Как и чем вылечить penetrator
Википедия: Penetrator (от англ. penetrate – внедряться) — это компьютерный вирус, созданный российским студентом Дмитрием Уваровым. Вирус был написан на Visual Basic и предназначался для операционных систем Windows c процессором x86. Данный вирус внедряется в операционную систему и заражает файлы формата .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip в ночь на первое января.
Я вам скажу, что пострадать от него можно не только первого января, но вообще в любой день, например, один ноутбук пострадал позавчера.
Судя по тому, что гуглом находится масса страниц по запросу “вирус пенетратор”, пострадали от него многие тысячи людей.
Автор вируса – Дмитрий Уваров, проживающий (на момент, когда его поймали) в Амурской области. Кстати, был осужден за написание и распространение вируса, и наказан штрафом (внимание!) аж в три тысячи рублей (а надо было за яйца на суку повесить). Своих героев надо знать в лицо:
Простейшая инструкция к лечению и восстановлению данных:
1) Когда обнаружили, ничего не трогать;
2) Скачать (крайне желательно – пользуясь другим пк или попросив кого-нибудь скачать для вас) несколько portable антивирусов со свежими базами (например, Dr.Web Cureit!);
3) Скачать (крайне желательно – пользуясь другим пк или попросив кого-нибудь скачать для вас) “Ontrack Easy recovery pro” portable
4) Скачать (крайне желательно – пользуясь другим пк или попросив кого-нибудь скачать для вас) Total Commander Portable
5) Раздобыть где-нибудь ёмкость для сохранения восстановленных файлов (внешний жёсткий диск идеально подойдёт);
6) Загрузить заражённый компьютер с любого live cd;
7) Просканировать все диски антивирусами из пункта 2;
8) Для пущей надёжности, пользуясь Total Commander-ом, произвести поиск и удалить все копии следующих папок и файлов:
а) flash.scr;
б) Папки DETER177 со всем её содержимым;
в) файл сtfmоn.exe (117248 байт; буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe. ВНИМАНИЕ, не удалите оригинальный ctfmon.exe, обязательно “с” и “о” в поиске вбивайте русские!);
г) файлы: AHTOMSYS19.exe, psador18.dll, psagor18.sys.
9) Запустить Ontrack Easy recovery, выбрать в меню “восстановление данных” пункт Raw recovery, настроить на поиск только необходимых нам типов файлов, и просканировать все диски, с которых хотим восстановить данные.
10) Выбрать, куда будем сохранять найденное (внешний жёсткий диск, пункт 5), и запустить процедуру сохранения. Процедура может занять очень много времени, чем больше файлов на диске, с которого восстанавливаем, тем дольше. У меня, например, идёт уже второй день восстановления. Поэтому ноутбук должен быть обязательно подключен к питанию от сети.
Сейчас работаю над разделом своего сайта, где буду выкладывать разные полезные программы, которыми пользовался сам, залью туда и всё необходимое для выполнения процедуры лечения пенетратора и его последствий.
Кстати, Raw recowery при восстановлении переименует файлы по маске FILХХХХ (где ХХХХ – порядковый номер найденного файла), сохранив только расширения. Поэтому вам придётся потрудится, ища среди этого свои восстановленные фотографии. Но это лучше, чем смирится с их утратой.
Не всегда удаётся восстановить всё. По моему опыту восстанавливается около 70% утраченного Этот процент зависит от того, что вы делали с компьютером уже после того, как вирус начал работать. Поэтому главное, если обнаружили у себя пенетратор – сразу приступайте к выполнению выше означенных пунктов, не нужно ничего скачивать (кроме означенного в пунктах, если у вас нет второго пк или друга, который может помочь) и вообще продолжать пользоваться заражённым компьютером в целях, отличающихся от его лечения.
Источник
Что такое Penetrator
Вирус написан на Visual Basic.
Исполняемый файл вируса упакован UPX v.1.93.
Вирус предназначен для 32-битной платформы ОС Windows с процессором x86.
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Родина вируса – Россия.
· String File Info – 040904B0
· Company Name – dfsdf
· Legal Copyright – sdf
· LegalTrademarks – sdf
· Product Name – fsdf
· File Version – 1.00.0006
· Product Version – 1.00.0006
· Internal Name – Services
· Original File name – Services.exe
Судя по всему, прообразом Penetrator’а послужил вирус Email-Worm.Win32.VB.cs.
