – удалите ярлыки папок в корневой директории съёмного диска;
– с помощью файлового менеджера Total Commander уберите у оригинальных папок в корневой директории съёмного диска атрибуты Скрытый, Системный: – поочерёдно выделяя папки, выберите меню Файлы –> Изменить атрибуты…; – в окне Изменение атрибутов уберите затемнение в чек-боксах Скрытый, Системный, Только для чтения –> OK;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information); – при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер; – очистите кэш интернет-файлов; – при необходимости измените стартовую страницу веб-браузера на первоначальную; – при необходимости восстановите оригинальный hosts-файл;
– перезагрузите ПК; – включите восстановление системы; – просканируйте систему антивирусом со свежими базами.
Примечания 1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы! 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 4. Отключите автозапуск компакт-дисков, съёмных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съёмных дисков и флешек?). 5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
Валерий Сидоров
*** • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2016. All rights reserved.
Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.