Цікаве і корисне в Інеті і Рунеті: Як боротися з вірусом Penetrator?
Випуск № 6 (126)
«Інтернет - це місце, це середовище, що складається з людей і міріад їх взаємодій. Це не просто технологія, а новий спосіб співпраці, участі і турботи. Підприємства, які визнають гуманітарний аспект в Інтернеті, з більшою ймовірністю досягнуть успіху в штучних світах Електронної Ери, бо вони зрозуміють, що все штучне корениться в реальності, а реальність корениться в наших серцях ».Vint Cerf
Маю честь вітати Вас!
Як боротися з вірусом Penetrator?
Початок великого шляху, або Історія виникнення Penetrator'а
Останнім часом користувачам ПК (особливо тим, хто не любить оберігатися!) Сильно докучає вірус Penetrator.
Сайти Рунета рясніють заголовками: «Пенетратор розбушувався». «По мережі гуляє суперзло». «Вірус в стилі матів» ...
Penetrator живий і Penetrator повертається
Назва вірусу походить від penetrate (англ.) - проникати всередину, проходити крізь, пронизувати; впроваджуватися (куди-л.) зі шпигунськими цілями.
Тому penetrator можна перевести як пронікатель. внедренец. «Засланец».
Про походження вірусу ходять різні легенди. Нібито, російський студент-програміст, знехтуваний своєю дівчиною, вирішив таким чином помститися їй, а заодно - і всьому цифрового світу ...
Вірус написаний на Visual Basic.
Виконуваний файл вірусу упакований UPX v.1.93.
Вірус призначений для 32-бітної платформи ОС Windows з процесором x86.
Вірус - резидентний, на зараженому ПК він вантажиться разом з операційною системою і постійно присутня в оперативній пам'яті.
Родина вірусу - Росія.
Як ідентифікують Penetrator антивіруси
Антивіруси ідентифікують зловредів по-різному (як завжди!):
Деякі антивіруси до сих пір не можуть його розпізнати.
Як відбувається зараження
Основні засоби поширення вірусу - Інтернет, локальна мережа, flash-носії.
Значком flash.scr обраний значок, звичайно застосовуваний для папок (тобто візуально файл, за допомогою якого поширюється вірус, відображається, як звичайна папка. Якщо ж у властивостях папки відключена опція Приховувати розширення для зареєстрованих типів файлів. То файл «косить» під скрінсейвер, відображаючи розширення .scr).
Вірус легко і швидко поширюється в локальній мережі (при активному антивірус і при відключеною облікового запису гостя!): В папку \ Documents and Settings \ All Users \ Документи \ кожного локального ПК копіюється файл вірусу під назвою Documents.scr.
Деструктивні дії вірусу
- при запуску вірусу в кореневу директорію заражаемого диска копіюється файл flash.scr;
- в папці \ WINDOWS \ system32 \ вірус створює папку DETER177;
- в папці \ WINDOWS \ system32 \ DETER177 \ вірус створює прихований файл lsass.exe (117248 байт; на відміну від справжнього lsass.exe. «Проживає» в папці \ WINDOWS \ system32);
- в папці \ WINDOWS \ system32 \ DETER177 \ вірус створює прихований файл smss.exe (117248 байт; на відміну від справжнього smss.exe. «Проживає» в папці \ WINDOWS \ system32);
- в папці \ WINDOWS \ system32 \ DETER177 \ вірус створює прихований файл svсhоst.exe (117248 байт; літери «с» і «о» - кириличні, на відміну від справжнього svchost.exe);
- в папці \ WINDOWS \ system32 \ вірус створює прихований файл AHTOMSYS19.exe (117248 байт);
- в папці \ WINDOWS \ system32 \ вірус створює прихований файл сtfmоn.exe (117248 байт; літери «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe);
