Вирус стандартен в своем проявлении. Блокирует рабочий стол и требует скинуть смс на телефон 89112878264.
На текущий момент известен практически всем антивирусникам, так что здесь информацию выкладываю больше для статистики.
Вирус прописывается в автозагрузку:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
ключик Shell.Имя файла - 22CC6C32.exe.
Подменяет собой userinit.exe в папке c:\windows\system32, переименовывая стандартный userinit.exe в файл 03014D3F.exe.
Прячется вирус в папке "C:\Documents and Settings\All Users\Application Data\"
Лечение, в общем-то стандартное, - загружаемся с livecd (как это сделать). Скачать образ livecd можно здесь.
Удалить необходимо файлы userinit.exe (папка c:\windows\system32) и 22CC6C32.exe (папка C:\Documents and Settings\All Users\Application Data\).
В реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon проверить чтобы ключ Shell содержал ссылку на explorer.exe и ничего более.
Перезагружаемся и получаем нормальный рабочий стол.
DrWeb зовет эту штуку - winlock.3300
Касперский - Pornoasset.as
Ссылка на отчет - http://www.virustotal.com/file-scan/report.html?id=f4cd5365e0ed48fafa477ff8614e8a500bd0ae061508d00101507c4b07d8dd72-1324197092
На текущий момент известен практически всем антивирусникам, так что здесь информацию выкладываю больше для статистики.
 |
| Смс на номер 89112878264 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
ключик Shell.Имя файла - 22CC6C32.exe.
Подменяет собой userinit.exe в папке c:\windows\system32, переименовывая стандартный userinit.exe в файл 03014D3F.exe.
Прячется вирус в папке "C:\Documents and Settings\All Users\Application Data\"
Лечение, в общем-то стандартное, - загружаемся с livecd (как это сделать). Скачать образ livecd можно здесь.
Удалить необходимо файлы userinit.exe (папка c:\windows\system32) и 22CC6C32.exe (папка C:\Documents and Settings\All Users\Application Data\).
В реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon проверить чтобы ключ Shell содержал ссылку на explorer.exe и ничего более.
Перезагружаемся и получаем нормальный рабочий стол.
DrWeb зовет эту штуку - winlock.3300
Касперский - Pornoasset.as
 |
| Скрин отчета проверки данного вируса на virustotal |
"На текущий момент известен практически всем антивирусникам, так что здесь информацию выкладываю больше для статистики." -- хочешь сказать, что если загрузиться с live cd каспера или drweb - он вылечит систему? Не знаю, навряд-ли..
ОтветитьУдалитьЯ хочу сказать, что скорее всего даже и заражения не произойдет, при включенном антивирусе. А значит и лечить ничего не надо будет.
ОтветитьУдалитьЭто нужна статистика.. Аваст пропускает - это факт уже. Каспер лицензионный тоже (один раз точно встречал). Может, еще он разными путями заражает userinit.exe - если пользователь согласится с каким-то диалогом, то антивирусник могет и не помочь..
ОтветитьУдалитьНо еще раз повторюсь, что нужна статистика..
Конечно конечно. Проверял известность вируса на сайте virustotal. Данная модификация вируса известна 37 из 43 используемых на ресурсе антивирусов. Выкладываю скрин результата проверки.
ОтветитьУдалитьТак что статистика есть.
Конкретно ЭТА модификация не меняет и не заражает userinit. Диалогов никаких нет.
Хм.. Парикольно..
ОтветитьУдалитьДа сам тащусь :)
ОтветитьУдалитьПоправочка, вирус заменяет собой userinit :)) я ж про это написал в тексте....