*** …Знакомьтесь: очередной порноинформер – блокировщик Windows и sms-вымогатель.
*** Симптомы заражения После запуска Windows в правом нижнем углу Рабочего стола (выше Панели задач) появляется «непотопляемое» окно порноинформера SEX ONLINE (размером 503x505 пикселей) с анимированным рисунком «топлес» и сообщением: «Поздравляем! Вы установили "SexTV" модуль для просмотра еро видео. Если Вы хотите отключить услугу, сделайте следующее: 1. Выберите Вашу страну (Россия)… 2. Отправьте смс с текстом 51223232 (или 51221425) на номер 1350. 3. Введите полученный код…».
При нажатии на ссылку информация для абонентов в веб-браузере загружается сайт xxnum.com.
*** Что представляет собой вирус порнобаннера Исполняемый (Portable Executable) файл вируса может иметь произвольное имя, например, flash_player_**.*.exe, mon.exe, cs.exe (221 184 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: ole32.dll, comdlg32.dll, RPCRT4.dll, KERNEL32.dll, oleaut32.dll.
«Визитная» карточка вируса: · CompanyName – Microsoft (вирусописатели прикрываются софтверным гигантом!..); · ProductName – sgst; · FileVersion – 1.00; · ProductVersion – 1.00; · InternalName – cs; · OriginalFilename – cs.exe.
Родина вируса – Россия. Этот порноинформер является типичным трояном – блокировщиком Windows и sms-вымогателем. На момент написания статьи ни один антивирус не идентифицировал зловреда.
*** Как происходит заражение В распространении вируса замечены ресурсы xxnum.com, www.keezmovies.com, www.ero.ru и др. Самостоятельно порноинформер не устанавливается, – установку осуществляет пользователь, кликнувший по ссылке порноинформера и санкционировавший установку (при этом предлагается установить какое-нибудь обновление или программу, например, обновлённую версию флеш-плейера, или скачать кодеки, или скачать бесплатно порно…).
*** Деструктивные действия Место установки вируса зависит от того, куда пользователь скачал/скопировал исполняемый файл вируса; – пользователь (будучи уверен в доброкачественности файла!) запускает исполняемый файл вируса (может иметь произвольное имя, например, flash_player_**.*.exe, mon.exe, cs.exe); – после запуска вирус извлекает из своего тела анимированный файл tit.gif (123 696 байт; оригинальный размер 197x97 пикселей). Эта «картинка» будет демонстрироваться в окне порнобаннера; – для обеспечения автоматического запуска в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] вирус создает строковый (REG_SZ) параметр mon.exe, значением которого является путь к исполняемому файлу вируса; – после загрузки ПК на экран монитора выводится окно порно-баннера, который своей раздражающей назойливостью провоцирует пользователя отправить sms на указанный премиум-номер; – порнобаннер блокирует запуск Диспетчера задач, Редактора реестра, Интерпретатор команд, утилиты msconfig; – вирус существенно ограничивает действия пользователя ПК; – …
*** Как уничтожить вирус и устранить деструктивные последствия Отключитесь от Интернета и от локальной сети. Если запуск Windows в Безопасном режиме заблокирован, воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander; – вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнётся перезагрузка; – в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter; – внизу появится строка состояния Starting Winternals ERD Commander; – после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration; – в окне Welcome to ERD Commander выберите ОС –> OK; – когда загрузится Рабочий Стол, дважды щелкните значок My Computer; – в каталоге установки вируса удалите исполняемый файл вируса (может иметь произвольное имя, например, flash_player_**.*.exe, mon.exe, cs.exe); – в этом же каталоге удалите анимированный файл tit.gif; – закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit; – в окне ERD Commander RegistryEditor раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; – проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,); – проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe; – раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]; – удалите строковый (REG_SZ) параметр mon.exe, значением которого является путь к исполняемому файлу вируса; – закройте ERD Commander RegistryEditor; – нажмите Start –> Log Off –> Restart –> OK. – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнётся перезагрузка;
– загрузите Windows в обычном режиме; – нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information); – очистите кэш интернет-файлов; – при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме; – при необходимости восстановите запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig; – перезагрузите ПК; – включите восстановление системы; – просканируйте систему антивирусом со свежими базами.
Примечания 1. Не следует отправлять деньги по указанному номеру, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим порнобаннер. 2. Порнобаннер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», или порно, и санкционировать установку… 3. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)! 4. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 5. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 6. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 7. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?). 8. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную! 9. Кстати, вычислить (и – при желании! – покарать!) автора и распространителей этого блокировщика для достославного Управления «К» МВД РФ не составит труда: достаточно выяснить, на кого зарегистрирован премиум-номер 1350…
Валерий Сидоров
*** • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2016. All rights reserved.
Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.