Як боротися з вірусом Penetrator?
***
І сказав вирусописатели вірусам: «Плодіться і розмножуйтеся! ..».
(Комп'ютерні байки)
Останнім часом користувачам ПК (особливо тим, хто не любить оберігатися!) Сильно докучає вірус Penetrator.
Походження вірусу і етимологія назви
Назва вірусу походить від penetrate (Англ.) - Проникати всередину, проходити крізь, пронізивать- впроваджуватися (куди-л.) З шпигунськими цілями.
Про походження вірусу ходять різні легенди. Нібито, російський студент-програміст, знехтуваний своєю дівчиною, вирішив таким чином помститися їй, а заодно - і всьому цифрового світу ...
Деструктивні дії вірусу
Всі .jpg-файли (.jpg, .jpeg) замінюються .jpg-зображеннями (розміром 69х15 пікселей- «вагою» 3,1КБ) зі стилізованим написом Penetrator (Чорний шрифт на сірувато-білому фоні).
Файли .bmp, .png, .tiff вірус «не чіпає».
Аудіофайли (.mp3, .wma), відеофайли (.avi, .mpeg, .wmv), файли Word (.doc, .rtf), Excel (.xls) і PowerPoint (.ppt) знищуються (як правило, просто видаляються, рідше їх вміст підміняється іншим вмістом, наприклад, у текстових файлів - матами).
Тобто вірус псує все найдорожче, що є у користувача ПК!
На відміну від широко поширеної легенди, у вірусу немає «прив'язки» до конкретної дати (наприклад, 1 січня, 23 лютого чи 8 березня), - він починає свої деструктивні дії відразу після запуску виконуваного файлу.
Найсильніша хвиля епідемії вірусу пройшлася по Далекому Сходу, особливо постраждала Амурська область.
Класифікація вірусу
Антивіруси ідентифікують зловреда по-різному (як завжди!): Наприклад, Panda Antivirus називає його хробаком W32 / Penetrator.A.worm- Антивірус Касперського вважає його трояном Trojan-Downloader.Win32.VB...
Як відбувається зараження
Засоби поширення вірусу - Інтернет, flash-носії.
Зараження, як правило, відбувається під час запуску файлу, замаскованого під заставку * .scr, рідше вірус «косить» під файли .mp3.
При зараженні в усі відкриваються папки (і на все підключаються до зараженого ПК носії) копіюється тіло вірусу у вигляді файлів імя_папкі.scr або імя_папкі.exe.
Крім цього, вірус створює наступні файли:
• WINDOWSsystem32deter * lsass.exe (На відміну від справжнього lsass.exe, «проживаючого» в папці WINDOWSsystem32) ;
• WINDOWSsystem32deter * smss.exe (На відміну від справжнього smss.exe, «проживаючого» в папці WINDOWSsystem32) ;
• WINDOWSsystem32deter * svсhоst.exe (Літери «с» і «о» - кириличні, на відміну від справжнього svchost.exe) ;
• WINDOWSsystem32ahtomsys * .exe (Наприклад, ahtomsys19.exe) ;
• WINDOWSsystem32сtfmоn.exe (Літери «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe) ;
• WINDOWSsystem32psagor * .exe (Або psagor * .sys, або psagor * .dll- наприклад, psagor18.dll).
Файли мають атрибути Прихований, Системний, Тільки читання. Розмір 114,5КБ.
Вірус прописує себе в Реєстр Windows в REG_SZ-параметри Shell і Userinit розділу [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].
Файли ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe прописуються в Автозавантаженні (Див. Розділ Реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Вірус - резидентний, на зараженому ПК він вантажиться разом з операційною системою і постійно присутній в оперативної пам'яті.
Як усунути деструктивні наслідки вірусу
1. Перевірте вінчестер надійним антивірусом зі свіжими базами.
2. Видаліть (якщо їх не знищив антивірус) файли імя_папкі.scr і імя_папкі.exe.
3. Видаліть (якщо їх не знищив антивірус) наступні файли:
• WINDOWSsystem32deter * lsass.exe (Видаліть файл разом з папкою deter *) ;
• WINDOWSsystem32deter * smss.exe (Видаліть файл разом з папкою deter *) ;
• WINDOWSsystem32deter * svсhоst.exe (Літери «с» і «о» - кириличні, на відміну від справжнього svchost.exe- видаліть файл разом з папкою deter *) ;
• WINDOWSsystem32ahtomsys * .exe (Наприклад, ahtomsys19.exe) ;
• WINDOWSsystem32сtfmоn.exe (Літери «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe) ;
• WINDOWSsystem32psagor * .exe (Або psagor * .sys, або psagor * .dll- наприклад, psagor18.dll).
4. Перевірте розділ Реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
• REG_SZ-параметр Shell повинен мати значення Explorer.exe;
• REG_SZ-параметр Userinit повинен мати значення C: WINDOWSSystem32userinit.exe,
5. Видаліть з Автозавантаження файли ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe (див. розділ Реєстру
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
6. Видаліть шаблон Normal.dot (Див. Як боротися з макровірусами?).
7. Спробуйте відновити видалені вірусом файли (див. У пошуках втраченого, або Як відновити інформацію?).
Сильно спокушатися не варто, але дещо (якщо поверх не записував інша інформація!) Відновити вдасться.
Оскільки файли .jpg перезаписуються вірусом під тією ж назвою, але з іншим вмістом, відновити їх не вдається.
Примітки
1. Будьте обережні при маніпуляціях з Реєстром! Некоректне використання Редактора реєстру може призвести до виникнення серйозних неполадок, аж до переустановлення операційної системи!
2. Пам'ятайте, що попередити легше, ніж лікувати! Користуйтеся брандмауерами і надійними антивірусними програмами (див. Як вибрати антивірус?) З регулярно (не менше одного разу на тиждень!) Оновлюваними базами.
3. Частіше робіть резервне копіювання важливої інформації (див. Як уникнути втрати інформації?).
4. Залежно від різновиду вірусу Penetrator кількість, назва і розмір створюваних ним файлів і папок, а також набір деструктивних дій можуть істотно різнитися.
Післямова
За повідомленнями ЗМІ, 20-річний автор комп'ютерного вірусу «Пенетратор» затримано в Калінінграді. Програмісту загрожує позбавлення волі строком на 3 роки, а у випадку, якщо буде доведено, що наслідки вірусної атаки виявилися важкими - 7 років ...
Люди, будьте пильні! Сили комп'ютерного зла не дрімають! ..
• Як усунути наслідки вірусної атаки?
• Що робити, якщо з'являється повідомлення «Редагування реєстру заборонено»?
• Що робити, якщо недоступний пункт меню «Властивості папки»?
• Windows: що робити, якщо не вдається відобразити приховані файли і папки?
• Що робити, якщо з'являється повідомлення «Диспетчер завдань відключений адміністратором»?
• Що робити, якщо після лікування від вірусів не відкривається флешка?
• Windows: що робити, якщо віруси відключили підсистему друку?