Очередной порно-информер – блокировщик Windows

English version

***

…Недавно лечил зараженные ПК с очередным порно-информером – блокировщиком Windows.

***

Симптомы неисправности

После загрузки операционной системы в центре Рабочего стола появляется окно порно-информера с сообщением «ВНИМАНИЕ!!! Вы просматривали гей-порно видео в течении трёх часов. Время бесплатного просмотра истекло. Для того, чтобы оплатить услугу, Вам необходимо пополнить счёт абонента Билайн … на сумму 400 руб. После оплаты на квитанции Вы найдёте код активации. Введите его в поле ниже и нажмите Enter».

Так как окно порно-информера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно.

При этом мышь и клавиатура заблокированы, не удается запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows.

Порно-информер грузится и в Безопасном режиме.

***

Что представляет собой вирус порно-баннера

Исполняемый (Portable Executable) файл вируса – wlock.exe (83456 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: KERNEL32.dll, USER32.dll, GDI32.dll, ADVAPI32.dll, SHELL32.dll, SHLWAPI.dll, gdiplus.dll.

В файле wlock.exe «прошита» картинка порно-информера (выводится при загрузке в диалоговом окне порно-информера), а также 9 телефонных номеров, по которым предлагается отправить 400 руб. – 9037528310, 9653251183, 9653251178, 9671275982, 9671275984, 9645221024, 9645220737, 9671215520, 9645223210 (все номера принадлежат московскому Билайну – ОАО «Вымпел-Коммуникации»).

В окне порно-информера телефонные номера выводятся в случайном порядке.

С помощью редактора ресурсов в файле wlock.exe можно также найти диалоговое окно About winAD, в котором указано название программы (winAD), версия (Version 1.0), дата изготовления (2010 г.) и Copyright (!).

Родина вируса – Россия (Москва).

Этот порно-информер является типичным трояном – блокировщиком и вымогателем.

Название файла – wlock – красноречиво говорит о его предназначении: Windows lock – блокировщик Windows.

***

Как происходит заражение

Распространением вируса занимаются варезные, халявные и порно-ресурсы.

Самостоятельно порно-информер не устанавливается, – установку осуществляет пользователь, кликнувший по ссылке порно-информера и санкционировавший установку (при этом предлагается установить какое-нибудь обновление или программу, например, обновленную версию медиа-плеера или скачать кодеки, или скачать бесплатно порно).

***

Деструктивные действия

– При заражении системы вирус создает в папке \Documents and Settings\<Имя_пользователя>\ (Windows XP; в ОС Windows Vista и Windows 7 – \Users\Имя_пользователя\) каталог \wlock\ и копирует в него исполняемый файл вируса wlock.exe;

– для обеспечения автоматического запуска (в том числе и в Безопасном режиме) в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] вирус изменяет значение строкового (REG_SZ) параметра Userinit на C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\<Имя_пользователя>\wlock\wlock.exe;

– после загрузки ПК на экран монитора выводится окно порно-баннера, который своей раздражающей назойливостью провоцирует пользователя отправить деньги на один из указанных номеров;

– …

***

Как уничтожить вирус и устранить деструктивные последствия

Отключитесь от Интернета и от локальной сети.

Для лечения воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander;

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в каталоге \Documents and Settings\<Имя_пользователя>\ (в ОС Windows Vista и Windows 7 – \Users\Имя_пользователя\) удалите каталог wlock (вместе с файлом wlock.exe);

– закройте окно ERD Commander Explorer;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander RegistryEditor раскройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– измените значение строкового (REG_SZ) параметра Userinit на C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe;

– закройте ERD Commander RegistryEditor;

– нажмите Start –> Log Off –> Restart –> OK.

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– загрузите Windows в обычном режиме;

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– очистите кэш интернет-файлов;

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

Примечания

1. Не следует отправлять деньги по указанным номерам, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим порно-баннер.

2. Порно-баннер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву» (например, реферат или музыку), или порно, и санкционировать установку…

3. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!

4. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

5. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

6. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

7. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).

8. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!

9. Кстати, вычислить (и – при желании! – покарать!) автора и распространителей блокировщика wlock для достославного Управления «К» МВД РФ не составит труда: достаточно обратиться в ОАО «Вымпел-Коммуникации» и выяснить, на кого зарегистрированы номера 9037528310, 9653251183, 9653251178, 9671275982, 9671275984, 9645221024, 9645220737, 9671215520, 9645223210…

Валерий Сидоров

***

• Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?

• Что делать, если недоступен пункт меню «Свойства папки»?

• Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?

• Что делать, если после лечения от вирусов не открывается флешка?

• Как устранить последствия вирусной атаки?

• Windows: как отобразить скрытые файлы и папки?

English version