Начало  Регистрация  Вход 


Разделы новостей

Гаджеты [9]
Новости [18]
Звук [4]
Программы [69]
Вирусы [18]
Юмор [51]
Жизнь [44]
Web [42]
Антивирусы [38]
Музыка [10]
Новые устройства [15]
Windows [70]



Портфолио

Опросы

Как Вам фильм Стрижака Игры Богов?
Всего ответов: 41

Регистрация доменов

Регистрация доменов

 

Главная » 2009 » Июль » 21 » В Интернете появился троян, выдающий себя за продукт "Лаборатории Касперского"
В Интернете появился троян, выдающий себя за продукт "Лаборатории Касперского"
17:51
Обнаружена троянская программа, требующая отправки платного SMS-сообщения для "излечения" от некого не существующего в реальности "вируса", сообщили в "Лаборатирии Касперского".

Троянская программа, получившая название Trojan-Ransom.Win32.SMSer, попадает на компьютер пользователя посредством спам-рассылки или при помощи зараженного сменного носителя, например, флэш-диска. Она устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки зараженного компьютера. После перезагрузки, стартовав вместо explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени "Kaspersky Lab Antivirus Online" с требованием отправить платное SMS-сообщение для излечения системы. Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до "смены алгоритма шифрования обнаруженного вируса". При этом сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой, в том числе и до менеджера задач.

"Лаборатория Касперского" предостерегает пострадавших пользователей от перечисления денег вымогателям: вредоносное ПО все равно останется в на компьютере пользователя, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.
 
 
Методика лечения Trojan-Ransom.Win32.SMSer

В настоящее время в русском секторе Интернета циркулируют следующие разновидности данного вредоносного ПО:
 
Trojan-Ransom.Win32.SMSer.fi
Trojan-Ransom.Win32.SMSer.ft
Trojan-Ransom.Win32.SMSer.fz
Trojan-Ransom.Win32.SMSer.fo
Trojan-Ransom.Win32.SMSer.gc
Trojan-Dropper.Win32.Agent.awwe
Первый образец Trojan-Ransom.Win32.SMSer поступил в сервис лечения Антивирусного портала VirusInfo 17 июля сего года.

Основные сведения об инфекции

Типичный представитель данной вредоносной программы имеет размер около 70 килобайт, написан на Visual Basic. Будучи запущенным, выполняет ряд вредоносных действий, как то:

1. Создает собственный исполняемый файл под именем
 
C:\WINDOWS\system32\user32.exe
2. На доступных для записи дисках создает файлы
 
autorun.infmd.exe
Файл autorun.inf служит для автоматического запуска файла md.exe при открытии каждого жесткого диска или съемного носителя; файл md.exe представляет собой копию основного исполняемого файла SMSer.

3. Регистрируется на автозапуск, записывая в параметр
 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\shell
значение
 
%SystemRoot%\system32\user32.exe
(вместо стандартного explorer.exe).

4. Правит системные политики, запрещая запуск диспетчера задач, а также время от времени вызывает функцию закрытия некоторых системных процессов - таких, как narrator.exe, taskmgr.exe, regedit.exe, sethc.exe.

До ближайшей перезагрузки или выключения операционной системы Trojan-Ransom.Win32.SMSer никак не проявляется визуально. После перезапуска ОС исполняемый файл вредоносной программы оказывается запущен вместо Проводника Windows, отображая экран со следующим текстом:

 
Таким образом, вредоносное ПО блокирует нормальную работу ПК и предлагает пользователю отправить платное SMS-сообщение для восстановления функционала, что является типичным поведением троянских вымогателей. Особенность данного образца состоит в том, что он пытается выдать себя за несуществующий "онлайн-антивирус Лаборатории Касперского", обнаруживший на компьютере пользователя некий "вирус" и предлагающий "удалить" его. При этом, как можно видеть из снимка экрана выше, текст малограмотен и содержит как орфографические, так и пунктуационные ошибки.



Лечение зараженного компьютера

Восстановление работоспособности инфицированного ПК может осуществляться по аналогии с удалением Trojan-Ransom.Win32.Blocker, описанным в вирусной энциклопедии Securelist. Напомним, что сущность предложенного метода состоит в выполнении следующих инструкций.

1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:

 
2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:
 
 
Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.

Типичный представитель Trojan-Ransom.Win32.SMSer может быть удален при помощи следующего скрипта AVZ:
 
Var
 Disk : char;
 i : integer;
begin
 SetAVZGuardStatus(true);
 TerminateProcessByName('user32.exe');
 QuarantineFile('%System32%\user32.exe','');
 DeleteFile('%System32%\user32.exe');
 for i := 0 to 25 do begin
 Disk := chr(ord('C')+i);
 if GetDriveType(Disk+':\') in [2,3,4] then begin
 DeleteFile(Disk+':\md.exe');
 DeleteFile(Disk+':\autorun.inf');
 end;
 end;
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(8);
 ExecuteRepair(11);
 ExecuteRepair(16);
 ExecuteRepair(17);
 ExecuteRepair(19);
 ExecuteWizard('TSW', 2, 2, true);
 RebootWindows(true);
end.
Как выполнить скрипт в AVZ?
 
Внимание:
перед выполнением скрипта необходимо закрыть все приложения и выгрузить всё из трея.

P.S. Запустить AVZ с правами администратора ( по умолчанию в XP первый пользователь уже администратор)

1. Выбрать мышкой весь текст который в рамочке , нажать правой кнопкой мышкой и нажать на копировать .
 
код меняется в зависимости от ситуации :)
2. Открыть AVZ , Нажать на Файл -> Выполнить скрипт
 
 
-> в появившимся окошке программы нажать правой кнопкой мышки и выбрать Вставить .



При заражении компьютера троянскими вымогателями настоятельно не рекомендуется выполнять требования злоумышленников и выплачивать им какие-либо суммы - это поощряет киберпреступников создавать новые, более опасные образцы вредоносного программного обеспечения.
 
источник
Категория: Вирусы | Просмотров: 590 | Добавил: b109info

Всего комментариев: 1

 

 
Мало комментариев. Почему бы Вам не оставить свой


02-08-09
1. kid
В прошлом году я встетился с похожим вирусом на работе, тогда меня спасла установка и сканирование AVZ.

Имя *:
Email:
Код *:

Сайт создан b109 System © 05/05/2007, все права защищены. Используются технологии uCoz

Форма входа

Логин:
Пароль:

Календарь

«  Июль 2009  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031


Поиск на Сайте


 

На правах рекламы

 

Дневник

Смотреть Дневник
 

Статистика

VideoSaver
 
Онлайн всего: 10
Гостей: 10
Пользователей: 0