Cum de a distruge virusul penetrator

• Și a spus viruși scriitor virus: „Creșteți și înmulțiți. “.

• «Cumparati anti-virus bază de date-penetrator împotriva agentului Smith. Prea mult. Neo“.

• Apel companii suport antivirus tehnice:

- Cum știu dacă mi Penetrator virusul PC.

Începutul unei călătorii lungi, sau Istoria Penetrator'a

Recent, utilizatorii de PC-uri (în special cei care nu le place să fie protejate!) Enerveaza Profund penetratorul virusului.

Site-uri Runet titluri pestreyut: "Penetrator pufnit." „Prin intermediul rețelei superzlo merge.“ „Virusul este în stilul mat ...“

Penetrator penetrator este în viață și se întoarce

Numele este derivat din penetreze virus - pentru a penetra, pătrunde, penetrează (Eng.); puse în aplicare (în cazul în care l.) scopuri spyware.

Prin urmare, penetrator poate fi tradus ca pronikatel. implementator. "Zaslanets".

La originea virusului merge la diferite legende. De exemplu, acest lucru: programator elev român, respins de prietena lui, a decis astfel să-i răzbune, și în același timp - și în întreaga lume digitală ...

Care este Penetrator

Virusul este scris în Visual Basic.

fișier virus executabilă este ambalat v.1.93 UPX.

Virusul este proiectat pentru 32 de biți platforme sistem de operare Windows cu procesor x86.

Virus - un rezident. pe PC-ul infectat, acesta este încărcat cu sistemul de operare și este mereu prezent în memorie.

Locul de nastere al virusului - Romania.

· String Informații fișier - 040904B0

· Original File name - Services.exe

Aparent, Penetrator prototip „și a servit ca virus e-mail-Worm.Win32.VB.cs.

Cum de a identifica Penetrator anti-virus

Antivirus identifica malware-ului în diferite moduri (ca întotdeauna!):

Unele antivirus încă nu se poate recunoaște.

Cum esti infectat

Principalele mijloace de răspândire a virusului - de pe Internet, LAN, acceleratoare flash.

Virusul se raspandeste usor si rapid pe rețeaua locală (cu antivirus activă și utilizator anonim cu handicap!) În dosarul \ Documents and Settings \ All Users \ Documents \ fiecare copie de PC-uri locale ale fișierului virus numit Documents.scr.

Efectul distructiv al virusului

- la începutul virusului în directorul rădăcină al discului infectat flash.scr imaginii copiate (117 248 bytes);

- în dosarul \ WINDOWS \ System32 \ virus creează dosar DETER177;

- în dosarul \ WINDOWS \ System32 \ DETER177 \ virusul lsass.exe creează un fișier ascuns (117248 bytes, spre deosebire de prezenta lsass.exe «vii» în folderul \ WINDOWS \ System32.);

- în dosarul \ WINDOWS \ System32 \ DETER177 \ smss.exe virus creează un fișier ascuns; (117248 bytes, spre deosebire de prezenta smss.exe «vii» în folderul WINDOWS \ System32 \.)

- în dosarul \ WINDOWS \ System32 \ DETER177 \ virus creează un fișier ascuns svshost.exe (117248 bytes, literele "c" și "o" - chirilic, în contrast cu prezenta svchost.exe);

- în dosarul \ WINDOWS \ System32 \ virus creează un fișier ascuns AHTOMSYS19.exe (117248 bytes);

- în dosarul \ WINDOWS \ System32 \ virus creează un fișier ascuns stfmon.exe (117248 bytes, literele "c" și "o" - chirilic, în contrast cu prezenta ctfmon);

- în dosarul \ WINDOWS \ System32 \ virus creează un fișier ascuns psador18.dll (32 bytes);

- în dosarul \ WINDOWS \ System32 \ virus creează un fișier psagor18.sys ascunse (117248 bytes);

- fișiere AHTOMSYS19.exe. \ WINDOWS \ System32 \ DETER177 \ lsass.exe și \ WINDOWS \ System32 \ stfmon.exe porni automat atunci când pornirea sistemului de operare și în mod constant prezent în memorie;

- (. Jpg jpeg) toate .jpg -files se înlocuiesc cu același nume .jpg -Images (cu dimensiunea 69h15 pixeli, 3174 octeți) cu o inscripție stilizate Penetrator (negru pe fond alb-gri). .bmp. .png. „Nu atingeți» virusul .tiff;

- conținutul fișierelor .doc și .xls înlocuite cu următorul mesaj text (în acest caz, dimensiunea acestor fișiere devine 196 bytes - în ceea ce privește mesajul text):

„Nah ** SENT, C * SC, acum nu vin înapoi DATELE !! Și voi umbla alături de el și râde la AS C * SC TINE, ISHESH vinovatul. Suge X ** P **** Lick. Hahaha \ Penetrator \

