Путеводитель по сайту

Лже-флешплейер, или Не ходите, парни, в порно…

 

 

***

Лже-флешплеер, или Не ходите, парни, в порно…

…Знакомьтесь: очередной порноинформер – блокировщик Windows и sms-вымогатель.

 

***

Симптомы заражения

После запуска Windows в правом нижнем углу Рабочего стола (выше Панели задач) появляется «непотопляемое» окно порноинформера SEX ONLINE (размером 503x505 пикселей) с анимированным рисунком «топлес» и сообщением:

«Поздравляем! Вы установили "SexTV" модуль для просмотра еро видео. Если Вы хотите отключить услугу, сделайте следующее:

1. Выберите Вашу страну (Россия)…

2. Отправьте смс с текстом 51223232 (или 51221425) на номер 1350.

3. Введите полученный код…».

 

 

При нажатии на ссылку информация для абонентов в веб-браузере загружается сайт xxnum.com.

 

***

Что представляет собой вирус порнобаннера

Исполняемый (Portable Executable) файл вируса может иметь произвольное имя, например, flash_player_**.*.exe, mon.exe, cs.exe (221 184 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: ole32.dll, comdlg32.dll, RPCRT4.dll, KERNEL32.dll, oleaut32.dll.

 

«Визитная» карточка вируса:

· CompanyNameMicrosoft (вирусописатели прикрываются софтверным гигантом!..);

· ProductNamesgst;

· FileVersion – 1.00;

· ProductVersion – 1.00;

· InternalNamecs;

· OriginalFilenamecs.exe.

 

Родина вируса – Россия.

Этот порноинформер является типичным трояном – блокировщиком Windows и sms-вымогателем.

На момент написания статьи ни один антивирус не идентифицировал зловреда.

 

***

Как происходит заражение

В распространении вируса замечены ресурсы xxnum.com, www.keezmovies.com, www.ero.ru и др.

Самостоятельно порноинформер не устанавливается, – установку осуществляет пользователь, кликнувший по ссылке порноинформера и санкционировавший установку (при этом предлагается установить какое-нибудь обновление или программу, например, обновлённую версию флеш-плейера, или скачать кодеки, или скачать бесплатно порно…).

 

 

***

Деструктивные действия

Место установки вируса зависит от того, куда пользователь скачал/скопировал исполняемый файл вируса;

пользователь (будучи уверен в доброкачественности файла!) запускает исполняемый файл вируса (может иметь произвольное имя, например, flash_player_**.*.exe, mon.exe, cs.exe);

– после запуска вирус извлекает из своего тела анимированный файл tit.gif (123 696 байт; оригинальный размер 197x97 пикселей). Эта «картинка» будет демонстрироваться в окне порнобаннера;

– для обеспечения автоматического запуска в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] вирус создает строковый (REG_SZ) параметр mon.exe, значением которого является путь к исполняемому файлу вируса;

– после загрузки ПК на экран монитора выводится окно порно-баннера, который своей раздражающей назойливостью провоцирует пользователя отправить sms на указанный премиум-номер;

– порнобаннер блокирует запуск Диспетчера задач, Редактора реестра, Интерпретатор команд, утилиты msconfig;

– вирус существенно ограничивает действия пользователя ПК;

– …

 

***

Как уничтожить вирус и устранить деструктивные последствия

Отключитесь от Интернета и от локальной сети.

Если запуск Windows в Безопасном режиме заблокирован, воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander;

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнётся перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

в каталоге установки вируса удалите исполняемый файл вируса (может иметь произвольное имя, например, flash_player_**.*.exe, mon.exe, cs.exe);

– в этом же каталоге удалите анимированный файл tit.gif;

– закройте окно ERD Commander Explorer;

 

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander RegistryEditor раскройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть

C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe;

– раскройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run];

– удалите строковый (REG_SZ) параметр mon.exe, значением которого является путь к исполняемому файлу вируса;

– закройте ERD Commander RegistryEditor;

– нажмите Start –> Log Off –> Restart –> OK.

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнётся перезагрузка;

 

– загрузите Windows в обычном режиме;

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– очистите кэш интернет-файлов;

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

– при необходимости восстановите запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig;

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

 

Примечания

1. Не следует отправлять деньги по указанному номеру, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим порнобаннер.

2. Порнобаннер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», или порно, и санкционировать установку…

3. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!

4. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

5. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

6. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

7. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).

8. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!

9. Кстати, вычислить (и – при желании! – покарать!) автора и распространителей этого блокировщика для достославного Управления «К» МВД РФ не составит труда: достаточно выяснить, на кого зарегистрирован премиум-номер 1350

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.