| English version | Распечатать |
***
…Знакомьтесь: очередной порноинформер – блокировщик Windows и sms-вымогатель.
***
Симптомы заражения
После запуска Windows в правом нижнем углу Рабочего стола (выше Панели задач) появляется «непотопляемое» окно порноинформера SEX ONLINE (размером 503x505 пикселей) с анимированным рисунком «топлес» и сообщением:
«Поздравляем! Вы установили "SexTV" модуль для просмотра еро видео. Если Вы хотите отключить услугу, сделайте следующее:
1. Выберите Вашу страну (Россия)…
2. Отправьте смс с текстом 51223232 (или 51221425) на номер 1350.
3. Введите полученный код…».
При нажатии на ссылку информация для абонентов в веб-браузере загружается сайт xxnum.com.
***
Что представляет собой вирус порнобаннера
Исполняемый (Portable Executable) файл вируса может иметь произвольное имя, например, flash_player_**.*.exe, mon.exe, cs.exe (221 184 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: ole32.dll, comdlg32.dll, RPCRT4.dll, KERNEL32.dll, oleaut32.dll.
«Визитная» карточка вируса:
· CompanyName – Microsoft (вирусописатели прикрываются софтверным гигантом!..);
· ProductName – sgst;
· FileVersion – 1.00;
· ProductVersion – 1.00;
· InternalName – cs;
· OriginalFilename – cs.exe.
Родина вируса – Россия.
Этот порноинформер является типичным трояном – блокировщиком Windows и sms-вымогателем.
На момент написания статьи ни один антивирус не идентифицировал зловреда.
***
Как происходит заражение
В распространении вируса замечены ресурсы xxnum.com, www.keezmovies.com, www.ero.ru и др.
Самостоятельно порноинформер не устанавливается, – установку осуществляет пользователь, кликнувший по ссылке порноинформера и санкционировавший установку (при этом предлагается установить какое-нибудь обновление или программу, например, обновлённую версию флеш-плейера, или скачать кодеки, или скачать бесплатно порно…).
***
Деструктивные действия
Место установки вируса зависит от того, куда пользователь скачал/скопировал исполняемый файл вируса;
– пользователь (будучи уверен в доброкачественности файла!) запускает исполняемый файл вируса (может иметь произвольное имя, например, flash_player_**.*.exe, mon.exe, cs.exe);
– после запуска вирус извлекает из своего тела анимированный файл tit.gif (123 696 байт; оригинальный размер 197x97 пикселей). Эта «картинка» будет демонстрироваться в окне порнобаннера;
– для обеспечения автоматического запуска в разделе Реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] вирус создает строковый (REG_SZ) параметр mon.exe, значением которого является путь к исполняемому файлу вируса;
– после загрузки ПК на экран монитора выводится окно порно-баннера, который своей раздражающей назойливостью провоцирует пользователя отправить sms на указанный премиум-номер;
– порнобаннер блокирует запуск Диспетчера задач, Редактора реестра, Интерпретатор команд, утилиты msconfig;
– вирус существенно ограничивает действия пользователя ПК;
– …
***
Как уничтожить вирус и устранить деструктивные последствия
Отключитесь от Интернета и от локальной сети.
Если запуск Windows в Безопасном режиме заблокирован, воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander;
– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнётся перезагрузка;
– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;
– внизу появится строка состояния Starting Winternals ERD Commander;
– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
– в окне Welcome to ERD Commander выберите ОС –> OK;
– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
– в каталоге установки вируса удалите исполняемый файл вируса (может иметь произвольное имя, например, flash_player_**.*.exe, mon.exe, cs.exe);
– в этом же каталоге удалите анимированный файл tit.gif;
– закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander RegistryEditor раскройте раздел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть
C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe;
– раскройте раздел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run];
– удалите строковый (REG_SZ) параметр mon.exe, значением которого является путь к исполняемому файлу вируса;
– закройте ERD Commander RegistryEditor;
– нажмите Start –> Log Off –> Restart –> OK.
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнётся перезагрузка;
– загрузите Windows в обычном режиме;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);
– очистите кэш интернет-файлов;
– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;
– при необходимости восстановите запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig;
– перезагрузите ПК;
– включите восстановление системы;
– просканируйте систему антивирусом со свежими базами.
Примечания
1. Не следует отправлять деньги по указанному номеру, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим порнобаннер.
2. Порнобаннер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», или порно, и санкционировать установку…
3. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!
4. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
5. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
6. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
7. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).
8. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
9. Кстати, вычислить (и – при желании! – покарать!) автора и распространителей этого блокировщика для достославного Управления «К» МВД РФ не составит труда: достаточно выяснить, на кого зарегистрирован премиум-номер 1350…
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…