Каталог статей
| Главная » Статьи » Мои статьи |
Как бороться с вирусом Penetrator?
| Как бороться с вирусом Penetrator? Кто сталкивался с вирусом Penetrator? Он вмиг уничтожил у меня все мультимедийные файлы, а графические файлы отображаются с названием Penetrator. Кто знает что делать с этой проблемой? Кто знает что делать с этой проблемой? ------------------------------ Удаляються/перезаписываються файлы ворда и экселя, размер у всех абсолютно - 196 байт. Надпись во всех файлах типа "ничего не восстановишь а я буду ходить рядом и хохотать"Подпись "Пенетратор"" Только состоят из матов. Также нельзя зайти и изменить свойства папки (сервис->cв-ва папки), где ставятся убираются галочки скрытые системные файлы и т.д. Блокируются команды msconfig и подобные. Блокируется администрирование в панели управления. Вирус лечится, но последствия остаются, винда медленно умирает. Спасает только форматирование с перестановкой. Всем советую качать свежие обновления. Flach.scr называется, размер 114,5 кб. Каспер и докторвэб определяют как и Win32.HLLW.Kati (он же Penetrator) Использовать прогу WinHex. Для поиска перезаписанных данных придется искать их по сигнатурам, не зависимо от файловой системы: Сделайте Tools->Open Disk и выберите ваш диск. Далее сделайте Tools->Disk Tools->File Recovery By Type и выберите MSOffice/OLE2 или другой нужный формат. Не забудьте указать Output folder: туда он свалит все, что найдет (желательно указать ее на другом диске) Также вместо "Search at sector boundaries" укажите "Extensive byte-level search" Среди найденной кучи файлов, возможно, окажутся и искомые. ---------------------- И сказал вирусописатель вирусам: «Плодитесь и размножайтесь!..». (Компьютерные байки) В последнее время пользователям ПК (особенно тем, кто не любит предохраняться!) сильно досаждает вирус Penetrator. Происхождение вируса и этимология названия Название вируса происходит отpenetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями. О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру… Деструктивные действия вируса Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписьюPenetrator (черный шрифт на серовато-белом фоне). Файлы .bmp, .png, .tiff вирус «не трогает». Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами). То есть вирус портит всё самое дорогое, что есть у пользователя ПК! В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла. Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область. Классификация вируса Антивирусы идентифицируют зловреда по-разному (как всегда!): например,Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB… Как происходит заражение Средства распространения вируса – Интернет, flash-носители. Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3. При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файловимя_папки.scr или имя_папки.exe. Кроме этого, вирус создает следующие файлы: • WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке WINDOWSsystem32); • WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке WINDOWSsystem32); • WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe); • WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe); • WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe); • WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll). Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ. Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinitраздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]. Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются вАвтозагрузке (см. раздел Реестра[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]). Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Как устранить деструктивные последствия вируса 1. Проверьте винчестер надежным антивирусом со свежими базами. 2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr иимя_папки.exe. 3. Удалите (если их не уничтожил антивирус) следующие файлы: • WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*); • WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*); • WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*); • WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe); • WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe); • WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll). 4. Проверьте раздел Реестра[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]: • REG_SZ-параметр Shell должен иметь значение Explorer.exe; • REG_SZ-параметр Userinit должен иметь значениеC:WINDOWSSystem32userinit.exe, 5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]). 6. Удалите шаблон Normal.dot (см. Как бороться с макровирусами?). 7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?). Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся. Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается. Примечания 1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами. 3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться. Послесловие По сообщениям СМИ, 20-летний автор компьютерного вируса «пенетратор» задержан в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атакиоказались тяжелыми – 7 лет… Люди, будьте бдительны! Силы компьютерного зла не дремлют!.. | |
| Просмотров: 1319 | Рейтинг: 0.0/0 |
| Всего комментариев: 0 | |