Новый год приподнес пользователям компьютеров нашего поселка неожиданный подарок.На 1 число неожиданно активировался вирус Penetrator. На 4 января в поселке уже пострадало до десятка компьютеров.Наиболее часто вирус встречается на флешках,поэтому советуем проверять носитель перед запуском файлов.
Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).
Файлы .bmp, .png, .tiff вирус «не трогает».
Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word
(.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как
правило, просто удаляются, реже их содержимое подменяется другим
содержимым, например, у текстовых файлов – матами).
То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB…
Средства распространения вируса – Интернет, флешки.
Заражение, как правило, происходит во время запуска файла,
замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.
Кроме этого, вирус создает следующие файлы:
• \WINDOWS\system32\deter*\lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке \WINDOWS\system32);
• \WINDOWS\system32\deter*\smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке \WINDOWS\system32);
• \WINDOWS\system32\deter*\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);
• \WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe);
• \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
• \WINDOWS\system32\psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).
Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.
Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon].
Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]).
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Как устранить деструктивные последствия вируса
1. Проверьте винчестер надежным антивирусом со свежими базами.
2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.
3. Удалите (если их не уничтожил антивирус) следующие файлы:
• \WINDOWS\system32\deter*\lsass.exe (удалите файл вместе с папкой deter*);
• \WINDOWS\system32\deter*\smss.exe (удалите файл вместе с папкой deter*);
• \WINDOWS\system32\deter*\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*);
• \WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe);
• \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
• \WINDOWS\system32\psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).
4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]:
• REG_SZ-параметр Shell должен иметь значение Explorer.exe;
• REG_SZ-параметр Userinit должен иметь значение C:\WINDOWS\System32\userinit.exe,
5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]).
7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?).
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.
Наша бригада профессиональных исполнителей приготовлена предоставлять вам новаторские системы, которые не только снабдят надежную оборону от холода, но и подарят вашему жилью элегантный вид. Мы трудимся с новейшими составами, ассигнуруя долгосрочный запас использования и отличные результирующие показатели. Теплоизоляция фронтонов – это не только экономия энергии на отапливании, но и заботливость о окружающей среде. Сберегательные технологии, какие мы претворяем в жизнь, способствуют не только жилищу, но и сохранению природных ресурсов. Самое первоочередное: <a href=https://ppu-prof.ru/>Утепление фасада снаружи цена</a> у нас открывается всего от 1250 рублей за квадратный метр! Это доступное решение, которое преобразит ваш хаус в подлинный душевный угол с минимальными тратами. Наши проекты – это не только теплоизоляция, это созидание помещения, в котором каждый элемент преломляет ваш уникальный образ. Мы примем все твои пожелания, чтобы осуществить ваш дом еще больше дружелюбным и привлекательным. Подробнее на <a href=https://ppu-prof.ru/>https://ppu-prof.ru</a> Не откладывайте дела о своем корпусе на потом! Обращайтесь к экспертам, и мы сделаем ваш корпус не только более теплым, но и стильным. Заинтересовались? Подробнее о наших проектах вы можете узнать на веб-ресурсе. Добро пожаловать в мир спокойствия и уровня.
Наша бригада искусных мастеров приготовлена предъявить вам инновационные средства, которые не только ассигнуруют надежную покров от холода, но и подарят вашему дому оригинальный вид. Мы работаем с самыми современными составами, ассигнуруя постоянный период эксплуатации и блестящие итоги. Изолирование фронтонов – это не только экономия на отоплении, но и забота о окружающей природе. Экономичные разработки, какие мы осуществляем, способствуют не только жилищу, но и поддержанию экосистемы. Самое основополагающее: <a href=https://ppu-prof.ru/>Утепление здания снаружи цена</a> у нас открывается всего от 1250 рублей за м²! Это доступное решение, которое изменит ваш дом в истинный приятный локал с небольшими издержками. Наши труды – это не исключительно утепление, это составление области, в котором каждый деталь показывает ваш собственный образ. Мы возьмем во внимание все ваши просьбы, чтобы осуществить ваш дом еще больше комфортным и привлекательным. Подробнее на <a href=https://ppu-prof.ru/>https://www.ppu-prof.ru</a> Не откладывайте занятия о своем доме на потом! Обращайтесь к профессионалам, и мы сделаем ваш домик не только теплее, но и по последней моде. Заинтересовались? Подробнее о наших предложениях вы можете узнать на веб-сайте. Добро пожаловать в сферу гармонии и уровня.
Наша бригада искусных специалистов проштудирована предоставить вам перспективные системы, которые не только подарят надежную покров от заморозков, но и дарят вашему жилью оригинальный вид. Мы практикуем с современными веществами, ассигнуруя постоянный срок работы и прекрасные решения. Изоляция фронтонов – это не только экономия тепла на подогреве, но и трепет о природной среде. Энергоэффективные методы, какие мы применяем, способствуют не только своему, но и сохранению природных богатств. Самое основное: <a href=https://ppu-prof.ru/>Ремонт домов утепление фасадов</a> у нас стартует всего от 1250 рублей за м2! Это бюджетное решение, которое метаморфозирует ваш помещение в фактический теплый местечко с минимальными затратами. Наши труды – это не лишь изолирование, это составление области, в где все компонент отражает ваш собственный стиль. Мы рассмотрим все ваши запросы, чтобы осуществить ваш дом еще еще более приятным и привлекательным. Подробнее на <a href=https://ppu-prof.ru/>https://www.ppu-prof.ru</a> Не откладывайте заботу о своем доме на потом! Обращайтесь к исполнителям, и мы сделаем ваш жилище не только согретым, но и изысканнее. Заинтересовались? Подробнее о наших работах вы можете узнать на портале. Добро пожаловать в пределы комфорта и качественной работы.
