|
*** В начале декабря 2010 г. активизировался новый вирус – seksigirl. Исполняемый (Portable Executable) файл вируса может иметь произвольное имя, как правило, seksigirl.exe или jahcii.exe (167 936 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Вирус распространяется посредством локальной, Глобальной и P2P-сетей, а также с помощью съемных носителей информации (флешек). На момент написания статьи ни один brand-name-антивирус не детектировал зловреда.
*** Деструктивные действия Если вирус заражает систему посредством съемных носителей, то в корневой директории флешки присутствует папка shakirita (имеет атрибут Скрытый). В целях маскировки значком папки выбран стандартный значок, обычно применяемый для папок.
В скрытой папке shakirita расположен файл вируса seksigirl.exe (167 936 байт; имеет атрибуты Скрытый, Системный, Только чтение). Значком файла выбран стандартный значок, обычно применяемый для папок. Автозапуск исполняемого файла вируса обеспечивает файл autorun.inf (381 байт), расположенный в корневой директории съемного диска-вирусоносителя. Содержимое этого файла: [autorun] shellexecute=shakirita\\\seksigirl.exe action=Open folder to view files using Windows Explore USEAUTOPLAY=1 open=shakirita\\\seksigirl.exe icon=shell32.dll,4 shell\\\Install\\\command=shakirita\\\seksigirl.exe shell\\\open\\\command=shakirita\\\seksigirl.exe shell\\\explore\\\command=shakirita\\\seksigirl.exe % Shell\\\open\\\command=shakirita\\\seksigirl.exe
При внедрении в систему вирус копируется в каталог \Documents and Settings\<Имя_пользователя>\ (в Windows Vista и Windows 7 – \Users\<Имя_пользователя>\) под именем jahcii.exe (167 936 байт); – для обеспечения автоматического запуска вируса (в том числе в Безопасном режиме) и внедрения его в системные процессы в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] создается строковый (REG_SZ) параметр Taskman, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\<Имя_пользователя>\jahcii.exe (в Windows Vista и Windows 7 – \Users\<Имя_пользователя>\jahcii.exe); – при загрузке операционной системы вирус внедряется в адресное пространство Проводника Windows (Explorer.exe) и системного процесса svchost.exe; – …
*** Как уничтожить вирус и устранить деструктивные последствия Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра. Отключите ПК от локальной и Глобальной сетей; – поскольку вирус загружается и в Безопасном режиме (Safe Mode), для его удаления воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander); – вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка; – в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter; – внизу появится строка состояния Starting Winternals ERD Commander; – после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration; – в окне Welcome to ERD Commander выберите ОС –> OK; – когда загрузится Рабочий Стол, дважды щелкните значок My Computer; – в каталоге \Documents and Settings\<Имя_пользователя>\ (в Windows Vista и Windows 7 – \Users\<Имя_пользователя>\) удалите исполняемый файл вируса jahcii.exe; – закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit; – в окне ERD Commander RegistryEditor раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; – удалите строковый (REG_SZ) параметр Taskman, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\<Имя_пользователя>\jahcii.exe (в Windows Vista и Windows 7 – \Users\<Имя_пользователя>\jahcii.exe); – проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,); – проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe; – закройте ERD Commander RegistryEditor; – нажмите Start –> Log Off –> Restart –> OK. – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– загрузите Windows в обычном режиме; – нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information); – очистите кэш интернет-файлов; – при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме; – при необходимости восстановите запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig; – перезагрузите ПК; – включите восстановление системы; – просканируйте систему антивирусом со свежими базами.
Примечания 1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?). 5. Чтобы различать подозрительные файлы, «косящие» под папки, можно отключить опцию Скрывать расширения для зарегистрированных типов файлов: – откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки); – в открывшемся диалоговом окне Свойства папки откройте вкладку Вид; – в разделе Дополнительные параметры снимите флажок Скрывать расширения для зарегистрированных типов файлов –> OK. 6. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
Валерий Сидоров
*** • Что делать, если появляется сообщение «Диспетчер задач отключен администратором»? • Что делать, если недоступен пункт меню «Свойства папки»? • Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»? • Что делать, если после лечения от вирусов не открывается флешка? • Как устранить последствия вирусной атаки? • Windows: что делать, если не запускается Утилита настройки системы msconfig? • Windows: как отобразить скрытые файлы и папки? • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2014. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!