***
Как идентифицируют Penetrator антивирусы
Антивирусы идентифицируют зловреда по-разному (как всегда!):
· AntiVir – TR/Dldr.VB.bnp;
· Avast – Win32:Trojan-gen;
· AVG – Downloader.VB.AIM;
· BitDefender – Trojan.Downloader.VB.VKV;
· ClamAV – Trojan.Downloader-15571;
· DrWeb – Win32.HLLW.Kati;
· Eset NOD32 – Win32/VB.NNJ worm;
· F-Secure – Trojan-Downloader.Win32.VB.bnp;
· Kaspersky – Trojan-Downloader.Win32.VB.bnp;
· McAfee – Downloader.gen.a;
· Norman – W32/DLoader.DVQV;
· Panda – W32/Penetrator.A.worm;
· VBA32 – Trojan-Downloader.Win32.VB.bnp.
Некоторые антивирусы до сих пор не могут его распознать!..
Как происходит заражение
Основные средства распространения вируса – Интернет, локальная сеть, flash-носители.
Вирус распространяется с помощью файла flash.scr (117248 байт, создан 04.08.2003 9:00:00 AM), замаскированного под программу-заставку (screen saver; скринсейвер, хранитель экрана). Отмечены единичные случаи, когда вирус «косит» под файлы *.mp3.
Вирус легко и быстро распространяется в локальной сети (при активном антивирусе и при отключенной учетной записи Гостя!): в папку Documents and SettingsAll UsersДокументы каждого локального ПК копируется файл вируса под названием Documents.scr.
Если вирус активен (то есть «сидит» в оперативной памяти ПК), то его деструктивное действие (порча и уничтожение файлов) начинается 1 января.
***
Деструктивные действия вируса
– при запуске вируса в корневую директорию заражаемого диска копируется файл flash.scr (117248 байт);
– в папке WINDOWSsystem32 вирус создает папку DETER177;
– в папке WINDOWSsystem32DETER177 вирус создает скрытый файл lsass.exe (117248 байт; в отличие от настоящего lsass.exe, «проживающего» в папке WINDOWSsystem32);
– в папке WINDOWSsystem32DETER177 вирус создает скрытый файл smss.exe (117248 байт; в отличие от настоящего smss.exe, «проживающего» в папке WINDOWSsystem32);
– в папке WINDOWSsystem32DETER177 вирус создает скрытый файл svсhоst.exe (117248 байт; буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);
– в папке WINDOWSsystem32 вирус создает скрытый файл AHTOMSYS19.exe (117248 байт);
– в папке WINDOWSsystem32 вирус создает скрытый файл сtfmоn.exe (117248 байт; буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– в папке WINDOWSsystem32 вирус создает скрытый файл psador18.dll (32 байта);
– в папке WINDOWSsystem32 вирус создает скрытый файл psagor18.sys (117248 байт);
– файлы АHTОMSYS19.exe, WINDOWSsystem32DETER177lsass.exe и WINDOWSsystem32сtfmon.exe стартуют автоматически при запуске ОС и постоянно присутствуют в оперативной памяти;
– деструктивное действие вируса направлено на файлы .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip (вирус портит всё самое дорогое, что есть у пользователя ПК!);
– все .jpg-файлы (.jpg, .jpeg) заменяются одноименными .jpg-изображениями (размером 69х15 пикселей; 3174 байт) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне). Файлы .bmp, .png, .tiff вирус «не трогает»;
– содержимое файлов .doc и .xls заменяется следующим текстовым сообщением (при этом размер этих файлов становится 196 байт – по объему текстового сообщения):
«НАХ** ПОСЛАНА, С*КА, ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, С*КА, ИШЕШЬ ВИНОВНИКА!! СОСИ Х**, ЛИЖИ П****!! ХАХАХАХ Penetrator
MY ICQ: 402974020
JB17»;
– вирус создает папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – Documents and Settings<Имя_пользователя>Local SettingsApplication DataMicrosoftWindows; Windows Vista – UsersMasterAppDataLocalMicrosoftWindowsBurn);
– в каждой папке (включая вложенные папки) диска, на котором произошел запуск файла flash.scr, вирус создает свои копии <имя_папки>.scr (117248 байт); после этого файл flash.scr на этом диске (который уже заразил), как правило, самоуничтожается (червяк сделал свое дело, червяк может уходить!), оставляя в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr;
– при открытии/подключении локальных/съемных дисков вирус копируется на незараженные носители (даже в Безопасном режиме!);
– вирус производит скрытый вызов следующих системных dll-библиотек: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT.DLL.
Так в корневых директориях дисков отображается скрытый файл вируса (без названия) с расширением .scr.
