->

воскресенье, 11 декабря 2011 г.

Вирус 89112878264 (модификация 22CC6C32.EXE)

Вирус стандартен в своем проявлении. Блокирует рабочий стол и требует скинуть смс на телефон 89112878264.
На текущий момент известен практически всем антивирусникам, так что здесь информацию выкладываю больше для статистики.

Смс на номер 89112878264
Вирус прописывается в автозагрузку:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

ключик Shell.Имя файла -  22CC6C32.exe.

Подменяет собой userinit.exe в папке c:\windows\system32, переименовывая стандартный userinit.exe в файл 03014D3F.exe.

Прячется вирус в папке "C:\Documents and Settings\All Users\Application Data\"

Лечение, в общем-то стандартное, - загружаемся с livecd (как это сделать). Скачать образ livecd можно здесь.
Удалить необходимо файлы userinit.exe (папка c:\windows\system32) и 22CC6C32.exe (папка C:\Documents and Settings\All Users\Application Data\).

В реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon проверить чтобы ключ Shell содержал ссылку на explorer.exe и  ничего более.

Перезагружаемся и получаем нормальный рабочий стол.

DrWeb зовет эту штуку - winlock.3300
Касперский - Pornoasset.as

Скрин отчета проверки данного вируса на virustotal
Ссылка на отчет - http://www.virustotal.com/file-scan/report.html?id=f4cd5365e0ed48fafa477ff8614e8a500bd0ae061508d00101507c4b07d8dd72-1324197092