Путеводитель по сайту

shakirita + seksigirl = вирус…

Netler.ru - Слово о ПК и PC, или Хроника рефлексирующего сисадмина

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

·Статьи

·О ПК и PC

·Страничка Настроения

 

Find us on Facebook·Find us on Facebook

·ВКонтакте

 

·SAPE.RU – покупка и продажа ссылок

 

·Аксессуары для сотовых телефонов





 

 

 

shakirita + seksigirl = вирус…

 

 

***

В начале декабря 2010 г. активизировался новый вирус – seksigirl.

Исполняемый (Portable Executable) файл вируса может иметь произвольное имя, как правило, seksigirl.exe или jahcii.exe (167 936 байт).

Предназначен для 32-битной платформы ОС Windows с процессором x86.

Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Вирус распространяется посредством локальной, Глобальной и P2P-сетей, а также с помощью съемных носителей информации (флешек).

На момент написания статьи ни один brand-name-антивирус не детектировал зловреда.

 

 

***

Деструктивные действия

Если вирус заражает систему посредством съемных носителей, то в корневой директории флешки присутствует папка shakirita (имеет атрибут Скрытый). В целях маскировки значком папки выбран стандартный значок, обычно применяемый для папок.

 

shakirita + seksigirl = вирус…

 

 

В скрытой папке shakirita расположен файл вируса seksigirl.exe (167 936 байт; имеет атрибуты Скрытый, Системный, Только чтение). Значком файла выбран стандартный значок, обычно применяемый для папок.

Автозапуск исполняемого файла вируса обеспечивает файл autorun.inf (381 байт), расположенный в корневой директории съемного диска-вирусоносителя. Содержимое этого файла:

[autorun]

shellexecute=shakirita\\\seksigirl.exe

action=Open folder to view files using Windows Explore

USEAUTOPLAY=1

open=shakirita\\\seksigirl.exe

icon=shell32.dll,4

shell\\\Install\\\command=shakirita\\\seksigirl.exe

shell\\\open\\\command=shakirita\\\seksigirl.exe

shell\\\explore\\\command=shakirita\\\seksigirl.exe

%

Shell\\\open\\\command=shakirita\\\seksigirl.exe

 

При внедрении в систему вирус копируется в каталог \Documents and Settings\<Имя_пользователя>\ Windows Vista и Windows 7 \Users\<Имя_пользователя>\) под именем jahcii.exe (167 936 байт);

– для обеспечения автоматического запуска вируса (в том числе в Безопасном режиме) и внедрения его в системные процессы в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] создается строковый (REG_SZ) параметр Taskman, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\<Имя_пользователя>\jahcii.exe (в Windows Vista и Windows 7 \Users\<Имя_пользователя>\jahcii.exe);

– при загрузке операционной системы вирус внедряется в адресное пространство Проводника Windows (Explorer.exe) и системного процесса svchost.exe;

– …

 

 

***

Как уничтожить вирус и устранить деструктивные последствия

Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.

Отключите ПК от локальной и Глобальной сетей;

– поскольку вирус загружается и в Безопасном режиме (Safe Mode), для его удаления воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

в каталоге \Documents and Settings\<Имя_пользователя>\ Windows Vista и Windows 7 \Users\<Имя_пользователя>\) удалите исполняемый файл вируса jahcii.exe;

– закройте окно ERD Commander Explorer;

 

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander RegistryEditor раскройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– удалите строковый (REG_SZ) параметр Taskman, значением которого является путь к исполняемому файлу вируса \Documents and Settings\<Имя_пользователя>\jahcii.exe (в Windows Vista и Windows 7 \Users\<Имя_пользователя>\jahcii.exe);

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть

C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe;

– закройте ERD Commander RegistryEditor;

– нажмите Start –> Log Off –> Restart –> OK.

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

 

– загрузите Windows в обычном режиме;

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– очистите кэш интернет-файлов;

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

– при необходимости восстановите запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig;

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

 

Примечания

1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).

5. Чтобы различать подозрительные файлы, «косящие» под папки, можно отключить опцию Скрывать расширения для зарегистрированных типов файлов:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры снимите флажок Скрывать расширения для зарегистрированных типов файлов –> OK.

6. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!

 

Валерий Сидоров

 

 

***

Статьи о ПК и PC

Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?

Что делать, если недоступен пункт меню «Свойства папки»?

Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?

Что делать, если после лечения от вирусов не открывается флешка?

Как устранить последствия вирусной атаки?

Windows: что делать, если не запускается Утилита настройки системы msconfig?

Windows: как отобразить скрытые файлы и папки?

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту


18+

© Сидоров В.В. 2014. All rights reserved.

При использовании материалов сайта «Слово» прошу указывать источник информации!