Маскировка вируса в системе
Для сокрытия своего присутствия в системе и для затруднения удаления вирус:
• маскируется под программу-заставку;
• скрывает отображение скрытых файлов и папок;
• скрывает отображение расширений файлов;
• делает недоступным пункт меню Свойства папки;
• запрещает запуск Редактора реестра;
• запрещает запуск Утилиты настройки системы msconfig;
• в разделах Реестра [HKEY_CLASSES_ROOTscrfile] и [HKEY_LOCAL_MACHINESOFTWAREClassesscrfile] строковому (REG_SZ) параметру по умолчанию присваивается значение Папка с файлами (значение по умолчанию – Программа-заставка). Поэтому значок файла flash.scr (и других исполняемых файлов вируса) – это значок, обычно применяемый для папок (то есть визуально файл, с помощью которого распространяется вирус, отображается, как обычная папка. В этом заключена еще одна ловушка: если пользователь попытается открыть («А что это за папка?») такую псевдо-папку, то – не ведая того! – запустит исполняемый файл вируса!..
***
Спасательный круг AutoCAD’а
Необходимо отметить один нюанс. Число зараженных ПК (и соответственно, объем испорченной информации!) было бы значительно больше, – многих – тех, кто работает с AutoCAD’ом, – этот самый AutoCAD буквально спас!
Дело в том, что создатель Penetrator’а воспользовался тем, что возможность запуска скринсейвера, как обычного исполняемого файла, прописана в разделе Реестра [HKEY_CLASSES_ROOT.scr]: строковый (REG_SZ) параметр по умолчанию @=”scrfile”.
AutoCAD при установке переоформляет scr-файлы на себя (при этом строковый REG_SZ-параметр по умолчанию @=”AutoCADScriptFile”, то есть это скриптовый файл AutoCAD’а), поэтому запустить заставку в Проводнике Windows не удастся!..
Это и спасло пользователей AutoCAD’а от разрушительных действий Penetrator’а, но ПК этих пользователей всё равно заражены, – если они не пролечены, – это вирусоносители (пенетратороносители)!
***
Поведение вируса на виртуальных ПК
Сообщение на одном из форумов, что вирус не работает на виртуальных ПК, не соответствует действительности.
Для эксперимента автор статьи заразил виртуальный ПК (Microsoft Virtual PC с Windows XP SP2).
Предварительно был отключен (на виртуальном ПК) антивирус (Eset NOD32).
После запуска файла flash.scr вирус создал все файлы, которые необходимы ему для «работы», изменил настройки Реестра, но деструктивных действий с файлами не произвел.
Изменяю дату на виртуальном ПК на 1 января 00 часов 00 минут. Происходит сброс даты (всё правильно, виртуальному ПК это запрещено!). Меняю дату на основном ПК.
Вирус «заработал»! Началась порча файлов на виртуальном ПК…
Вывод: на виртуальном ПК вирус делает всё то же, что и на обычном, включая порчу файлов (.avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip) 1 января.
***
Что показало вскрытие
Вскрытие программного кода вируса показало следующее.
• «Прописка» вируса в Реестре:
loc_41A94C: var_88 = “Shell”
loc_41A952: var_88 = Unknown_41958C(“Explorer.exe” & MemVar_41E040, “SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”, CByte(&H1), &H80000002)
loc_41A98B: var_88 = “lsass”
loc_41A991: var_88 = Unknown_41958C(Me.global_144, “SOFTWAREMicrosoftWindowsCurrentVersionRun”, CByte(&H1), &H80000002)
loc_41A9C6: var_D0 = Unknown_41905C(“SOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorer”, “NoFolderOptions”, CLng(“1”), &H80000002)
loc_41A9FF: var_D0 = Unknown_41905C(“SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”, “Hidden”, CLng(“0”), &H80000001)
loc_41AA38: var_D0 = Unknown_41905C(“SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”, “HideFileExt”, CLng(“1”), &H80000001)
loc_41AA71: var_D0 = Unknown_41905C(“SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”, “ShowSuperHidden”, CLng(“0”), &H80000001)
