Путеводитель по сайту

Srvcvu.exe = e621ca05.exe = вирус…

Netler.ru - Слово о ПК и PC, или Хроника рефлексирующего сисадмина

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

 

·Статьи

·Статьи о ПК и PC

·Страничка Настроения

·Интересное и полезное в Инете и Рунете

·Компьютерные байки

 

Find us on Facebook·Find us on Facebook

·ВКонтакте



Рассылки Subscribe.Ru
Страничка Настроения
Интересное и полезное в Инете и Рунете
Погода в Алдане



 

 

English version

 

***

…В последнее время автор статьи на многих флешках и ПК обнаруживает новый вирус – Srvcvu.exe (e621ca05.exe).

Исследование показало, что вирус является сетевым червем, предназначенным для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: KERNEL32.dll (GetModuleHandleA, LoadLibraryA, GetStartupInfoA), USER32.dll (ShowWindow, DefWindowProcA, SetClipboardData, GetWindowRect, EnableWindow, CreateWindowExW), GDI32.dll (CreateSolidBrush, CreateRectRgn, GetDeviceCaps, CreateCompatibleDC, CreateDCW), OLEAUT32.dll, MSVCRT.dll (_initterm, _controlfp, _except_handler3, __set_app_type, strcmp, __p__fmode, _XcptFilter, exit, _acmdln, __getmainargs, _exit, __setusermatherr, _adjust_fdiv, __p__commode).

 

Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Распространяется с помощью Глобальной, локальных, p2p-сетей, а также съемных носителей (в том числе – флешек, карт памяти цифровых фотокамер и плееров – при подключении их к зараженному ПК).

На момент написания статьи ни один антивирус не детектировал зловреда.

 

«Визитная» карточка вируса (sigcheck):

Version language: Итальянский (Италия)

FileVersion: 2, 0, 8, 1

ProductVersion: 2, 0, 8, 1

Target OS: Win32 API (Windows NT) (0x40004)

File/Product version: 2.0.8.1 / 2.0.8.1

Language: Итальянский (Италия) (0x410)

Character Set: 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)

 

В исполняемом файле вируса прошита "эротическая" иконка размером 136х136 пикселей:

 

Srvcvu.exe = e621ca05.exe = вирус…

 

 

***

Деструктивные действия вируса

При заражении системы посредством съемных носителей, в корневой директории флешки создается каталог RECYCLER (имеет атрибуты Скрытый, Системный, Только для чтения);

– в этот каталог копируются 2 файла – e621ca05.exe (200704 байт; исполняемый файл вируса) и Desktop.ini (63 байт) с содержимым:

   [.ShellClassInfo]

   CLSID={645FF040-5081-101B-9F08-00AA002F954E};

 

Srvcvu.exe = e621ca05.exe = вирус…

 

– всем папкам в корневой директории съемного диска присваиваются атрибуты Скрытый, Системный;

– чтобы пользователь ничего не заподозрил, для запуска каждой папки создается ярлык;

 

Srvcvu.exe = e621ca05.exe = вирус…

 

– в диалоговом окне Свойства каждого ярлыка на вкладке Ярлык в текстовом поле Объект прописывается команда запуска скрытой папки, например, %windir%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe &&%windir%\explorer.exe %cd%img;

 

Srvcvu.exe = e621ca05.exe = вирус…

 

в каталог \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7 – в каталог \Users\Имя_пользователя\AppData\Roaming\) копируется исполняемый файл вируса Srvcvu.exe (200704 байт);

 

Srvcvu.exe = e621ca05.exe = вирус…

 

– для обеспечения автоматического запуска вируса и внедрения его в системные процессы в разделе Реестра

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] создается строковый (REG_SZ) параметр Srvcvu, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\Имя_пользователя\Application Data\Srvcvu.exeWindows Vista и Windows 7\Users\Имя_пользователя\AppData\Roaming\Srvcvu.exe);

– при загрузке операционной системы вирус внедряется в адресное пространство Проводника Windows (Explorer.exe) и системного процесса svchost.exe;

– вирус отслеживает подключаемые к зараженному ПК съемные носители (при подключении копирует на них вышеуказанный скрытый каталог RECYCLER, содержащий исполняемый файл вируса e621ca05.exe);

– …

 

***

Как ликвидировать вирус и устранить последствия вирусной атаки

Отключитесь от Интернета и от локальной сети;

загрузите Windows в Безопасном режиме (Safe Mode) (если не удается загрузить Безопасный режим, для удаления исполняемого файла вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);

– в каталоге \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7 – в каталоге \Users\Имя_пользователя\AppData\Roaming\) удалите исполняемый файл вируса Srvcvu.exe;

 

– запустите Редактор реестра Windows:

Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK;

Windows Vista: нажмите Пуск, в текстовое поле Начать поиск Windows 7Найти программы и файлы) введите regedit;

– в появившемся перечне нажмите правой кнопкой мыши regedit.exe;

– из контекстного меню выберите Запуск от имени администратора;

– введите пароль, если появится соответствующий запрос;

– в открывшемся окне Редактор реестра откройте раздел

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];

удалите строковый (REG_SZ) параметр Srvcvu со значением \Documents and Settings\Имя_пользователя\Application Data\Srvcvu.exeWindows Vista и Windows 7\Users\Имя_пользователя\AppData\Roaming\Srvcvu.exe);

– закройте Редактор реестра;

 

– в корневой директории зараженного съемного диска удалите каталог RECYCLER (вместе с содержимым);

удалите ярлыки папок в корневой директории съемного диска;

 

с помощью файлового менеджера Total Commander уберите у оригинальных папок в корневой директории съемного диска атрибуты Скрытый, Системный:

– поочередно выделяя папки, выберите меню Файлы –> Изменить атрибуты…;

– в окне Изменение атрибутов уберите затемнение в чек-боксах Скрытый, Системный, Только для чтения –> OK;

 

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;

очистите историю посещений;

– очистите кэш интернет-файлов;

при необходимости измените стартовую страницу веб-браузера на первоначальную;

– при необходимости восстановите оригинальный hosts-файл;

 

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

 

Примечания

1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).

5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!

 

Валерий Сидоров

 

 

***

Вирусы vs. антивирусы…

Apple = i (Стив Джобс + Pod + Phone + Pad + Tunes + Mac + )

Интернет-магазин продукции Apple

 

 

English version

 

 

 

Аксессуары для сотовых телефонов


SAPE.RU – покупка и продажа ссылок

 


 

Путеводитель по сайту


© old-netler 2012. All rights reserved.

При использовании материалов сайта «Слово» прошу указывать источник информации!