->

среда, 24 октября 2012 г.

Убедительная просьба винлокера

Сегодня совершенно неожиданно для себя подхватил баннер. Давненько такого не случалось. Я даже уже как то расслабился, сидел и искал новости по фильму "Астерикс и Обеликс в Британии" (ссылка на трейлер в youtube). Фильм обещают в 3D и хотелось бы на него сходить всей семьей. И вот за этим делом я не уследил с какого именно ресурса был получен данный экземпляр вируса.
Впрочем, это и не важно. Думаю, что мы как те храбрые галлы из фильма со смехом встретим все трудности и решим их так же просто. Кому то может даже и волшебный напиток не понадобится.
Итак, посмотрим что за экземпляр мне достался...


Требования вируса (не системные, нет, он денег хочет и справедливости):
- "пополнить номер абонента +79676716316 на 1000 рублей"
- "убедительная просьба воздержаться в дальнейшем от повторения действий, приведших к блокировке компьютера"


По базе DrWeb это Trojan.Winlock.6049
По базе Касперского: HEUR:Trojan.Win32.Generic

Мои впечатления: мне попался какой то очень незатейливый вариант вируса. Перезагрузился с диска Alkid, быстренько прошелся по реестру, удалил записи вируса и всего делов на 5 минут.
В реестре вирус прописался в двух ветках (местах).
1. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Не пытался себя замаскировать под какое то системное приложение. Ключ запуска:
"S983746"="C:\\Temp\\RarSFX0\\input.exe"
Т.е. я имел глупость распаковать какой то архив с вирусом, в котором при помощи архиватора был прописан автозапуск баннера.

Данный ключ был просто стерт из реестра.

2. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Ключ запуска:
"Shell"="C:\\Temp\\RarSFX0\\input.exe"
В этом случае строка "C:\\Temp\\RarSFX0\\input.exe " была заменена на "explorer.exe".


Следующим шагом была произведена чистка папки  "C:\\Temp\\". И от вирусов, и от всего, что там вобще накопилось. После перезагрузки система вполне прекрасно себя ощущает.