loc_41AAB3: var_88 = Unknown_41958C(“Папка с файлами”, “scrfile”, CByte(&H1), &H80000000)
loc_41AAC8: On Error Goto 0
loc_41AADC: put_DefaultProp
loc_41AAE7: If (var_AE = &H0) Then ’41AB15
loc_41AB0D: MemVar_41E040 = Unknown_418B04(Me.global_132, &H2, 2003, &HB, &HB, Me.global_132, var_AE)
loc_41AB12: GoTo loc_41AB55
loc_41AB15: End If
loc_41AB28: If (FileLen(Me.global_132) <> MemVar_41E02C) Then ’41AB53
loc_41AB4E: MemVar_41E040 = Unknown_418B04(Me.global_132, &H2, 2003, &HB, &HB)
loc_41AB53: End If
loc_41AB55: ‘ Referenced from: 41AB12
loc_41AB7D: var_88 = “сtfmоn.exe”
loc_41AB83: var_88 = Unknown_41958C(Me.global_132, “SOFTWAREMicrosoftWindowsCurrentVersionRun”, CByte(&H1), &H80000002)
loc_41ABB8: var_88 = “сtfmоn.exe”
loc_41ABBE: var_88 = Unknown_41958C(Me.global_132, “SOFTWAREMicrosoftWindowsCurrentVersionRun”, CByte(&H1), &H80000001)
loc_41ABCF: Exit Sub
• За замену содержимого файлов .doc и .xls матерным посланием отвечает следующий участок кода вируса (здесь же прописано, что файлы .rtf вирус «не трогает»):
Public Sub action(filF) ‘419C6C
‘Data Table: 415670
loc_419B2C: On Error Goto loc_419C6A
loc_419B3C: var_88 = Right$(filF, &H3)
loc_419B47: If Not (var_88 = “doc”) Then ‘419B81
loc_419B52: If Not (var_88 = “DOC”) Then ‘419B81
loc_419B5D: If Not (var_88 = “xls”) Then ‘419B81
loc_419B68: If Not (var_88 = “XLS”) Then ‘419B81
loc_419B73: If Not (var_88 = “rtf”) Then ‘419B81
loc_419B7E: If (var_88 = “RTF”) Then ‘419BD5
loc_419B81: End If
loc_419B81: End If
loc_419B81: End If
loc_419B81: End If
loc_419B81: End If
loc_419BBC: Call taskWrite(filF, CVar(“НАХ** ПОСЛАНА, С*КА, ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, С*КА, ИШЕШЬ ВИНОВНИКА!! СОСИ Х**, ЛИЖИ П****!! ХАХАХАХ Penetrator” & vbCrLf & “MY ICQ: 402974020” & vbCrLf & “JB” & CStr(MemVar_41E048)), &HFF, &H0)
loc_419BD1: Exit Sub
loc_419BD2: GoTo loc_419C5A
loc_419BD5: End If
• Какие типы файлов подвергаются деструкции, прописано в следующем участке кода вируса:
Public Sub ScanFile(diskforscan, typefind) ‘418D74
‘Data Table: 415670
loc_418CFC: var_86 = typefind ‘Byte
loc_418D09: If (var_86 = CByte(&H1)) Then ‘418D3A
loc_418D2C: diskforscan & “:” = Unknown_41C00C(“rarRARzipZIPdocDOCxlsXLSjpgJPGmp3MP3wmaWMAwmvWMVaviAVImpgMPGvobVOBpdfPDF”, &H0, &H0)
loc_418D37: GoTo loc_418D71
loc_418D3A: End If
loc_418D43: If (var_86 = CByte(&H3)) Then ‘418D71
loc_418D66: diskforscan & “:” = Unknown_41C00C(“”, &H0, &HFF)
loc_418D71: ‘ Referenced from: 418D37
loc_418D71: End If
loc_418D71: Exit Sub
End Sub
• За замену содержимого .jpg-файлов на картинку «Penetrator» (Image1) отвечает следующий участок кода вируса (здесь же прописано, что файлы .bmp вирус «не трогает»):
loc_419BDD: If Not (var_88 = “jpg”) Then ‘419C01
loc_419BE8: If Not (var_88 = “JPG”) Then ‘419C01
loc_419BF3: If Not (var_88 = “bmp”) Then ‘419C01
loc_419BFE: If (var_88 = “BMP”) Then ‘419C43
loc_419C01: End If
loc_419C01: End If
loc_419C01: End If
loc_419C0F: If (FileLen(filF) > &HC66) Then ‘419C3F
loc_419C33: SavePicture Image1.Picture
loc_419C3F: End If
loc_419C3F: Exit Sub
loc_419C40: GoTo loc_419C5A
loc_419C43: End If
***
kак уничтожить Penetrator и как устранить деструктивные последствия вируса
Вирус загружается и в Безопасном режиме (Safe Mode), поэтому пытаться лечить ПК, когда загружена ОС с резидентным вирусом, – бессмысленное занятие!
1. Отключите ПК от локальной и Глобальной сетей.
2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).
Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.
3. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске).
4. Восстановите доступность пункта меню Свойства папки (см. Что делать, если недоступен пункт меню «Свойства папки»?).
