|
|
·ВКонтакте
·SAPE.RU – покупка и продажа ссылок
·Аксессуары для сотовых телефонов |
|
|
|
|
| Твиты пользователя @oldnetler |
|
|
·Find us on Facebook
|
English version |
Распечатать |
***
С октября 2008 г. автор статьи на многих флешках и ПК обнаруживает вирус LOPNA (LAX.exe, CTB0WmabgryC.exe).
Исследование показало, что вирус является трояном с характерными признаками сетевого червя. Вирус предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: MSVBVM60.DLL (MethCallEngine, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, vbaExceptHandler, ProcCallEngine), kernel32, USER32.DLL, GDI32.DLL, ADVAPI32.dll, ole32.dll, OLEAUT32.dll.
«Визитная» карточка вируса:
Version language: Английский (США)
CompanyName: JcdOcc45nDDvge
FileVersion: 1.08.0009
InternalName: CTB0WmabgryC
OriginalFilename: CTB0WmabgryC.exe
ProductName: JyAkhCPW4B4z1GU
ProductVersion: 1.08.0009
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Распространяется вирус посредством Глобальной, локальных и P2P-сетей, а также с помощью съемных носителей (в том числе – флешек и карт памяти цифровых фотоаппаратов и плееров).
***
Деструктивные действия вируса
При заражении системы в корневой директории диска C:\ создается каталог LOPNA (имеет атрибуты Скрытый, Системный, Только чтение)
– каталог LOPNA содержит каталог AZIZ (имеет атрибуты Скрытый, Системный, Только чтение). В целях маскировки значком каталога выбран значок, применяемый для системной папки Корзина
– в Проводнике Windows (с включенными опциями Отображать содержимое системных папок и Показывать скрытые файлы и папки) папка AZIZ выглядит пустой
но если открыть ее в Total Commander, видно, что она содержит два файла – исполняемый файл вируса LAX.exe (94 208 байт; имеет атрибуты Скрытый, Системный, Только чтение) и desKtOp.InI (62 байта; имеет атрибуты Скрытый, Системный)
– содержимое файла desKtOp.InI:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
– в разделе Реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}] вирус создает строковый (REG_SZ) параметр StubPath со значением C:\LOPNA\AZIZ\LAX.exe;
– при запуске операционной системы вирус внедряет свой исполняемый код в адресное пространство процесса svchost.exe;
– при подключении к ПК съемных носителей вирус создает свою копию в корневом каталоге съемных носителей;
– …
***
Как ликвидировать вирус и устранить последствия вирусной атаки
Вирус не грузится в Безопасном режиме, поэтому самая оптимальная методика лечения такова (если ПК не загружается в Безопасном режиме, для удаления вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander):
– отключитесь от Интернета и от локальной сети;
– перезагрузите ПК в Безопасный режим;
– удалите каталог C:\LOPNA\;
– запустите Редактор реестра Windows:
• Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK;
• Windows Vista: нажмите Пуск, в текстовое поле Начать поиск (в Windows 7 – Найти программы и файлы) введите regedit;
– в появившемся перечне нажмите правой кнопкой мыши regedit.exe;
– из контекстного меню выберите Запуск от имени администратора;
– введите пароль, если появится соответствующий запрос;
– в открывшемся окне Редактор реестра откройте раздел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}];
– удалите строковый (REG_SZ) параметр StubPath со значением C:\LOPNA\AZIZ\LAX.exe;
– закройте Редактор реестра;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);
– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;
– очистите кэш интернет-файлов;
– при необходимости измените стартовую страницу веб-браузера на первоначальную;
– при необходимости восстановите оригинальный hosts-файл;
– перезагрузите ПК;
– включите восстановление системы;
– просканируйте систему антивирусом со свежими базами.
Примечания
1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).
5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!..
Валерий Сидоров
***
• Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
• Что делать, если недоступен пункт меню «Свойства папки»?
• Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?
• Что делать, если после лечения от вирусов не открывается флешка?
• Как устранить последствия вирусной атаки?
• Windows: что делать, если не запускается Утилита настройки системы msconfig?
• Windows: как отобразить скрытые файлы и папки?
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…