Путеводитель по сайту

PRASICAN + sjlp = сетевой червь

 

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

 

·Статьи

·О ПК и PC

·Страничка Настроения

 

·Find us on Facebook

·ВКонтакте

 

·SAPE.RU – покупка и продажа ссылок





 

 

 

 

PRASICAN + sjlp = сетевой червь

 

 

***

С июля 2010 г. активизируется новый вирус – сетевой червь с некоторыми признаками троянской программы.

Исполняемый (Portable Executable) файл вируса имеет имя PRASICAN.exe (102 912 байт). Упакован UPX v. 3.05.

Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системной библиотеки KERNEL32.DLL (LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess).

Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Распространяется с помощью Глобальной, локальных, p2p-сетей, а также съемных носителей (в том числе – флешек, карт памяти цифровых фотокамер и плееров – при подключении их к зараженному ПК).

 

«Визитная» карточка вируса (sigcheck):

Version language: Английский (США)

CompanyName: Wtb. Xrfc Trpsag. Nh

FileDescription: Bnhdic. Qbdeva. Iuk. Y

FileVersion: 1.2.700.4400

InternalName: Tarvvgxf Gnr Wkxkyjsvqj

LegalCopyright: Owrrap Enhhiul Ryy W

OriginalFilename: Tqsroh Itpar Plf

ProductName: Qddftvwtp Efb

ProductVersion: 1.2.700.4400

 

В теле исполняемого файла вируса в числе прочего прошита следующая информация:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">

<assemblyIdentity

    name="avvmqcm"

    processorArchitecture="x86"

    version="5.1.0.0"

    type="win32"/>

<description>lasoxjy</description>

<dependency>

    <dependentAssembly>

        <assemblyIdentity

            type="win32"

            name="Microsoft.Windows.Common-Controls"

            version="6.0.0.0"

            processorArchitecture="x86"

            publicKeyToken="6595b64144ccf1df"

            language="*"

        />

    </dependentAssembly>

</dependency>

</assembly>

 

 

***

Деструктивные действия

Если вирус заражает систему посредством съемных носителей, то в корневой директории флешки присутствует каталог GICAN (имеет атрибут Скрытый). В целях маскировки значком папки выбран стандартный значок, обычно применяемый для папок:

 

PRASICAN + sjlp = сетевой червь

 

В скрытой папке GICAN расположен исполняемый файл вируса PRASICAN.exe (102 912 байт; имеет атрибуты Скрытый, Системный, Только чтение). Значком файла выбран стандартный значок, применяемый для архивов.

 

Автозапуск исполняемого файла вируса обеспечивает файл autorun.inf (812 байт), расположенный в корневой директории съемного диска-вирусоносителя. Содержимое этого файла:

[autorun]

&dsadasфсашфиопшњиркпоњљујрпињорфхнСЛВГхсјхнсјјфсклдјалиофпињљфоИЉЖРоЊЉОРПШЊОИПОФХалхфЛЛФХЊЉ

ЛФБхскјвхфслакФОЉЧЛкјињоОФПЊЉЛОФПШЋОСАЋнсклавбСЛАКФЋЧПЊЋЧФХЊЉгбКГБРфбфЊЛЉЧФПЊЉФКЧакбх

фЛККЊЉЧФхуњгфњАЛЈФЊЧФ

shell\\open\\command=GICAN\\\\PRASICAN.exe

^дњљфчкљоњгњљч?FPALGFjflhqLF?WQ

USEAUTOPLAY=1

@fqfkWLQLRP?WQjkljfkA??WF?Wqrhq

Shell\\open\\command=GICAN\\\\PRASICAN.exe

#fwql?ktP?Wlqfk?asFL?P?wjif?WQJF?W

shellexecute=GICAN\\\\PRASICAN.exe

~fwk??WQLR?WQfnjksak?FhwqlFwq

action=Open folder to view files using Windows Explorer

$dfwqfkWQFlP??WfwВЭАФЫДЗЭАартойДА

shell\\explore\\command=GICAN\\\\PRASICAN.exe

^кецйецЗХЙЭУКЦАОфыщжОЩЖАКцошдарцЙАЗДЩэцароыдфраЖЛЦЗЭЙцршоацжЕ

icon=SHELL32.dll,4

*ацйЙЖКЕлдйЗЭЦЕДЩЭЦЗаоФЛЖАЗЭЙлажойАЖЦЙРОЕШЦЙ

open=GICAN\\\PRASICAN.exe

|ацйалцДЖККлдЦЖаоФЦДЖЛАЭЖЦЙпадрЦДЙ

 

PRASICAN + sjlp = сетевой червь

 

При внедрении в систему (WindowsXP) вирус копируется в каталог \Documents and Settings\Имя_пользователя\Application Data\ Windows Vista и Windows 7\Users\Имя_пользователя\AppData\Roaming\) под именем sjlp.exe (102 912 байт);

– для обеспечения автоматического запуска вируса (в том числе в Безопасном режиме) и внедрения его в системные процессы в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] создается строковый (REG_SZ) параметр Taskman, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\Имя_пользователя\Application Data\sjlp.exeWindows Vista и Windows 7\Users\Имя_пользователя\AppData\Roaming\sjlp.exe);

– при загрузке операционной системы вирус внедряется в адресное пространство Проводника Windows (Explorer.exe) и системного процесса svchost.exe;

– вирус отслеживает подключаемые к зараженному ПК съемные носители (при подключении копирует на них вышеуказанный файл autorun.inf и скрытый каталог GICAN, содержащий исполняемый файл вируса PRASICAN.exe);

– …

 

 

***

Как уничтожить вирус и устранить деструктивные последствия

Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.

Отключите ПК от локальной и Глобальной сетей;

– поскольку вирус загружается и в Безопасном режиме (Safe Mode), для его удаления воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в каталоге \Documents and Settings\Имя_пользователя\Application Data\ Windows Vista и Windows 7\Users\Имя_пользователя\AppData\Roaming\) удалите исполняемый файл вируса sjlp.exe;

– закройте окно ERD Commander Explorer;

 

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander RegistryEditor раскройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– удалите строковый (REG_SZ) параметр Taskman, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\Имя_пользователя\Application Data\sjlp.exeWindows Vista и Windows 7\Users\Имя_пользователя\AppData\Roaming\sjlp.exe);

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть

C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe;

– закройте ERD Commander RegistryEditor;

– нажмите Start –> Log Off –> Restart –> OK.

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

 

– загрузите Windows в обычном режиме;

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– очистите кэш интернет-файлов;

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

– при необходимости восстановите запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig;

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

 

Примечания

1. При отсутствии загрузочных аварийно-восстановительных дисков (типа Windows miniPE или ERD Commander) можно подключить винчестер к другому ПК (заведомо исправному и чистому от вирусов!), удалить исполняемый файл вируса sjlp.exe, затем подключить винчестер к «родному» ПК и после загрузки ОС внести вышеуказанные изменения в Реестр.

2. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

3. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

4. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

5. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).

6. Чтобы различать подозрительные файлы, «косящие» под папки, можно отключить опцию Скрывать расширения для зарегистрированных типов файлов:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры снимите флажок Скрывать расширения для зарегистрированных типов файлов –> OK.

7. Вопреки заверениям разработчиков антивирусов, ни один антивирус автоматически не устранит последствия вирусной атаки, – это нужно сделать вручную!..

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

 

Путеводитель по сайту


18+

© Сидоров В.В. 2015. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.