- в папці \ WINDOWS \ system32 \ вірус створює прихований файл psador18.dll (32 байта);
- файли АHTОMSYS19.exe. \ WINDOWS \ system32 \ DETER177 \ lsass.exe і \ WINDOWS \ system32 \ сtfmon.exe стартують автоматично при запуску ОС і постійно присутні в оперативній пам'яті;
- все .jpg-файли (.jpg. .jpeg) замінюються однойменними .jpg-зображення (розміром 69х15 пікселів; 3174 байт) зі стилізованим написом Penetrator (чорний шрифт на сірувато-білому тлі). Файли .bmp. .png. .tiff вірус «не чіпає»;
- вміст файлів .doc і .xls замінюється таким текстовим повідомленням (при цьому розмір цих файлів стає 196 байт - за обсягом текстового повідомлення):
«НА *** послав, С * КА, ТЕПЕР ТИ НЕ повернешся СВОЇ ДАНІ !! А Я БУДУ ХОДИТИ ПОРУЧ І СМЕЯТЬСЯ НАД ТИМ ЯК ТИ, З * КА, ІШЕШЬ винуватців. СОСИ ***, лижи *****. Хахаха \ Penetrator \
- вірус створює папку Burn з файлами CDburn.exe і autorun.inf (розташування папки: Windows XP - \ Documents and Settings \<Имя_пользователя>\ Local Settings \ Application Data \ Microsoft \ Windows; Windows Vista - \ Users \ Master \ AppData \ Local \ Microsoft \ Windows \ Burn);
- в одній папці (включаючи вкладені папки) диска, на якому стався запуск файлу flash.scr. вірус створює свої копії <имя_папки>.scr (117248 байт); після цього файл flash.scr на цьому диску (який вже уразив), як правило, самознищується (черв'як зробив свою справу, черв'як може йти!), залишаючи в кореневих директоріях дисків прихований файл вірусу (без назви) з розширенням .scr;
- при відкритті / підключенні локальних / знімних дисків вірус копіюється на незаражені носії (навіть в безпечному режимі!);
Для приховування своєї присутності в системі і для утруднення видалення вірус:
• приховує відображення прихованих файлів і папок;
• приховує відображення розширень файлів;
• забороняє запуск Програми налаштування сістемиmsconfig.
Необхідно відзначити один нюанс. Число заражених ПК (і відповідно, обсяг зіпсованої інформації!) Було б значно більше, - багатьох - тих, хто працює з AutoCAD 'ом, - цей самий AutoCAD буквально врятував!
Справа в тому, що творець Penetrator 'а скористався тим, що можливість запуску скрінсейвера, як звичайного виконуваного файлу, прописана в розділі Реєстру [HKEY_CLASSES_ROOT \ .scr]. строковий (REG_SZ) параметр за замовчуванням @ = "scrfile".
AutoCAD при установці переоформляє scr-файли на себе (при цьому строковий REG_SZ-параметр за замовчуванням @ = "AutoCADScriptFile". Тобто це скриптова файл AutoCAD 'а), тому запустити заставку в Провіднику Windows не вдасться.
Це і врятувало користувачів AutoCAD 'а від руйнівних дій Penetrator' а, але ПК цих користувачів все одно заражені, - якщо вони не проліковані, - це вірусоносії (пенетратороносітелі)!
Поведінка вірусу на віртуальних ПК
Повідомлення на одному з форумів, що вірус не працює на віртуальних ПК, не відповідає дійсності.
Попередньо був відключений (на віртуальному ПК) антивірус (Eset NOD32).
Після запуску файлу flash.scr вірус створив всі файли, які необхідні йому для «роботи», змінив настройки Реєстру. але деструктивних дій з файлами не справив.
Вірус «заробив»! Почалася псування файлів на віртуальному ПК ...
Як знищити Penetrator і як усунути деструктивні наслідки вірусу
Вірус завантажується і в безпечному режимі (Safe Mode), тому намагатися лікувати ПК, коли завантажена ОС саморозміщуваних вірусом, - безглузде заняття!
1. Вимкніть ПК від локальної та Глобальної мереж.
