|
Лечим вирус, который просит отправить СМС
Я уже рассказывал, как в канун Нового 2010 года
вирус-вымогатель сломал мой
компьютер. С момента восстановления компьютера (точнее, покупки
нового) прошла неделя и за это время я изучил много информации об
этом "вирусе". Как оказалось не зря.
Моя жена, работая на своём компьютере, вдруг
обратила внимание, что не переключается раскладка клавиатуры. Она
знала. что так же начались неприятности с моим компьютером и поэтому
сразу позвала меня. Я попросил её ни в коем случае не перегружать
компьютер и запустить полную проверку компьютера антивирусом. Было
очевидно, что это ничего не даст, но стоило посмотреть, что вообще
покажет Касперский, пока вирус ещё не взял всё управление
компьютером на себя (это должно было произойти после перезагрузки
компьютера).
Когда антивирус нашёл, но не смог вылечить файл
sdra64.exe я понял, что Лена не ошиблась и
в её компьютере тот же вирус, который сломал мой компьютер. Значит,
дело серьёзное и нужно обдумывать каждое своё действие. Касперский
нашёл ещё одну подозрительную папку, которая была "защищена от
пользователя". Я записал её название и местоположение (Lowsec
по адресу WINDOWS/System32). Больше ничего
интересного проверка не дала.
Все программы запускались, но доступ к системному
реестру был заблокирован. Это плохо. так как на форумах говорили,
что нужно удалить некоторые вещи из реестра. Но нет, так нет. Буду
лечить как смогу. DOS Navigator
запускался, но не видел файл sdra64.exe и
папку Lowsec. А FAR Manager
их увидел. но не смог удалить. Не удаляли эти программы и найденные
мной exe'шники во временно сохраненных
файлах Интернета... Причём, после попытки удалить их, файлы
размножались, создавая возле себя новые exe'шники,
dll'ки и файлы с другими расширениями.
Помогло удаление внутренностей этих файлов через редактирование их
содержания и последующее удаление самих пустых файлов. Но это очень
долго - стирать содержимое файла, состоящего из 1600 строк длинной
по 50-400 символов.
Короче, это мучение, а не лечение. Да и в прошлый
раз лечение стоило мне всего компьютера. и я решил действовать
радикально. К тому же, компьютер Лены стоил в несколько раз дороже
моего. Его терять было нельзя.
На приведение его в чувство у меня ушло трое суток,
между которыми я спал один раз 3 часа, второй - 2,5. Зато, в итоге
компьютер был жив. а вся рабочая информация на винчестере сохранена.
Так что, мои знания помогли спасти и данные, и "железо".
Как мне это удалось? А вот не расскажу! Во-первых,
не опытный человек всё равно вылечить свой компьютер не сможет.
Во-вторых - лечение компьютерных вирусов - это одно из направлений
моей работы. Я же не прошу вас рассказывать мне свои
профессиональные секреты. Если нужна помощь, то обращайтесь (типа,
реклама). Реквизиты есть на странице "Об
агентстве". Пока лечу этот вирус только в Сыктывкаре!
Ну а тем, кто считает себя специалистом и тем, кому
жалко 3 тысячи рублей за избавление от заразы, которая может лишить
и важных файлов. и самого компьютера, дам пару намёков и полную
информацию о вирусе. Это будет интересно всем, кто уже достал
поисковые системы запросами "вирус смс".
Собственно вирусом эту программу можно назвать с
большой натяжкой. Скорее это, как трактует Уголовный кодекс
Российской Федерации, "вредоносная программа для ЭВМ". Пофиг, что
ЭВМ у нас уже лет 20 как нет, но вирус вымогатель - это именно такая
программа. "Добрые" люди даже размещают на форумах и в комментариях
в блогах рекламу. предлагающую купить этот "чудо-вирус". Вот
описание возможностей программы:
[+] Защита от повторного запуска софта. createMutex.
[+] Изменяет аттрибуты на скрытый и системный у explorer.exe,
regedit.exe, cmd.exe, taskmgr.exe.
[+] Помещение окна блокиратора поверх всех окон (блокирует Alt+Tab).
[+] Имеет достаточно простой и понятный интерфейс.
[+] Возможно вписать любой текст на ваше усмотрение. (Опционально).
[+] Не изменяет ключей в реестре. (работает по !другому принципу.
Исключение, прописывается в автозагрузку и блокирует безопасный
режим).
[+] Автозагрузка вместе с explorer.exe, далее его принудительное
завершение.
