Як боротися з вірусом Penetrator?

***

І сказав вирусописатели вірусам: «Плодіться і розмножуйтеся! ..».

(Комп'ютерні байки)

Останнім часом користувачам ПК (особливо тим, хто не любить оберігатися!) Сильно докучає вірус Penetrator.

Походження вірусу і етимологія назви

Назва вірусу походить від penetrate (Англ.) - Проникати всередину, проходити крізь, пронізивать- впроваджуватися (куди-л.) З шпигунськими цілями.

Про походження вірусу ходять різні легенди. Нібито, російський студент-програміст, знехтуваний своєю дівчиною, вирішив таким чином помститися їй, а заодно - і всьому цифрового світу ...

Деструктивні дії вірусу

Всі .jpg-файли (.jpg, .jpeg) замінюються .jpg-зображеннями (розміром 69х15 пікселей- «вагою» 3,1КБ) зі стилізованим написом Penetrator (Чорний шрифт на сірувато-білому фоні).

Файли .bmp, .png, .tiff вірус «не чіпає».

Аудіофайли (.mp3, .wma), відеофайли (.avi, .mpeg, .wmv), файли Word (.doc, .rtf), Excel (.xls) і PowerPoint (.ppt) знищуються (як правило, просто видаляються, рідше їх вміст підміняється іншим вмістом, наприклад, у текстових файлів - матами).

Тобто вірус псує все найдорожче, що є у користувача ПК!

На відміну від широко поширеної легенди, у вірусу немає «прив'язки» до конкретної дати (наприклад, 1 січня, 23 лютого чи 8 березня), - він починає свої деструктивні дії відразу після запуску виконуваного файлу.

Найсильніша хвиля епідемії вірусу пройшлася по Далекому Сходу, особливо постраждала Амурська область.

Класифікація вірусу

Антивіруси ідентифікують зловреда по-різному (як завжди!): Наприклад, Panda Antivirus називає його хробаком W32 / Penetrator.A.worm- Антивірус Касперського вважає його трояном Trojan-Downloader.Win32.VB...

Як відбувається зараження

Засоби поширення вірусу - Інтернет, flash-носії.

Зараження, як правило, відбувається під час запуску файлу, замаскованого під заставку * .scr, рідше вірус «косить» під файли .mp3.

При зараженні в усі відкриваються папки (і на все підключаються до зараженого ПК носії) копіюється тіло вірусу у вигляді файлів імя_папкі.scr або імя_папкі.exe.

Крім цього, вірус створює наступні файли:

• WINDOWSsystem32deter * lsass.exe (На відміну від справжнього lsass.exe, «проживаючого» в папці WINDOWSsystem32) ;

• WINDOWSsystem32deter * smss.exe (На відміну від справжнього smss.exe, «проживаючого» в папці WINDOWSsystem32) ;

• WINDOWSsystem32deter * svсhоst.exe (Літери «с» і «о» - кириличні, на відміну від справжнього svchost.exe) ;

• WINDOWSsystem32ahtomsys * .exe (Наприклад, ahtomsys19.exe) ;

• WINDOWSsystem32сtfmоn.exe (Літери «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe) ;

• WINDOWSsystem32psagor * .exe (Або psagor * .sys, або psagor * .dll- наприклад, psagor18.dll).

Файли мають атрибути Прихований, Системний, Тільки читання. Розмір 114,5КБ.

Вірус прописує себе в Реєстр Windows в REG_SZ-параметри Shell і Userinit розділу [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].

Файли ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe прописуються в Автозавантаженні (Див. Розділ Реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

Вірус - резидентний, на зараженому ПК він вантажиться разом з операційною системою і постійно присутній в оперативної пам'яті.

Як усунути деструктивні наслідки вірусу

1. Перевірте вінчестер надійним антивірусом зі свіжими базами.

2. Видаліть (якщо їх не знищив антивірус) файли імя_папкі.scr і імя_папкі.exe.

3. Видаліть (якщо їх не знищив антивірус) наступні файли:

• WINDOWSsystem32deter * lsass.exe (Видаліть файл разом з папкою deter *) ;

• WINDOWSsystem32deter * smss.exe (Видаліть файл разом з папкою deter *) ;

• WINDOWSsystem32deter * svсhоst.exe (Літери «с» і «о» - кириличні, на відміну від справжнього svchost.exe- видаліть файл разом з папкою deter *) ;

• WINDOWSsystem32ahtomsys * .exe (Наприклад, ahtomsys19.exe) ;

• WINDOWSsystem32сtfmоn.exe (Літери «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe) ;

• WINDOWSsystem32psagor * .exe (Або psagor * .sys, або psagor * .dll- наприклад, psagor18.dll).

4. Перевірте розділ Реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:

• REG_SZ-параметр Shell повинен мати значення Explorer.exe;

• REG_SZ-параметр Userinit повинен мати значення C: WINDOWSSystem32userinit.exe,

5. Видаліть з Автозавантаження файли ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe (див. розділ Реєстру

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

6. Видаліть шаблон Normal.dot (Див. Як боротися з макровірусами?).

7. Спробуйте відновити видалені вірусом файли (див. У пошуках втраченого, або Як відновити інформацію?).

Сильно спокушатися не варто, але дещо (якщо поверх не записував інша інформація!) Відновити вдасться.

Оскільки файли .jpg перезаписуються вірусом під тією ж назвою, але з іншим вмістом, відновити їх не вдається.

Примітки

1. Будьте обережні при маніпуляціях з Реєстром! Некоректне використання Редактора реєстру може призвести до виникнення серйозних неполадок, аж до переустановлення операційної системи!

2. Пам'ятайте, що попередити легше, ніж лікувати! Користуйтеся брандмауерами і надійними антивірусними програмами (див. Як вибрати антивірус?) З регулярно (не менше одного разу на тиждень!) Оновлюваними базами.

3. Частіше робіть резервне копіювання важливої інформації (див. Як уникнути втрати інформації?).

4. Залежно від різновиду вірусу Penetrator кількість, назва і розмір створюваних ним файлів і папок, а також набір деструктивних дій можуть істотно різнитися.

Післямова

За повідомленнями ЗМІ, 20-річний автор комп'ютерного вірусу «Пенетратор» затримано в Калінінграді. Програмісту загрожує позбавлення волі строком на 3 роки, а у випадку, якщо буде доведено, що наслідки вірусної атаки виявилися важкими - 7 років ...

Люди, будьте пильні! Сили комп'ютерного зла не дрімають! ..

• Як усунути наслідки вірусної атаки?

• Що робити, якщо з'являється повідомлення «Редагування реєстру заборонено»?

• Що робити, якщо недоступний пункт меню «Властивості папки»?

• Windows: що робити, якщо не вдається відобразити приховані файли і папки?

• Що робити, якщо з'являється повідомлення «Диспетчер завдань відключений адміністратором»?

• Що робити, якщо після лікування від вірусів не відкривається флешка?

• Windows: що робити, якщо віруси відключили підсистему друку?