2. Для лікування зніміть вінчестер і підключите до іншого ПК з надійним антивірусом (або скористайтеся завантажувальним аварійно-відновлювальних диском. Типу Windows miniPE або ERD Commander).
Але, пролікувавши таким чином вінчестер, працездатність ПК ми не відновимо, так як залишаться записи параметрів вірусу в Реєстрі Windows і, можливо, деякі файли вірусу.
4. Оскільки у файлів вірусу встановлений атрибут Прихований. щоб знайти їх і знищити:
- відкрийте Мій комп'ютер. виберіть меню Сервіс -> Властивості папки ... (або натисніть Пуск -> Налаштування -> Панель управління -> Властивості папки);
- в діалоговому вікні Властивості папки відкрийте вкладку Вид;
- в розділі Додаткові параметри встановіть прапорець Відображати вміст системних папок. зніміть прапорець Приховувати захищені системні файли. встановіть перемикач Показувати приховані файли і папки -> OK.
5. Видаліть (якщо їх не знищив антивірус) файли flash.scr. <имя_папки>.scr і <имя_папки>.exe.
6. Видаліть (якщо їх не знищив антивірус) наступні файли:
- \ WINDOWS \ system32 \ DETER177 \ lsass.exe (видаліть файл разом з папкою DETER177);
- \ WINDOWS \ system32 \ DETER177 \ smss.exe (видаліть файл разом з папкою DETER177);
- \ WINDOWS \ system32 \ DETER177 \ svсhоst.exe (букви «с» і «о» - кириличні, на відміну від справжнього svchost.exe; видаліть файл разом з папкою DETER177);
- \ WINDOWS \ system32 \ сtfmоn.exe (букви «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe);
- видаліть папку Burn з файлами CDburn.exe і autorun.inf (розташування папки: Windows XP - \ Documents and Settings \<Имя_пользователя>\ Local Settings \ Application Data \ Microsoft \ Windows; Windows Vista - \ Users \ Master \ AppData \ Local \ Microsoft \ Windows \ Burn).
7. Видаліть заражений шаблон Normal.dot (див. Як боротися з макровірусами). Після першого запуску Word 'а, він буде створений заново.
8. Натисніть Пуск -> Виконати ... -> в полі Відкрити введіть regedit-> OK;
- розкрийте гілку [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]. перевірте значення строкового (REG_SZ) параметра Shell. має бути Explorer.exe. Вірус встановлює значення параметра - Explorer.exe C: \ WINDOWS \ system32 \ АHTОMSYS19.exe;
- перевірте значення строкового (REG_SZ) параметра Userinit, - повинно бути C: \ Windows \ system32 \ userinit.exe, (якщо система встановлена на диску C: \, якщо на іншому диску, то <буква_диска>: \ Windows \ system32 \ userinit.exe,);
- розкрийте гілку [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]. видаліть рядкові (REG_SZ) параметри lsass зі значенням C: \ WINDOWS \ system32 \ DETER177 \ lsass.exe і сtfmоn.exe зі значенням C: \ WINDOWS \ system32 \ сtfmon.exe;
9. перереєстрували (за допомогою Сервера регістрацііregsvr32.exe) Загальну бібліотеку оболонки Windowsshell32.dll.
- натисніть Пуск -> Виконати ... -> в полі Відкрити введіть regsvr32 / i shell32.dll-> OK;
- з'явиться вікно RegSvr32 з повідомленням «DllRegisterServer and DllInstall в shell32.dll завершено успішно», натисніть OK.
10. Спробуйте відновити видалені вірусом файли.
Сильно спокушатися не варто, але дещо (якщо поверх не записував інша інформація!) Відновити вдасться.
Оскільки файли .doc. .jpg і .xls перезаписувати вірусом під тією ж назвою, але з іншим вмістом, відновити їх, як правило, не вдається.
