[GNews] Вирус Penetrator уничтожает всю музыку и картинки
Как бороться с вирусом Penetrator?
Валерий Сидоров
16.08.2008| Техника и Интернет (http://shkolazhizni.ru/archive/computers/)
Силы компьютерного зла не дремлют!..
***
И сказал вирусописатель вирусам: "Плодитесь и размножайтесь!..".
(Компьютерные байки)
В последнее время пользователям ПК (особенно тем, кто не любит предохраняться!)
сильно досаждает вирус Penetrator.
Происхождение вируса и этимология названия
Название вируса происходит от penetrate (англ.) - проникать внутрь, проходить
сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.
О происхождении вируса ходят разные легенды. Якобы, российский студент-программист,
отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно - и всему
цифровому миру:
Деструктивные действия вируса
Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15
пикселей; "весом" 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на
серовато-белом фоне).
Файлы .bmp, .png, .tiff вирус "не трогает".
Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc,
.rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются,
реже их содержимое подменяется другим содержимым, например, у текстовых файлов
- матами).
То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
В отличие от широко распространенной легенды, у вируса нет "привязки" к
конкретной дате (например, 1 января, 23 февраля или 8 марта), - он начинает свои
деструктивные действия сразу после запуска исполняемого файла.
Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно
пострадала Амурская область.
Классификация вируса
Антивирусы идентифицируют зловреда по-разному (как всегда!): например,
Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского
считает его трояном Trojan-Downloader.Win32.VB:
Как происходит заражение
Средства распространения вируса - Интернет, flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного
под заставку *.scr, реже вирус "косит" под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному
ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.
Кроме этого, вирус создает следующие файлы:
\WINDOWS\system32\deter*\lsass.exe (в отличие от настоящего lsass.exe,
"проживающего" в папке \WINDOWS\system32);
\WINDOWS\system32\deter*\smss.exe (в отличие от настоящего smss.exe, "проживающего"
в папке \WINDOWS\system32);
\WINDOWS\system32\deter*\svсhоst.exe (буквы "с" и "о" - кириллические,
в отличие от настоящего svchost.exe);
\WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe);
\WINDOWS\system32\сtfmоn.exe (буквы "с" и "о" - кириллические, в отличие
от настоящего ctfmon.exe);
\WINDOWS\system32\psagor*.exe (или psagor*.sys, или psagor*.dll; например,
psagor18.dll).
Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.
Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit
раздела [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon].
Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке
(см. раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]).
Вирус - резидентный, на зараженном ПК он грузится вместе с операционной
системой и постоянно присутствует в оперативной памяти.
Как устранить деструктивные последствия вируса
1. Проверьте винчестер надежным антивирусом (http://shkolazhizni.ru/archive/0/n-10378/)
со свежими базами.
2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.
3. Удалите (если их не уничтожил антивирус) следующие файлы:
\WINDOWS\system32\deter*\lsass.exe (удалите файл вместе с папкой deter*);
\WINDOWS\system32\deter*\smss.exe (удалите файл вместе с папкой deter*);
\WINDOWS\system32\deter*\svсhоst.exe (буквы "с" и "о" - кириллические,
в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*);
\WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe);
\WINDOWS\system32\сtfmоn.exe (буквы "с" и "о" - кириллические, в отличие
от настоящего ctfmon.exe);
\WINDOWS\system32\psagor*.exe (или psagor*.sys, или psagor*.dll; например,
psagor18.dll).
4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]:
REG_SZ-параметр Shell должен иметь значение Explorer.exe;
REG_SZ-параметр Userinit должен иметь значение C:\WINDOWS\System32\userinit.exe,
5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe
(см. раздел Реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]).
6. Удалите шаблон Normal.dot (см. Как бороться с макровирусами?).
7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного,
или Как восстановить информацию?).
Сильно обольщаться не следует, но кое-что (если поверх не записывалась
другая информация!) восстановить удастся.
Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но
с другим содержимым, восстановить их не удается.
Примечания
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование
Редактора реестра может привести к возникновению серьезных неполадок, вплоть
до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами
и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно
(не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать
утраты информации?).
4. В зависимости от разновидности вируса Penetrator количество, название
и размер создаваемых им файлов и папок, а также набор деструктивных действий
могут существенно различаться.
Послесловие
По сообщениям СМИ, 20-летний автор компьютерного вируса "пенетратор" задержан
в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае,
если будет доказано, что последствия вирусной атаки оказались тяжелыми - 7 лет:
Люди, будьте бдительны! Силы компьютерного зла не дремлют!..
Как устранить последствия вирусной атаки? (http://shkolazhizni.ru/archive/0/n-10631/)
Что делать, если появляется сообщение "Редактирование реестра запрещено"?
(http://shkolazhizni.ru/archive/0/n-10576/)
Что делать, если недоступен пункт меню "Свойства папки"? (http://shkolazhizni.ru/archive/0/n-10577/)
Windows: что делать, если не удается отобразить скрытые файлы и папки?
(http://shkolazhizni.ru/archive/0/n-14631/)
Что делать, если появляется сообщение "Диспетчер задач отключен администратором"?
(http://shkolazhizni.ru/archive/0/n-10579/)
Что делать, если после лечения от вирусов не открывается флэшка? (http://shkolazhizni.ru/archive/0/n-10630/)
Windows: что делать, если вирусы отключили подсистему печати? (http://shkolazhizni.ru/archive/0/n-14979/)
Это новостная лист-рассылка, в которую могут писать все подписчики.
Для отправки комментария или новости в лист отправьте письмо, нажав "Ответить" в своей почтовой программе.
24590
