->

суббота, 8 октября 2011 г.

Баннер +79811250098.

В предыдущем сообщении "Халява, как источник неприятностей" я упомянул об очередном вирусе, пойманном сегодня. Точнее вируса лезет как минимум 2. Расскажу про первый.

Как обычно это баннер винлокер. Причем старый знакомый, но с новым номером для сбора денег.


Описание: Employ Carlo
Авторские права на вирус: Copyleft © Promo Pier 1997-2005  
Забавно.

Чего этот вирус вытворяет:Выкидывает на рабочий стол баннер с телефоном
89811279027 (картинка в начале поста)
Создает файл as.exe в папке c:\windows\temp
Записывает ссылки в реестре на себя:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run]
"s5ch0st"="C:\\WINDOWS\\temp\\as.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN]
"s5ch0st"="C:\\WINDOWS\\temp\\as.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="C:\\WINDOWS\\temp\\as.exe"


Последний ключ может здорово попортить нервы. Если удалить файл as.exe, без удаления этого ключа, то зазгрузка windows закончится окном ввода логина. Но ввод логинов и паролей не поможет. Поэтому если у вас какие то проблемы с логином в windows - проверьте эту ветку.

Как лечить? Если Вы подхватили этот вирус и антивирусные утилиты не среагировали, то не остается варинта, кроме загрузки с внешнего носителя (смотри "Загрузочный диск (АЗЫ ручного вирусомочения)" ), а поскольку  дальше уже известно, что и где искать, чистка реестра и удаление файлов не составит большого труда.
Drweb отклассифицировал угрозу как Trojan.Winlock.4128
Сервис он-лайн проверки файлов от Касперского в настоящий момент не работает (видимо вносятся какие то изменения).