|
English version
*** …С декабря 2010 г. бесчинствует очередной блокировщик Windows и sms-вымогатель.
*** Симптомы заражения После запуска Windows в центре Рабочего стола появляется «непотопляемое» окно информера (размером 633x395 пикселей) с сообщением: «Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет. Причина: Вы смотрели фильмы содержащие гей-порно. Для разблокировки Windows необходимо: Пополнить номер абонента Билайн: … на сумму 400 рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты, на выданном терминалом чеке, Вы найдёте Ваш персональный код разблокировки, который необходимо ввести ниже. Если в течении 12 часов с момента появления данного сообщения, не будет введён код, все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведёт к нарушениям работы компьютера».
В сообщении блокировщика могут быть указаны как московские номера ОАО «Вымпел-Коммуникации»/Билайн (8-965-266-43-65, 8-903-518-01-27, 8-964-723-83-28, 8-903-244-80-76, 8-964-711-58-63), так и петербургские (8-960-253-01-19, 8-963-328-45-78, 8-960-253-01-96).
Так как окно информера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно. При этом не удается запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows. Информер грузится и в Безопасном режиме.
*** Что представляет собой вирус информера Исполняемый (Portable Executable) файл вируса имеет имя flash_player.exe (594751 байт). Упакован UPX. Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: KERNEL32.DLL, comctl32.dll, comdlg32.dll, ole32.dll, shell32.dll (LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess, InitCommonControls, ChooseFontW, CoInitialize, ShellExecuteW). Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Для маскировки вируса и обмана пользователей мошенники используют широко известные brand-name: название Microsoft Security, а также название и логотип Adobe Flash Player.
Родина вируса – Россия. Этот информер является типичным трояном – блокировщиком Windows и sms-вымогателем. На момент написания статьи ни один антивирус не идентифицировал зловреда.
*** Как происходит заражение Распространением вируса занимаются варезные, «халявные» и порно-ресурсы (например, telki-best.ru, xengine.ru). Самостоятельно информер не устанавливается, – установку осуществляет пользователь, кликнувший по ссылке информера и санкционировавший установку (при этом предлагается установить обновленную версию флеш-плеера, или скачать кодеки, или скачать бесплатно порно…).
*** Деструктивные действия – для обеспечения автоматического запуска (в том числе и в Безопасном режиме) в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] вирус изменяет значение строкового (REG_SZ) параметра Shell на \каталог_установки_исполняемого_файла_вируса\flash_player.exe (место установки вируса зависит от того, куда пользователь скачал/скопировал исполняемый файл вируса flash_player.exe); – после загрузки ПК вирус блокирует запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig; – вирус полностью блокирует работу пользователя ПК; – на экран монитора выводится окно информера, который своей раздражающей назойливостью провоцирует пользователя отправить деньги на один из указанных номеров; – …
*** Как уничтожить вирус и устранить деструктивные последствия Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра. Отключитесь от Интернета и от локальной сети; – поскольку вирус загружается и в Безопасном режиме (Safe Mode), для его удаления воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander; – вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка; – в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter; – внизу появится строка состояния Starting Winternals ERD Commander; – после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration; – в окне Welcome to ERD Commander выберите ОС –> OK; – когда загрузится Рабочий Стол, дважды щелкните значок My Computer; – в каталоге установки вируса удалите исполняемый файл вируса flash_player.exe (место установки вируса зависит от того, куда пользователь скачал/скопировал исполняемый файл вируса flash_player.exe); – закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit; – в окне ERD Commander RegistryEditor раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; – исправьте значение строкового (REG_SZ) параметра Shell (значением которого является путь к исполняемому файлу вируса) на Explorer.exe; – проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,); – закройте ERD Commander RegistryEditor; – нажмите Start –> Log Off –> Restart –> OK. – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– загрузите Windows в обычном режиме (если после перезагрузки ПК появится BSOD «STOP: 0x000000F4» или «STOP: 0xc000021a», выключите ПК с помощью кнопки Power на системном блоке и снова включите); – нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information); – очистите кэш интернет-файлов; – при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме; – при необходимости восстановите запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig; – перезагрузите ПК; – включите восстановление системы; – просканируйте систему антивирусом со свежими базами.
*** Некоторые разновидности вируса, прописавшись в Реестре вместо Проводника Windows, удаляют файл explorer.exe, расположенный в каталоге \WINDOWS\. В таком случае – после удаления файла вируса – после загрузки ПК пользователь увидит только фоновый рисунок Рабочего стола, но ни значков, ни Панели задач, ни кнопки Пуск. Что делать? Нужно восстановить Проводник Windows – файл explorer.exe: – поместите в дисковод установочный диск с операционной системой (идентичной установленной на вашем ПК, а лучше – тот, с которого была установлена операционная система); – нажмите Пуск –> Выполнить… (или нажмите клавишу с логотипом Windows + R); – в текстовое поле Открыть окна Запуск программы введите expand <буква_привода:>\путь_к_файлу_EXPLORER.EX_ systemroot%\explorer.exe –> OK. Например, если ваша операционная система – Windows XP, установлена на диске C:\, а буква CD-ROM – E:\, то нужно ввести expand E:\I386\EXPLORER.EX_ C:\WINDOWS\explorer.exe. В зависимости от версии ОС и дистрибутива путь к файлу EXPLORER.EX_ может быть различным.
После распаковки файла EXPLORER.EX_: – нажмите Ctrl + Alt + Del; – в окне Диспетчер задач Windows выберите меню Файл –> Новая задача (Выполнить…); – запустите вновь созданный файл \WINDOWS\explorer.exe.
Примечания 1. При отсутствии загрузочных аварийно-восстановительных дисков (типа Windows miniPE или ERD Commander) можно подключить винчестер к другому ПК (заведомо исправному и чистому от вирусов!), удалить исполняемый файл вируса flash_player.exe, затем подключить винчестер к «родному» ПК и после загрузки ОС внести вышеуказанные изменения в Реестр. 2. Не следует отправлять деньги по указанным номерам, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим информер. 3. Информер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или флеш-плеер, или «халяву», или порно, и санкционировать установку… 4. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)! 5. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 6. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 7. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 8. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?). 9. Кстати, вычислить (и – при желании! – покарать!) автора и распространителей этого блокировщика для достославного Управления «К» МВД РФ не составит труда: достаточно выяснить, на кого зарегистрированы сайты telki-best.ru, xengine.ru, а также телефонные номера 8-965-266-43-65, 8-903-518-01-27, 8-964-723-83-28, 8-903-244-80-76, 8-964-711-58-63, 8-960-253-01-19, 8-963-328-45-78, 8-960-253-01-96… 10. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!..
Валерий Сидоров
*** • Что делать, если появляется сообщение «Диспетчер задач отключен администратором»? • Что делать, если недоступен пункт меню «Свойства папки»? • Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»? • Что делать, если после лечения от вирусов не открывается флешка? • Как устранить последствия вирусной атаки? • Windows: что делать, если не запускается Утилита настройки системы msconfig? • Windows: как отобразить скрытые файлы и папки? • Знакомьтесь: CMedia и FieryAds – очередные порно-sms-вымогатели • Как избавиться от порно-информера? • Очередной порно-информер – блокировщик Windows
English version
|
|
© 2005 – 2011. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!