Вірус Penetrator: трупи зони і методи боротьби.

Останнім часом користувачам ПК сильно докучає вірус Penetrator. У нього немає «прив'язки» до конкретної дати - він починає свої деструктивні дії відразу після запуску виконуваного файлу.

І сказав вирусописатели вірусам: «Плодіться і розмножуйтеся !..».
(Комп'ютерні байки )

Останнім часом користувачам ПК (особливо тим, хто не любить оберігатися!) сильно докучає вірус Penetrator.

Походження вірусу і етимологія назви

Назва вірусу походить від penetrate (англ.) - проникати всередину, проходити крізь, пронизувати; впроваджуватися (куда-л.) з шпигунськими цілями.

Про походження вірусу ходять різні легенди. Нібито, російський студент-програміст, знехтуваний своєю дівчиною, вирішив таким чином помститися їй, а заодно - і всьому цифрового світу ...

Деструктивні дії вірусу

Усі.jpg"-файли (.jpg",. jpeg) замінюються.jpg"-зображеннями (розміром 69х15 пікселів; «вагою» 3,1 КБ) із стилізованою написом Penetrator (чорний шрифт на сірувато-білому тлі).

Файли. bmp,. png,. tiff вірус «не чіпає».

Аудіофайли (. mp3,. wma), відеофайли (. avi,. mpeg,. wmv), файли Word (. doc,. rtf), Excel (. xls) і PowerPoint (. ppt) знищуються (як правило, просто видаляються, рідше їх вміст підміняється іншим вмістом, наприклад, у текстових файлів - матами).

Те є вірус псує все найдорожче, що є у користувача ПК!

На відміну від широко поширеної легенди, у вірусу немає «прив'язки» до конкретної дати (наприклад, 1 січня, 23 лютого чи 8 березня), - він починає свої деструктивні дії відразу після запуску виконуваного файлу.

Найсильніша хвиля епідемії вірусу пройшлася по Далекому Сходу, особливо постраждала Амурська область.

Класифікація вірусу

Антивіруси ідентифікують зловредів по-різному (як завжди!): наприклад, Panda Antivirus називає його хробаком W32/Penetrator.A.worm; Антивірус Касперського вважає його трояном Trojan-Downloader.Win32.VB ...

Як відбувається зараження

Засоби розповсюдження вірусу - Інтернет, flash-носії.

Зараження, як правило, відбувається під час запуску файлу, замаскованого під заставку *. scr, рідше вірус «косить» під файли. mp3.
При зараженні в усі відкриваються папки (і на всі підключаються до зараженого ПК носії) копіюється тіло вірусу у вигляді файлів імя_папкі.s cr або імя_папкі.exe .

Крім цього, вірус створює наступні файли:
? WINDOWSsystem32deter * lsass.exe (на відміну від справжнього lsass.exe, «проживає» у папці WINDOWSsystem32);
? WINDOWSsystem32deter * smss.exe (на відміну від справжнього smss.exe, « ; проживає »у папці WINDOWSsystem32);
? WINDOWSsystem32deter * svсhоst.exe (букви« с »і« о »- кириличні, на відміну від справжнього svchost.exe);
? WINDOWSsystem32ahtomsys *. exe (наприклад, ahtomsys19.exe);
? WINDOWSsystem32сtfmоn.exe (букви «с» і « о »- кириличні, на відміну від справжнього ctfmon.exe);
? WINDOWSsystem32psagor *. exe (або psagor *. sys, або psagor *. dll; наприклад, psagor18.dll ).
Файли мають атрибути Прихований, Системний, Тільки читання.


Розмір 114,5 КБ.

Вірус прописує себе в Реєстр Windows в REG_SZ-параметри Shell і Userinit розділу [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].

Файли ahtomsys *. exe, лже-сtfmоn.exe і psagor *. exe прописуються в автозавантаження (див. розділ Реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Вірус - резидентний, на зараженому ПК він вантажиться разом з операційною системою і постійно присутній в оперативній пам'яті.

Як усунути деструктивні наслідки вірусу

1 . Перевірте вінчестер надійним антивірусом зі свіжими базами.

2. Видаліть (якщо їх не знищив антивірус) файли імя_папкі.scr і імя_папкі.exe .

3. Видаліть (якщо їх не знищив антивірус) такі файли:
? WINDOWSsystem32deter * lsass.exe (видаліть файл разом з папкою deter * );
? WINDOWSsystem32deter * smss.exe (видаліть файл разом з папкою deter * );
? WINDOWSsystem32deter * svсhоst.exe ( букви «с» і «о» - кириличні, на відміну від справжнього svchost.exe; видаліть файл разом з папкою deter *);
? WINDOWSsystem32ahtomsys *. exe (наприклад , ahtomsys19.exe);
? WINDOWSsystem32сtfmоn.exe (букви «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe);
? WINDOWSsystem32psagor *. exe (або psagor *. sys, або psagor *. dll; наприклад, psagor18.dll).

4. Перевірте розділ Реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
? REG_SZ-параметр Shell повинен мати значення Explorer.exe;
? REG_SZ-параметр Userinit повинен мати значення C: WINDOWSSystem32userinit.exe,

5. Видалити з автозавантаження файли ahtomsys *. exe, лже-сtfmоn.exe і psagor *. exe (див. розділ Реєстру
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

6. Видаліть шаблон Normal.dot.

7. Спробуйте відновити видалені вірусом файли. Сильно спокушатися не варто, але дещо (якщо поверх не записувалася інша інформація!) Відновити вдасться.
Оскільки файли.jpg" перезаписуються вірусом під тією ж назвою, але з іншим вмістом, відновити їх не вдається.

Примітки

1. Будьте обережні при маніпуляціях з Реєстром! Неправильне використання редактора реєстру може призвести до серйозних проблем, аж до переустановлення операційної системи!

2. Пам'ятайте, що попередити легше, ніж лікувати! Користуйтеся брандмауерами і надійними антивірусними програмами з регулярно (не менше одного разу на тиждень!) Оновлюваними базами.

3. Частіше робіть резервне копіювання важливої ??інформації.

4. Залежно від різновиду вірусу Penetrator кількість, назва і розмір створюваних ним файлів і папок, а також набір деструктивних дій можуть істотно різнитися.

Післямова

За повідомленнями ЗМІ, 20-річний автор комп'ютерного вірусу «пенетратора» затриманий в Калінінграді. Програмісту загрожує позбавлення волі строком на 3 роки, а в разі, якщо буде доведено, що наслідки вірусної атаки виявилися важкими - 7 років ...

Люди, будьте пильні! Сили комп'ютерного зла не дрімають !..