2. Пам'ятайте, що попередити легше, ніж лікувати! Користуйтеся брандмауерами і надійними антивірусними програмами з регулярно (не менше одного разу на тиждень!) Оновлюваними базами.
4. В залежності від різновиду вірусу Penetrator кількість, назва і розмір створюваних ним файлів і папок, а також набір деструктивних дій можуть істотно відрізнятися.
8. Спостерігалися випадки, коли Penetrator при впровадженні в систему відключав активний захист антивірусів.
9. При спробі запуску або установки антивіруса на заражений ПК відбувається або перезавантаження ПК, або блокування антивіруса.
10. На одному з форумів висловлювалася думка, що Penetrator не чіпає приховані файли, - це не відповідає дійсності: приховані файли теж піддаються деструктивним діям, після чого вірус знімає у них атрибут Прихований.
11. Рекомендую відключити опцію Приховувати розширення для зареєстрованих типів файлів.
- відкрийте Мій комп'ютер. виберіть меню Сервіс -> Властивості папки ... (або натисніть Пуск -> Налаштування -> Панель управління -> Властивості папки);
- в діалоговому вікні Властивості папки відкрийте вкладку Вид;
- в розділі Додаткові параметри зніміть прапорець Приховувати розширення для зареєстрованих типів файлів -> OK.
12. Всупереч запевненням розробників антивірусів, жоден антивірус не усуне наслідки вірусної атаки, - це потрібно зробити вручну!
14. Якщо ви не впевнені в своїх силах - щоб не погіршити ситуацію. - довірте лікування ПК і відновлення інформації фахівцям.
Дитячий портал Tvidi.ru оголосив про те, що став доступний всім користувачам - тепер на сайті можна зареєструватися без запрошення.
Засновник найбільшої онлайн-енциклопедії Wikipedia Джиммі Уельс (Jimmy Wales) запустив новий сервіс Wikianswers. Це сайт питань і відповідей з відкритим доступом для всіх користувачів в стилі Wikipedia.
Слід зазначити, що зараз вже працює сайт під назвою Wiki Answers, який є частиною Answers.com і має аудиторію близько 26 млн. Унікальних користувачів на місяць (за даними comScore).
Серед інших конкурентів нового сервісу від Джиммі Уельсу такі служби, як Yahoo Answers, Linkedin Answers, ChaCha і інші.
Під час проведення цих заходів були виявлені серйозні проблеми - небажання багатьох росіян спілкуватися і відповідати на питання переписних листів, а також недостатня оплата праці переписувачів. На думку фахівців Росстату, причина - у зміні менталітету населення Росії. Виросло покоління, яке нічим державі не повинно. Вони не хочуть про себе розповідати і негативно ставляться до перепису. Слід зазначити, що участь у переписі - справа добровільна.
Відомості, що збираються в ході перепису населення, строго конфіденційні. Крім того, за великим рахунком, вони анонімні - в бланки відповідей не вносяться прізвище, ім'я, по батькові громадянина.
Найповніший і зручний електронний сонник. Включає в себе 11 сонників і 8 книг про сни. Це понад 7000 словникових статей та близько 37000 тлумачень, повнота і відмінна систематизація матеріалу, симпатичний і дуже зручний інтерфейс, функціональність і достовірність! Сонники Цветкова, Міллера, Ванги, Нострадамуса, Хассе, Дашку, Шіллера- Школьника, Народний сонник, асирійський сонник а також сонник еротичних снів і інтимний сонник Власової. Має календар сбиваємості снів, де залежно від дня місяця, дня тижня і місячного дня враховується достовірність і характер значення сновидіння. До розробки програми були залучені люди, які мають досвід вдалого тлумачення сновидінь. Бази сонників можна поповнювати на сайті програми. Для зняття деяких функціональних обмежень необхідна БЕЗКОШТОВНА активація на сайті розробника.
Більше 3000 посилань на будь-яку тему, можливість пошуку і створення своїх посилань.
Всього Вам Доброго!
З повагою, old-netler