» » Як боротися з вірусом Penetrator?

Як боротися з вірусом Penetrator?

Фото - Як боротися з вірусом Penetrator?

***

І сказав вирусописатели вірусам: «Плодіться і розмножуйтеся! ..».

(Комп'ютерні байки)

Останнім часом користувачам ПК (особливо тим, хто не любить оберігатися!) Сильно докучає вірус Penetrator.

Походження вірусу і етимологія назви

Назва вірусу походить від penetrate (Англ.) - Проникати всередину, проходити крізь, пронізивать- впроваджуватися (куди-л.) З шпигунськими цілями.

Про походження вірусу ходять різні легенди. Нібито, російський студент-програміст, знехтуваний своєю дівчиною, вирішив таким чином помститися їй, а заодно - і всьому цифрового світу ...

Деструктивні дії вірусу

Всі .jpg-файли (.jpg, .jpeg) замінюються .jpg-зображеннями (розміром 69х15 пікселей- «вагою» 3,1КБ) зі стилізованим написом Penetrator (Чорний шрифт на сірувато-білому фоні).

Файли .bmp, .png, .tiff вірус «не чіпає».

Аудіофайли (.mp3, .wma), відеофайли (.avi, .mpeg, .wmv), файли Word (.doc, .rtf), Excel (.xls) і PowerPoint (.ppt) знищуються (як правило, просто видаляються, рідше їх вміст підміняється іншим вмістом, наприклад, у текстових файлів - матами).

Тобто вірус псує все найдорожче, що є у користувача ПК!

На відміну від широко поширеної легенди, у вірусу немає «прив'язки» до конкретної дати (наприклад, 1 січня, 23 лютого чи 8 березня), - він починає свої деструктивні дії відразу після запуску виконуваного файлу.

Найсильніша хвиля епідемії вірусу пройшлася по Далекому Сходу, особливо постраждала Амурська область.

Класифікація вірусу

Антивіруси ідентифікують зловреда по-різному (як завжди!): Наприклад, Panda Antivirus називає його хробаком W32 / Penetrator.A.worm- Антивірус Касперського вважає його трояном Trojan-Downloader.Win32.VB...

Як відбувається зараження

Засоби поширення вірусу - Інтернет, flash-носії.

Зараження, як правило, відбувається під час запуску файлу, замаскованого під заставку * .scr, рідше вірус «косить» під файли .mp3.

При зараженні в усі відкриваються папки (і на все підключаються до зараженого ПК носії) копіюється тіло вірусу у вигляді файлів імя_папкі.scr або імя_папкі.exe.

Крім цього, вірус створює наступні файли:

WINDOWSsystem32deter * lsass.exe (На відміну від справжнього lsass.exe, «проживаючого» в папці WINDOWSsystem32) ;

WINDOWSsystem32deter * smss.exe (На відміну від справжнього smss.exe, «проживаючого» в папці WINDOWSsystem32) ;

WINDOWSsystem32deter * svсhоst.exe (Літери «с» і «о» - кириличні, на відміну від справжнього svchost.exe) ;

WINDOWSsystem32ahtomsys * .exe (Наприклад, ahtomsys19.exe) ;

WINDOWSsystem32сtfmоn.exe (Літери «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe) ;

WINDOWSsystem32psagor * .exe (Або psagor * .sys, або psagor * .dll- наприклад, psagor18.dll).

Файли мають атрибути Прихований, Системний, Тільки читання. Розмір 114,5КБ.

Вірус прописує себе в Реєстр Windows в REG_SZ-параметри Shell і Userinit розділу [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].

Файли ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe прописуються в Автозавантаженні (Див. Розділ Реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

Вірус - резидентний, на зараженому ПК він вантажиться разом з операційною системою і постійно присутній в оперативної пам'яті.

Як усунути деструктивні наслідки вірусу

1. Перевірте вінчестер надійним антивірусом зі свіжими базами.

2. Видаліть (якщо їх не знищив антивірус) файли імя_папкі.scr і імя_папкі.exe.

3. Видаліть (якщо їх не знищив антивірус) наступні файли:

WINDOWSsystem32deter * lsass.exe (Видаліть файл разом з папкою deter *) ;

WINDOWSsystem32deter * smss.exe (Видаліть файл разом з папкою deter *) ;

WINDOWSsystem32deter * svсhоst.exe (Літери «с» і «о» - кириличні, на відміну від справжнього svchost.exe- видаліть файл разом з папкою deter *) ;

WINDOWSsystem32ahtomsys * .exe (Наприклад, ahtomsys19.exe) ;

WINDOWSsystem32сtfmоn.exe (Літери «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe) ;

WINDOWSsystem32psagor * .exe (Або psagor * .sys, або psagor * .dll- наприклад, psagor18.dll).

4. Перевірте розділ Реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:

• REG_SZ-параметр Shell повинен мати значення Explorer.exe;

• REG_SZ-параметр Userinit повинен мати значення C: WINDOWSSystem32userinit.exe,

5. Видаліть з Автозавантаження файли ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe (див. розділ Реєстру

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

6. Видаліть шаблон Normal.dot (Див. Як боротися з макровірусами?).

7. Спробуйте відновити видалені вірусом файли (див. У пошуках втраченого, або Як відновити інформацію?).

Сильно спокушатися не варто, але дещо (якщо поверх не записував інша інформація!) Відновити вдасться.

Оскільки файли .jpg перезаписуються вірусом під тією ж назвою, але з іншим вмістом, відновити їх не вдається.

Примітки

1. Будьте обережні при маніпуляціях з Реєстром! Некоректне використання Редактора реєстру може призвести до виникнення серйозних неполадок, аж до переустановлення операційної системи!

2. Пам'ятайте, що попередити легше, ніж лікувати! Користуйтеся брандмауерами і надійними антивірусними програмами (див. Як вибрати антивірус?) З регулярно (не менше одного разу на тиждень!) Оновлюваними базами.

3. Частіше робіть резервне копіювання важливої інформації (див. Як уникнути втрати інформації?).

4. Залежно від різновиду вірусу Penetrator кількість, назва і розмір створюваних ним файлів і папок, а також набір деструктивних дій можуть істотно різнитися.

Післямова

За повідомленнями ЗМІ, 20-річний автор комп'ютерного вірусу «Пенетратор» затримано в Калінінграді. Програмісту загрожує позбавлення волі строком на 3 роки, а у випадку, якщо буде доведено, що наслідки вірусної атаки виявилися важкими - 7 років ...

Люди, будьте пильні! Сили комп'ютерного зла не дрімають! ..

Як усунути наслідки вірусної атаки?

Що робити, якщо з'являється повідомлення «Редагування реєстру заборонено»?

Що робити, якщо недоступний пункт меню «Властивості папки»?

Windows: що робити, якщо не вдається відобразити приховані файли і папки?

Що робити, якщо з'являється повідомлення «Диспетчер завдань відключений адміністратором»?

Що робити, якщо після лікування від вірусів не відкривається флешка?

Windows: що робити, якщо віруси відключили підсистему друку?