ICQ MY: 402974020

- Burn virusul creează un folder cu fișiere și CDburn.exe autorun.inf (dosar Locul de amplasare: Windows XP - \ Documents and Settings \<Имя_пользователя>\ Local Settings \ Application Data \ Microsoft \ Windows; Windows Vista - \ Utilizatori \ master \ AppData \ Local \ Microsoft \ Windows \ Burn);

- în fiecare dosar (inclusiv subfolderele) conduce în cazul în care lansarea a avut loc fișier flash.scr. virusul creează copii de sine <имя_папки>.scr (117,248 bytes); fișier apoi flash.scr pe disc (care este deja infectat), de obicei se autodistruge (viermele a făcut datoria, viermele poate pleca!), lăsând ca rădăcină a fișierului virus ascuns (fără nume), cu .scr extensia;

- la deschiderea / conectarea virusului local / amovibil disc este copiat în mass-media necontaminate, (chiar și în Safe Mode!)

- produce o provocare virus ascuns următorul Library sistem dll: Ntdll.dll. kernel32.dll. MSVBVM60.DLL. User32.dll. GDI32.dll. ADVAPI32.dll. Rpcrt4.dll. Ole32.dll. OLEAUT32.dll. Msvcrt.dll.

Deci, ca rădăcină a virusului afișează un fișier ascuns (fără nume) cu extensia .scr.

Mascarea virusului în sistem

Pentru a ascunde prezența în sistem și pentru a împiedica eliminarea virusului:

• deghizat ca protector de ecran;

• ascunde afișarea extensii de fișiere;

Cum de a distruge virusul penetrator

• Nu porniți Setup Utility sistemymsconfig;

• Cheia de registry [HKEY_CLASSES_ROOT \ scrfile] și [HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ scrfile] string (REG_SZ) Parametrul implicit este setat la File Folder (valoarea implicită - protectorul de ecran). file icon Prin urmare, flash.scr (sau alt fișier virus executabil) - această pictogramă este utilizat în mod obișnuit dosare (adică, imaginea vizuală, prin care se raspandeste virus, apare ca un dosar obișnuit Aici se află o altă capcană: dacă utilizatorul încearcă să deschidă. ( „ce este acest dosar?“) astfel psevdopapku, apoi - fără să știe - rulați fișierul executabil virusului.

Xlifebuoy AutoCAD „și

Trebuie remarcat un avertisment. Numărul de PC-uri infectate (! Și, în consecință, cantitatea de informații viciate) ar fi mult mai mult - mulți - cei care lucrează cu mii AutoCAD“- acesta este AutoCAD literalmente salvat!

Faptul că Penetrator creator „și a profitat de ocazia de a lansa screensaver, ca un fișier executabil obișnuit este înregistrat în cheia de registry [HKEY_CLASSES_ROOT \ .scr]. string setare (REG_SZ) Implicit @ = "scrfile".

AutoCAD la instalarea -files se reînnoiește SCR (în acest caz un șir implicit REG_SZ-parametru @ = „AutoCADScriptFile“. Adică un fișier AutoCAD scriptare „a), astfel încât începe protectorul de ecran în Windows Explorer nu reușește.

Acest lucru a salvat utilizatorii AutoCAD și de ravagiile Penetrator lui, dar acești utilizatori de PC-uri încă infectate - în cazul în care nu sunt tratate, - un purtător de virus (penetratoronositeli)!

Un mesaj pe unul dintre forumurile pe care virusul nu funcționează pe un desktop virtual. Aceasta nu corespunde realității.

Pre declanșat (pe PC-ul virtual) antivirus (ESET NOD32).

După începerea flash.scr virusului creează toate fișierele pe care le are nevoie de „munca“ prin schimbarea o setare de registry. dar acțiunile distructive cu fișiere nu au fost făcute.

Virusul este „câștigat“! A început fișierele de daune pe un PC virtual de ...

Ce o autopsie a arătat

O autopsie a relevat următorul cod software-ul virusului.

