каталог статей
Поиск:
пример: сотовые телефоны расширенный поиск
Начало » » » Как бороться с вирусом Penetrator?

Как бороться с вирусом Penetrator?

***
И сказал вирусописатель вирусам: «Плодитесь и размножайтесь!..».
(Компьютерные байки)

В последнее время пользователям ПК (особенно тем, кто не любит предохраняться!) сильно досаждает вирус Penetrator.

Происхождение вируса и этимология названия
Название вируса происходит от penetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.
О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру…

Деструктивные действия вируса
Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).
Файлы .bmp, .png, .tiff вирус «не трогает».
Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами).
То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла.
Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область.

Классификация вируса
Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB

Как происходит заражение
Средства распространения вируса – Интернет, flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.

Кроме этого, вирус создает следующие файлы:
\WINDOWS\system32\deter*\lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке \WINDOWS\system32);
\WINDOWS\system32\deter*\smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке \WINDOWS\system32);
\WINDOWS\system32\deter*\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);
\WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe);
\WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
\WINDOWS\system32\psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).
Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.

Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon].

Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]).
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Как устранить деструктивные последствия вируса
1. Проверьте винчестер надежным антивирусом со свежими базами.

2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.

3. Удалите (если их не уничтожил антивирус) следующие файлы:
\WINDOWS\system32\deter*\lsass.exe (удалите файл вместе с папкой deter*);
\WINDOWS\system32\deter*\smss.exe (удалите файл вместе с папкой deter*);
\WINDOWS\system32\deter*\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*);
\WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe);
\WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);

Страница 1 из 212>

Постоянный адрес статьи

Послать ссылку на этот обзор другу по ICQ или E-Mail:


Разместить у себя на ресурсе или в ЖЖ:


На любом форуме в своем сообщении:

Рейтинг статьи

Рейтинг: 3.0/5 (323 голоса)

Добавить на News2.ru Google slashdot YahooMyWeb Digg Technorati Delicious Забобрить эту страницу! Добавить на Newsland.ru Добавить на СМИ2 Добавить на RUmarkz Добавить на Ваау! Добавить на rucity.com Добавить в закладки МоёМесто.ru Добавить на Habr Добавить на Moi Novosti Добавить страницу к Mister Wong Добавить на Moikrug Добавить на Myscoop Добавить на 100zakladok Добавить на NewsGrad




Похожие статьи

1: Vi ta: отключать или нет «Защитника»?
Что такое Защитник Windows Среди прочих новшеств Vista следует отметить Защитник Windows (Windows Defender).Защитник Windows предназначен для защиты операционной системы от вредоносных, шпионских и др...

2: Window : что делать, если не удается отобразить скрытые файлы и папки?
Пункт меню Свойства папки (вызываемый или через Пуск –> Настройка –> Панель управления –> Свойства папки, или через Мой компьютер –> меню Сервис –> Свойства папки…) позволяет настроить методы работы с...

3: Как избавиться от сообщения о нелицензионности Window ?
Если в числе прочих обновлений с сайта мелкомягких вам «посчастливилось» скачать и установить обновление KB905474 (Windows Genuine Advantage Notification), – отныне при каждой загрузке/перезагрузке оп...

4: Window : что делать, если вирусы отключили подсистему печати?
Некоторые вирусы, заражая ОС Windows, отключают подсистему печати. Симптомы заражения: при попытке распечатать какой-либо файл появляется сообщение, что подсистема печати недоступна. При попытке отобр...

5: В Window 7 не будет привычных программ
В состав операционной системы Windows 7 не будут входить встроенные приложения для чтения почты, редактирования изображений и создания видеофайлов. Вместо того, чтобы включать программы Windows Photo ...




Copyright © 2006-2019 ExcelioN
Правовая информация
Все права защищены
.