->

воскресенье, 21 августа 2011 г.

Winlock.3333

Итак, дорогие друзья, сегодня имеем вирус winlock.3333 ("видео с педофилией и насилием над детьми").
Внешний вид:
Чего хочет: Как обычно хочет денег в размере 500 рублей. На телефон МТС (910) 719219.
Обезвреживается вирус очень просто...
При всей его внешней страшности и заблокированных опциях windows, не блокируется комбинация клавиш win+D (системная команда "свернуть все окна").
При нажатии данной комбинации клавиш вирус сворачивается вместе со всеми. Становится доступным рабочий стол и диспетчер задач. Остается только снять задачу с вирусом. У меня это был файл "readme.exe".
В реестре данный вирус прописывается в автозагрузке процессов текущего пользователя.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Файл вируса после запуска становится скрытым, что решается тоже просто. Достаточно изменить нужный параметр для эксплорера.
В моем случае файл имеет иконку дельфи (желтая цифра семь). Надо будет попробовать его декомпилировать чтоли...

В общем данный вирус штука не сложная...
Касперский не имел на момент нахождения вируса записи у себя в базах:
DrWeb сработал оперативнее:
DrWeb присвоил данному вирусу модный, "блатной" номер - winlock.3333.

P.S. Еще нюанс, при перезагрузке компьютера можно успеть до блокирования рабочего стола вызвать диспетчер задач и заврешить процесс вируса. Повторял такое неоднократно.

P.P.S. По недавно полученной информации от Евгения Чинцова есть еще способ борьбы с винлоками.
Цитирую:
"В борьбе с локером помогает заход под другой учеткой и запуск оттуда
того-же КуреИта (например).
У меня именно так и было - одна блокирнулась, другая - нет.
И не пришлось никаких F8 при загрузке ловить..."
Вполне может быть, на досуге проверю...