Путеводитель по сайту

Знакомьтесь: LOPNA + AZIZ = LAX.exe

Netler.ru - Слово о ПК и PC, или Хроника рефлексирующего сисадмина

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

·Статьи

·О ПК и PC

·Страничка Настроения

 

Find us on Facebook·Find us on Facebook

·ВКонтакте

 

·SAPE.RU – покупка и продажа ссылок

 

·Аксессуары для сотовых телефонов





 

 

 

Знакомьтесь: LOPNA + AZIZ = LAX.exe

 

 

***

С октября 2008 г. автор статьи на многих флешках и ПК обнаруживает вирус LOPNA (LAX.exe, CTB0WmabgryC.exe).

Исследование показало, что вирус является трояном с характерными признаками сетевого червя. Вирус предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: MSVBVM60.DLL (MethCallEngine, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, vbaExceptHandler, ProcCallEngine), kernel32, USER32.DLL, GDI32.DLL, ADVAPI32.dll, ole32.dll, OLEAUT32.dll.

 

«Визитная» карточка вируса:

Version language: Английский (США)

CompanyName: JcdOcc45nDDvge

FileVersion: 1.08.0009

InternalName: CTB0WmabgryC

OriginalFilename: CTB0WmabgryC.exe

ProductName: JyAkhCPW4B4z1GU

ProductVersion: 1.08.0009

 

Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Распространяется вирус посредством Глобальной, локальных и P2P-сетей, а также с помощью съемных носителей (в том числе – флешек и карт памяти цифровых фотоаппаратов и плееров).

 

***

Деструктивные действия вируса

При заражении системы в корневой директории диска C:\ создается каталог LOPNA (имеет атрибуты Скрытый, Системный, Только чтение)

 

Знакомьтесь: LOPNA + AZIZ = LAX.exe

 

– каталог LOPNA содержит каталог AZIZ (имеет атрибуты Скрытый, Системный, Только чтение). В целях маскировки значком каталога выбран значок, применяемый для системной папки Корзина

 

Знакомьтесь: LOPNA + AZIZ = LAX.exe

 

 

– в Проводнике Windows (с включенными опциями Отображать содержимое системных папок и Показывать скрытые файлы и папки) папка AZIZ выглядит пустой

 

Знакомьтесь: LOPNA + AZIZ = LAX.exe

 

но если открыть ее в Total Commander, видно, что она содержит два файла – исполняемый файл вируса LAX.exe (94 208 байт; имеет атрибуты Скрытый, Системный, Только чтение) и desKtOp.InI (62 байта; имеет атрибуты Скрытый, Системный)

 

Знакомьтесь: LOPNA + AZIZ = LAX.exe

 

– содержимое файла desKtOp.InI:

[.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 

– в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}] вирус создает строковый (REG_SZ) параметр StubPath со значением C:\LOPNA\AZIZ\LAX.exe;

 

Знакомьтесь: LOPNA + AZIZ = LAX.exe

 

– при запуске операционной системы вирус внедряет свой исполняемый код в адресное пространство процесса svchost.exe;

– при подключении к ПК съемных носителей вирус создает свою копию в корневом каталоге съемных носителей;

– …

 

***

Как ликвидировать вирус и устранить последствия вирусной атаки

Вирус не грузится в Безопасном режиме, поэтому самая оптимальная методика лечения такова (если ПК не загружается в Безопасном режиме, для удаления вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander):

– отключитесь от Интернета и от локальной сети;

– перезагрузите ПК в Безопасный режим;

– удалите каталог C:\LOPNA\;

 

– запустите Редактор реестра Windows:

Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK;

Windows Vista: нажмите Пуск, в текстовое поле Начать поиск Windows 7Найти программы и файлы) введите regedit;

– в появившемся перечне нажмите правой кнопкой мыши regedit.exe;

– из контекстного меню выберите Запуск от имени администратора;

– введите пароль, если появится соответствующий запрос;

– в открывшемся окне Редактор реестра откройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}];

удалите строковый (REG_SZ) параметр StubPath со значением C:\LOPNA\AZIZ\LAX.exe;

– закройте Редактор реестра;

 

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;

очистите историю посещений;

– очистите кэш интернет-файлов;

при необходимости измените стартовую страницу веб-браузера на первоначальную;

– при необходимости восстановите оригинальный hosts-файл;

 

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

 

Примечания

1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).

5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!..

 

Валерий Сидоров

 

 

***

Статьи о ПК и PC

Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?

Что делать, если недоступен пункт меню «Свойства папки»?

Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?

Что делать, если после лечения от вирусов не открывается флешка?

Как устранить последствия вирусной атаки?

Windows: что делать, если не запускается Утилита настройки системы msconfig?

Windows: как отобразить скрытые файлы и папки?

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту


18+

© Сидоров В.В. 2014. All rights reserved.

При использовании материалов сайта «Слово» прошу указывать источник информации!