• «permis“ a virusului în registru.

loc_41A94C: var_88 = "Shell"

loc_41A952: var_88 = Unknown_41958C ( "Explorer.exe" MemVar_41E040, "SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon", CByte (H1), H80000002)

loc_41A98B: var_88 = "LSASS"

loc_41A991: var_88 = Unknown_41958C (Me.global_144, "SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run", CByte (H1), H80000002)

loc_41A9C6: var_D0 = Unknown_41905C ( "SOFTWARE \ Microsoft \ Windows \ CurrentVersion politicile \ Explorer \", "NoFolderOptions", CLng ( "1"), H80000002)

loc_41A9FF: var_D0 = Unknown_41905C ( "Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced", "ascunse", CLng ( "0"), H80000001)

loc_41AA38: var_D0 = Unknown_41905C ( "Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced", "HideFileExt", CLng ( "1"), H80000001)

loc_41AA71: var_D0 = Unknown_41905C ( "Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced", "ShowSuperHidden", CLng ( "0"), H80000001)

loc_41AAB3: var_88 = Unknown_41958C ( "File Folder", "scrfile", CByte (H1), H80000000)

loc_41AAC8: Du-te la eroare 0

loc_41AAE7: Dacă (var_AE = H0) Apoi „41AB15

loc_41AB12: GoTo loc_41AB55

loc_41AB15: End If

loc_41AB28: Dacă (FileLen (Me.global_132) <> MemVar_41E02C) Apoi „41AB53

loc_41AB53: End If

loc_41AB55: „Referite de la: 41AB12

loc_41AB7D: var_88 = "stfmon.exe"

loc_41AB83: var_88 = Unknown_41958C (Me.global_132, "SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run", CByte (H1), H80000002)

loc_41ABB8: var_88 = "stfmon.exe"

loc_41ABBE: var_88 = Unknown_41958C (Me.global_132, "SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run", CByte (H1), H80000001)

loc_41ABCF: Exit Sub

• Pentru înlocuirea conținutului .doc și .xls fișierele de mesaje obscene respectă următorul cod de site-ul virusului (aici precizat că fișierele sunt .rtf virus „nu atinge“):

Sub acțiunea publică (filF) „419C6C

„Tabel de date: 415670

loc_419B2C: Du-te la eroare loc_419C6A

loc_419B3C: var_88 = $ pe dreapta (filF, H3)

loc_419B47: Dacă nu (var_88 = "doc") Apoi „419B81

loc_419B52: Dacă nu (var_88 = "DOC"), apoi „419B81

loc_419B5D: Dacă nu (var_88 = ".xls") Apoi „419B81

loc_419B68: Dacă nu (var_88 = "XLS") Apoi „419B81

loc_419B73: Dacă nu (var_88 = "rtf") Apoi „419B81

loc_419B7E: Dacă (var_88 = "RTF") Apoi „419BD5

loc_419B81: End If

loc_419B81: End If

loc_419B81: End If

loc_419B81: End If

loc_419B81: End If

loc_419BBC: Call taskWrite (filF, cvar ( „Nah ** SENT, C * SC, acum nu vin înapoi DATELE !! Și voi umbla alături de el și râde la AS C * SC TINE, ISHESH vinovatul Suck X **. , linge n ****. hahaha \ Penetrator " vbCrLf "ICQ MY: 402974020" vbCrLf "JB" CSTR (MemVar_41E048)), HFF, H0)

loc_419BD1: Exit Sub

loc_419BD2: GoTo loc_419C5A

loc_419BD5: End If

• Ce tipuri de fișiere sunt supuse distrugerii, precizate în următoarea secțiune a codului de virus:

Sub Public ScanFile (diskforscan, typefind) „418D74

„Tabel de date: 415670

loc_418CFC: var_86 = typefind „Byte

loc_418D09: Dacă (var_86 = CByte (H1)) Apoi „418D3A

loc_418D2C: diskforscan ":" = Unknown_41C00C ( "rarRARzipZIPdocDOCxlsXLSjpgJPGmp3MP3wmaWMAwmvWMVaviAVImpgMPGvobVOBpdfPDF", H0, H0)

loc_418D37: GoTo loc_418D71

loc_418D3A: End If

loc_418D43: Dacă (var_86 = CByte (H3)) Apoi, „418D71

loc_418D66: diskforscan ":" = Unknown_41C00C ( "", H0, HFF)

loc_418D71: „Referite de la: 418D37

loc_418D71: End If

loc_418D71: Exit Sub

• Pentru înlocuirea conținutului imaginii .jpg-files „Penetrator“ (Image1) îndeplinește codul de mai jos site-ul virusului (aici precizat că virusul bmp fișiere „nu atinge“):

loc_419BDD: Dacă nu (var_88 = "jpg") Apoi „419C01

loc_419BE8: Dacă nu (var_88 = "JPG"), apoi „419C01

loc_419BF3: Dacă nu (var_88 = "bmp") Apoi „419C01

loc_419BFE: Dacă (var_88 = "BMP") Apoi „419C43

loc_419C01: End If

loc_419C01: End If

loc_419C01: End If

loc_419C0F: Dacă (FileLen (filF)> HC66) Apoi „419C3F

loc_419C33: SavePicture Image1.Picture

loc_419C3F: End If

loc_419C3F: Exit Sub

loc_419C40: GoTo loc_419C5A

loc_419C43: End If