Очередной эпизод про компьютер, который хочет денег. Прочие дела смотри справа в разделе "Анти и вирусы"
Все-таки в моем родном отечестве обитают толпы патриотов моей великой родины. Ведь целая орава людей стрижет бабки на благо нашей службы безопасности Украины и нашего министерства внутренних дел. Столько вирусов требуют для них денег. "Не для себя, но только волею пославшей меня жены" (это из "12 стульев").
Звонок от знакомого: домашний компьютер резко захотел денег. Между делом сказал, что компьютеру уже два года и антивируса на нем отродясь небыло. В магазине им сказали, что он не нужен. Типа в Windows 7 есть встроенный защитник который со всем справится.
И вот сегодня при старте Windows появилось окно.
В разделе HKCU\Software\Microsoft\Windows\Run находится ключ Explorer, который запускает программу oamqzb4v.exe . Марк Руссинович в своем блоге когда-то написал статью о признаках вредоносной программы. И тут наличествовали минимум два из них:
Все-таки в моем родном отечестве обитают толпы патриотов моей великой родины. Ведь целая орава людей стрижет бабки на благо нашей службы безопасности Украины и нашего министерства внутренних дел. Столько вирусов требуют для них денег. "Не для себя, но только волею пославшей меня жены" (это из "12 стульев").
Звонок от знакомого: домашний компьютер резко захотел денег. Между делом сказал, что компьютеру уже два года и антивируса на нем отродясь небыло. В магазине им сказали, что он не нужен. Типа в Windows 7 есть встроенный защитник который со всем справится.
И вот сегодня при старте Windows появилось окно.
Грозный заголовок, Слева вверху все аттрибуты власти Украины. Суровый крестик над украинским флагом и гербом - символ СБУ. Для большей убедительности. Стандартное обвинение в просмотре педофилии, насилии и гей-порно. Требование оплатить 220 грн на кошелек Webmoney U382236572717. Понравилось обещание "дело будет удалено из архивов СБУ"
- Перегружаю компьютер.
- При старте Windows 7 в самом начале жму F8.
- Захожу в "безопасный режим с поддержкой командной строки". Windows нормально дошла до любимой и простой командной строки. Зараза сюда не добралась. Похоже вирус не такой уж и сложный.
- В командной строке запускаю редактор реестра regedit.exe.
- Вирус имел название Explorer как у одного из основных компонентов Windows. Но нормальный эксплорер не должен быть в этом месте. Он прописан абсолютно в другой ветке реестра.
- Вирус лежит в необычной лоя программ папке. Временной папке пользователя c:\users\agregat\appdata\local\temp\oamqzb4v.exe. Здесь agregat - имя пользователя
Удаляю этот ключ. Больше ничего подозрительного в реестре не нашел. Запускаю поиск по всему реестру на строку oamqzb4v. Поиск нашел еще одно место в реестре. В HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon было целых три ключа этого зловреда.
"Shell"="c:\users\agregat\appdata\local\temp\oamqzb4v.exe"
"UIHost"="c:\users\agregat\appdata\local\temp\oamqzb4v.exe"
"Userinit"="c:\users\agregat\appdata\local\temp\oamqzb4v.exe"
На всякий случай сохранил копию этой ветки реестра. И удаляю все три ключа. Закрываю редактор реестра.
Хотя реестр теперь был чист зловред мог стартовать каким-нибудь неизвестным мне способом. Или в системе могли находится другие компоненты вируса, которые я не заметил. И они могли восстановить этот файл. Поэтому надо стереть тело вируса и позаботиться о том, чтобы файла с таким именем нельзя было создать простыми средствами.
На всякий случай сохранил копию этой ветки реестра. И удаляю все три ключа. Закрываю редактор реестра.
Хотя реестр теперь был чист зловред мог стартовать каким-нибудь неизвестным мне способом. Или в системе могли находится другие компоненты вируса, которые я не заметил. И они могли восстановить этот файл. Поэтому надо стереть тело вируса и позаботиться о том, чтобы файла с таким именем нельзя было создать простыми средствами.
- Перехожу во временную папку пользователя "cd %temp%"
- Переношу тело вируса в другое место "mv oamqzb4v.exe c:\1". У зловреда оказался размер 87552 байта.
- Создаю вместо вируса папку с таким же именем "mkdir oamqzb4v.exe"
- Присваиваю ей атрибуты "Скрытый", "Системный" и "Только для чтения" "attrib
+SHR oamqzb4v.exe" - Перегружаю комп.
Компьютер нормально стартовал. Скачал бесплатный Avast. Установил и зарегистрировал его на год.
Теперь стало интересно, что за вируса. Прийдя домой начал его проверять.
Теперь стало интересно, что за вируса. Прийдя домой начал его проверять.
Линуксовский clamscan с последними обновлениями его не заметил. Сказал - все в порядке. Онлайн сканер DrWeb сказал что это "infected with Trojan.Winlock.7970". Microsoft Security Essentials заявил, что угроз нет, но попросило отослать этот файл в Microsoft на проверку
Комментариев нет:
Отправить комментарий