Як боротися з вірусом Penetrator?
І сказав вірусописьменник вірусам: «Плодіться і розмножуйтесь!..».
(Комп'ютерні байки) Останнім часом користувачам ПК (особливо тим, хто не
любить оберігатися!) сильно докучає вірус Penetrator.
Назва вірусу походить від penetrate (англ.) - проникати всередину,
проходити крізь, пронизувати; упроваджуватися (куда-л.) з шпигунськими
цілями.
Про походження вірусу ходять різні легенди.
Якоби, російський студент-програміст, знехтуваний своєю дівчиною,
вирішив таким чином помститися їй, а заразом - і всьому цифровому світу.
Деструктивні дії вірусу
Все .jpg-файлы (.jpg,
.jpeg) замінюються .jpg-изображениями (розміром 69х15 пікселів; «вагою»
3,1кб) із стилізованим написом Penetrator (чорний шрифт на
сірувато-білому фоні).
Файли .bmp, .png, .tiff вірус «не чіпає».
Аудіофайли
(.mp3, .wma), відеофайли (.avi, .mpeg, .wmv), файли Word (.doc, .rtf),
Excel (.xls) і Powerpoint (.ppt) знищуються (як правило, просто
віддаляються, рідше їх вміст підміняється іншим вмістом, наприклад, у
текстових файлів - матами).
Тобто вірус псує все найдорожче, що є у користувача ПК!
На
відміну від широко поширеної легенди, у вірусу немає «прив'язки» до
конкретної дати (наприклад, 1 січня, 23 лютого або 8 березня), - він
починає свої деструктивні дії відразу після запуску виконуваного файлу.
Найсильніша хвиля епідемії вірусу пройшлася по Далекому Сходу, особливо постраждала Амурська область.
Класифікація вірусу
Антивіруси
ідентифікують зловреда по-різному (як завжди!): наприклад, Panda
Antivirus називає його черв'яком W32/penetrator.A.worm; Антивірус
Касперського рахує його трояном Trojan-downloader.Win32.VB.
Як відбувається зараження
Засоби розповсюдження вірусу - Інтернет, flash-носители.
Зараження,
як правило, відбувається під час запуску файлу, замаскованого під
заставку *.scr, рідше вірус «косить» під файли .mp3.
При
зараженні у всі теки (і на всі носії, що підключаються до зараженому
ПК), що відкриваються, копіюється тіло вірусу у вигляді файлів
імя_папки.scr або імя_папки.exe.
Окрім цього, вірус створює наступні файли:
• \Windows\system32\deter*\lsass.exe (на відміну від сьогодення lsass.exe, що «проживає» в теці \WINDOWS\system32);
• \Windows\system32\deter*\smss.exe (на відміну від сьогодення smss.exe, що «проживає» в теці \WINDOWS\system32);
• \Windows\system32\deter*\svсhоst.exe (букви «с» і «о» - кирилічні, на відміну від сьогодення svchost.exe);
• \Windows\system32\ahtomsys*.exe (наприклад, ahtomsys19.exe);
• \Windows\system32\сtfmоn.exe (букви «с» і «о» - кирилічні, на відміну від сьогодення ctfmon.exe);
• \Windows\system32\psagor*.exe (або psagor*.sys, або psagor*.dll; наприклад, psagor18.dll).
Файли мають атрибути Прихований, Системний, Тільки читання. Розмір 114,5кб.
Вірус
прописує себе в Рєєстр Windows в Reg_sz-параметри Shell і Userinit
розділу [Hkey_local_machine\software\microsoft\windows
Nt\currentversion\winlogon].
Файли ahtomsys*.exe,
лже-сtfmоn.exe і psagor*.exe прописуються в Автозавантаженні (див.
розділ Реєстру
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]).
Вірус
- резидентний, на зараженому ПК він вантажиться разом з операційною
системою і постійно присутній в оперативній пам'яті.
Як усунути деструктивні наслідки вірусу
1. Перевірте вінчестер надійним антивірусом зі свіжими базами.
2. Видалите (якщо їх не знищив антивірус) файли імя_папки.scr і імя_папки.exe.
3. Видалите (якщо їх не знищив антивірус) наступні файли:
• \Windows\system32\deter*\lsass.exe (видалите файл разом з текою deter*);
• \Windows\system32\deter*\smss.exe (видалите файл разом з текою deter*);
•
\Windows\system32\deter*\svсhоst.exe (букви «с» і «о» - кирилічні, на
відміну від сьогодення svchost.exe; видалите файл разом з текою deter*);
• \Windows\system32\ahtomsys*.exe (наприклад, ahtomsys19.exe);
• \Windows\system32\сtfmоn.exe (букви «с» і «о» - кирилічні, на відміну від сьогодення ctfmon.exe);
• \Windows\system32\psagor*.exe (або psagor*.sys, або psagor*.dll; наприклад, psagor18.dll).
4. Перевірте розділ Реєстру [Hkey_local_machine\software\microsoft\windows Nt\currentversion\winlogon]:
• Reg_sz-параметр Shell повинен мати значення Explorer.exe;
• Reg_sz-параметр Userinit повинен мати значення C:\windows\system32\userinit.exe,
5. Видалите з Автозавантаження файли ahtomsys*.exe, лже-сtfmоn.exe і psagor*.exe (див. розділ Реєстру
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]).
6. Видалите шаблон Normal.dot (див. Як боротися з макровірусами?).
7. Спробуйте відновити видалені вірусом файли (див. У пошуках втраченого, або Як відновити інформацію?).
Сильно спокушатися не слід, але дещо (якщо поверх не записувалася інша інформація!) відновити вдасться.
Оскільки файли .jpg перезаписуються вірусом під тією ж назвою, але з іншим вмістом, відновити їх не вдається.
Примітки
1.
Будьте обережні при маніпуляціях з Реєстром! Некоректне використання
Редактора реєстру може привести до виникнення серйозних неполадок, аж до
переустановлення операційної системи!
2. Пам'ятаєте, що
попередити легко, ніж лікувати! Користуйтеся брандмауерами і надійними
антивірусними програмами (див. Як вибрати антивірус?) з регулярно (не
менше одного разу на тиждень!) оновлюваними базами.
3. Почастіше робіть резервне копіювання важливої інформації (див. Як уникнути втрати інформації?).
4.
Залежно від різновиду вірусу Penetrator кількість, назва і розмір
створюваних ним файлів і тек, а також набір деструктивних дій можуть
істотно розрізнятися.
Післямова
За
повідомленнями ЗМІ, 20-річний автор комп'ютерного вірусу «пенетратор»
затриманий в Калінінграді. Програмістові загрожує позбавлення волі
строком на 3 роки, а у випадку, якщо буде доведено, що наслідки вірусної
атаки виявилися важкими - 7 років.
Люди, будьте пильні! Сили комп'ютерного зла не дрімають!
|
| Категорія: Статті | Додав: Luther (15.04.2011)
|
| Переглядів: 692
| Рейтинг: 0.0/0 |
|
