|
English version
*** …Недавно лечил зараженные ПК с очередным порно-информером – блокировщиком Windows.
*** Симптомы неисправности После загрузки операционной системы в центре Рабочего стола появляется окно порно-информера с сообщением «ВНИМАНИЕ!!! Вы просматривали гей-порно видео в течении трёх часов. Время бесплатного просмотра истекло. Для того, чтобы оплатить услугу, Вам необходимо пополнить счёт абонента Билайн … на сумму 400 руб. После оплаты на квитанции Вы найдёте код активации. Введите его в поле ниже и нажмите Enter».
Так как окно порно-информера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно. При этом мышь и клавиатура заблокированы, не удается запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows.
Порно-информер грузится и в Безопасном режиме.
*** Что представляет собой вирус порно-баннера Исполняемый (Portable Executable) файл вируса – wlock.exe (83456 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: KERNEL32.dll, USER32.dll, GDI32.dll, ADVAPI32.dll, SHELL32.dll, SHLWAPI.dll, gdiplus.dll.
В файле wlock.exe «прошита» картинка порно-информера (выводится при загрузке в диалоговом окне порно-информера), а также 9 телефонных номеров, по которым предлагается отправить 400 руб. – 9037528310, 9653251183, 9653251178, 9671275982, 9671275984, 9645221024, 9645220737, 9671215520, 9645223210 (все номера принадлежат московскому Билайну – ОАО «Вымпел-Коммуникации»). В окне порно-информера телефонные номера выводятся в случайном порядке.
С помощью редактора ресурсов в файле wlock.exe можно также найти диалоговое окно About winAD, в котором указано название программы (winAD), версия (Version 1.0), дата изготовления (2010 г.) и Copyright (!).
Родина вируса – Россия (Москва). Этот порно-информер является типичным трояном – блокировщиком и вымогателем. Название файла – wlock – красноречиво говорит о его предназначении: Windows lock – блокировщик Windows.
*** Как происходит заражение Распространением вируса занимаются варезные, халявные и порно-ресурсы. Самостоятельно порно-информер не устанавливается, – установку осуществляет пользователь, кликнувший по ссылке порно-информера и санкционировавший установку (при этом предлагается установить какое-нибудь обновление или программу, например, обновленную версию медиа-плеера или скачать кодеки, или скачать бесплатно порно).
*** Деструктивные действия – При заражении системы вирус создает в папке \Documents and Settings\<Имя_пользователя>\ (Windows XP; в ОС Windows Vista и Windows 7 – \Users\Имя_пользователя\) каталог \wlock\ и копирует в него исполняемый файл вируса wlock.exe; – для обеспечения автоматического запуска (в том числе и в Безопасном режиме) в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] вирус изменяет значение строкового (REG_SZ) параметра Userinit на C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\<Имя_пользователя>\wlock\wlock.exe; – после загрузки ПК на экран монитора выводится окно порно-баннера, который своей раздражающей назойливостью провоцирует пользователя отправить деньги на один из указанных номеров; – …
*** Как уничтожить вирус и устранить деструктивные последствия Отключитесь от Интернета и от локальной сети. Для лечения воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander; – вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка; – в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter; – внизу появится строка состояния Starting Winternals ERD Commander; – после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration; – в окне Welcome to ERD Commander выберите ОС –> OK; – когда загрузится Рабочий Стол, дважды щелкните значок My Computer; – в каталоге \Documents and Settings\<Имя_пользователя>\ (в ОС Windows Vista и Windows 7 – \Users\Имя_пользователя\) удалите каталог wlock (вместе с файлом wlock.exe); – закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit; – в окне ERD Commander RegistryEditor раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; – измените значение строкового (REG_SZ) параметра Userinit на C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,); – проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe; – закройте ERD Commander RegistryEditor; – нажмите Start –> Log Off –> Restart –> OK. – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– загрузите Windows в обычном режиме; – нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information); – очистите кэш интернет-файлов; – при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме; – перезагрузите ПК; – включите восстановление системы; – просканируйте систему антивирусом со свежими базами.
Примечания 1. Не следует отправлять деньги по указанным номерам, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим порно-баннер. 2. Порно-баннер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву» (например, реферат или музыку), или порно, и санкционировать установку… 3. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)! 4. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 5. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 6. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 7. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?). 8. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную! 9. Кстати, вычислить (и – при желании! – покарать!) автора и распространителей блокировщика wlock для достославного Управления «К» МВД РФ не составит труда: достаточно обратиться в ОАО «Вымпел-Коммуникации» и выяснить, на кого зарегистрированы номера 9037528310, 9653251183, 9653251178, 9671275982, 9671275984, 9645221024, 9645220737, 9671215520, 9645223210…
Валерий Сидоров
*** • Что делать, если появляется сообщение «Диспетчер задач отключен администратором»? • Что делать, если недоступен пункт меню «Свойства папки»? • Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»? • Что делать, если после лечения от вирусов не открывается флешка? • Как устранить последствия вирусной атаки? • Windows: как отобразить скрытые файлы и папки?
English version
|
|
© 2005 – 2010. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!