5. Восстановите запуск Редактора реестра (см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?).
6. Восстановите запуск Утилиты настройки системы msconfig (см. Windows: что делать, если не запускается Утилита настройки системы msconfig?).
7. Восстановите запуск Диспетчера задач (см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?).
8. Восстановите отображение скрытых файлов и папок (см. Windows: как отобразить скрытые файлы и папки?).
9. Удалите (если их не уничтожил антивирус) следующие файлы:
– в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr;
– flash.scr, <имя_папки>.exe и <имя_папки>.scr (в том числе – Documents and SettingsAll UsersДокументыDocuments.scr, WINDOWSsystem32system32.scr, Program FilesProgram FilesProgram Files.scr, Documents and Settings<Имя_пользователя><Имя_пользователя>.scr, Мои документыМои документы.scr, Мои документыМои рисункиМои рисунки.scr, Documents and Settings<Имя_пользователя>Главное менюПрограммыАвтозагрузкаАвтозагрузка.scr;
– WINDOWSsystem32DETER177lsass.exe (удалите файл вместе с папкой DETER177);
– WINDOWSsystem32DETER177smss.exe (удалите файл вместе с папкой DETER177);
– WINDOWSsystem32DETER177svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);
– WINDOWSsystem32AHTOMSYS19.exe;
– WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– WINDOWSsystem32psador18.dll;
–WINDOWSsystem32psagor18.sys;
– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – Documents and Settings<Имя_пользователя>Local SettingsApplication DataMicrosoftWindows; Windows Vista – UsersMasterAppDataLocalMicrosoftWindowsBurn).
10. Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами?). После первого запуска Word’а, он будет создан заново.
11. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:WINDOWSsystem32АHTОMSYS19.exe;
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:Windowssystem32userinit.exe, (если система установлена на диске C:, если на другом диске, то <буква_диска>:Windowssystem32userinit.exe,);
– раскройте ветвь [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun], удалите строковые (REG_SZ) параметры lsass со значением C:WINDOWSsystem32DETER177lsass.exe и сtfmоn.exe со значением C:WINDOWSsystem32сtfmon.exe;
– раскройте ветвь [HKEY_CLASSES_ROOTscrfile], установите значение REG_SZ-параметра по умолчанию – Программа-заставка;
– закройте Редактор реестра.
12. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.
13. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию? и Как восстановить данные с помощью программы WinHex?).
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается.
Источник
В последнее время пользователям ПК (особенно тем, кто не любит предохраняться!) сильно досаждает вирус Penetrator.
Происхождение вируса и этимология названия
Название вируса происходит от penetrate (англ.) — проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.
О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно — и всему цифровому миру…
Деструктивные действия вируса
Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69×15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).
Файлы .bmp, .png, .tiff вирус «не трогает».
Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов — матами).
То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), — он начинает свои деструктивные действия сразу после запуска исполняемого файла.
Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область.
Классификация вируса
Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB…
Как происходит заражение
Средства распространения вируса — Интернет, flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.
Кроме этого, вирус создает следующие файлы:
• WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass. exe, «проживающего» в папке WINDOWSsystem32);
• WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss. exe, «проживающего» в папке WINDOWSsystem32);
• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» — кириллические, в отличие от настоящего svchost. exe);
• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19. exe);
• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon. exe);
• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18. dll).
Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.
Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].
Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Вирус — резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Как устранить деструктивные последствия вируса
1. Проверьте винчестер надежным антивирусом со свежими базами.
2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.
3. Удалите (если их не уничтожил антивирус) следующие файлы:
• WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);
• WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*);
• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» — кириллические, в отличие от настоящего svchost. exe; удалите файл вместе с папкой deter*);
• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19. exe);
• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon. exe);
• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18. dll).
4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
• REG_SZ-параметр Shell должен иметь значение Explorer.exe;
• REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe,
5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
6. Удалите шаблон Normal.dot (см. Как бороться с макровирусами?).
7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?).
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.
Примечания
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться.
Послесловие
По сообщениям СМИ, 20-летний автор компьютерного вируса «пенетратор» задержан в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми — 7 лет…
Люди, будьте бдительны! Силы компьютерного зла не дремлют!..
• Как устранить последствия вирусной атаки?
• Что делать, если появляется сообщение «Редактирование реестра запрещено»?
• Что делать, если недоступен пункт меню «Свойства папки»?
• Windows: что делать, если не удается отобразить скрытые файлы и папки?
• Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
• Что делать, если после лечения от вирусов не открывается флэшка?
• Windows: что делать, если вирусы отключили подсистему печати?
Источник