[+] Возможность отслеживания и завершения любых процессов в памяти.
(Опционально).
[+] Блокировка безопасного режима\Disable Safe Mode.
[+] Блокировка Alt+Ctrl+Del, Alt+Tab, Alt+F4, Ctrl+Esc, Win+D, Win+R,
Win.
[+] Добавляет себя в исключения виндового фаервола (доверенный
источник).
[+] Маскируется под файл Microsoft Office - ctfmon.exe (Иконка и
versioninfo) (Опционально. Возможно изменить на любой другой).
[+] Создает файл носитель и устанавливает ему атрибуты: скрытый,
системный, только чтение.
[+] Проверка на существование файла (защита от повторного запуска).
[+] Полное самоудаление из системы при правильно введенном ключе.
[+] Шифрование ключа(ей) алгоритмом ROTx.
[+] Установка одного или нескольких ключей разблокировки.
(Опционально).
[+] Оригинальный размер файла 20 кб, криптованный Upack0.39f - 7.4
кб
[+] Отслеживает и блокирует процессы: TASKMGR.exe, MSCONFIG.exe,
regedit.exe, regedt32.exe, CMD.exe. (Опционально).
Эта программа попадает на ваш компьютер с
электронной почтой. Открыв письмо со спамом, вы удаляете его в
корзину, а программа уже начинает жить в вашем компьютере. Она
активируется не сразу, а через пару дней или недель. Примечательно,
что часто таким образом выводятся из строя компьютеры руководителей
преуспевающих организаций (лидеров рынка), бухгалтеров и прочих
ответственных работников.
Так же, программа может попасть на компьютер вместе
со скачанным с нелегальных (неофициальных) ресурсов таких программ.
как Adobe FlashPlayer и
Adobe Reader. Инфицированные таким образом файлы нельзя
удалить с винчестера ничем. кроме форматирования.
Смысл работы "вируса" всегда одинаков. Он
заставляет вас перегрузить компьютер, чем окончательно берёт
управление им на себя. Как результат, вы видите, что рабочий стол
закрыт окном размером с 2/3 экрана монитора. Тексты в этом окне
могут быть разными, но вам укажут, что вы нарушили лицензионное
соглашение той или иной программы (Download
Master, File Downloader, Imax Download Manager, eKAV Anrivirus, Internet
Security, Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro или
ещё какой). А затем предложат отправить СМС на номер (типа, 4460,
7373, 4171, 3649, 5155, 1350, 7122, 8353 или ещё какой). СМС стоит
денег, но взамен вы получите код, который нужно ввести в специальное
поле в окне вируса-вымогателя. Предполагается, что это приведёт к
исцелению компьютера от вируса, на самом деле, вирус останется в
системе и где-то через неделю вновь занавесит ваш рабочий стол своим
окном и попросит очередную дозу СМС. Может появиться порно-баннер и
перестанут запускаться программы (все или только некоторые). Иногда
вирус сам маскируется под антивирусник, рисуя вам картинку. будто он
проверяет вашу систему и находит в ней вирусы, которые можно удалить
лишь отправив СМС на короткий номер.
В общем, "вирус СМС" - это серьёзная напасть и если
у вас сразу не получилось от него избавиться, то лучше как можно
скорее обратиться к профессионалам. И не удивляйтесь, что лечение
будет стоить дороже, чем лечение других вирусов. Да и сам процесс
лечения будет долгим. Вместо обычных 2-4 часов ваш компьютер будут
лечить несколько суток.
Хотя, может для вас всё закончится благополучно. По
последним данным, антивирус Касперского научился выявлять и лечить
вирус-вымогатель. Зараза, создающая файл
sdra64.exe называется Packed.Win32.Krap.w
Текст © Спицын Владимир, 2010 (специально для сайта
"Интернет Коми": www.internet-komi.ru)
|
Интересные статьи
Четырёхсимвольные домены в зоне RU
Как сменить IP-адрес?
Самые популярные запросы в Яндексе
Как восстановить флешку?
Интересные сайты
www.komiarenda.ru -
сайт-навигатор по организациям и предпринимателям, оказывающим услуги аренды и
проката различных предметов, вещей и имущества в Республике Коми.
www.posutochno11.ru - сайт компании "Комфорт": посуточная аренда квартир в Сыктывкаре.
Полезные сервисы
Домены и хостинг от регистратора №1 в России
Если не устраивает хостинг в Москве, то берём в СПб
Нанять фрилансера или самому пофрилансить
Купить готовый сайт, или продать свой
|
