суббота, 9 февраля 2013 г.

Компьютер требует денег

  Очередной эпизод про компьютер, который хочет денег. Прочие дела смотри справа в разделе "Анти и вирусы"
  Все-таки в моем родном отечестве обитают толпы патриотов моей великой родины. Ведь целая орава людей стрижет бабки на благо нашей службы безопасности Украины и нашего министерства внутренних дел. Столько вирусов требуют для них денег. "Не для себя, но только волею пославшей меня жены" (это из "12 стульев").
  Звонок от знакомого: домашний компьютер резко захотел денег. Между делом сказал, что компьютеру уже два года и антивируса на нем отродясь небыло. В магазине им сказали, что он не нужен. Типа в Windows 7 есть встроенный защитник который со всем справится.
  И вот сегодня при старте Windows появилось окно.
  Грозный заголовок, Слева вверху все аттрибуты власти Украины. Суровый крестик над украинским флагом и гербом - символ СБУ. Для большей убедительности. Стандартное обвинение в просмотре педофилии, насилии и гей-порно. Требование оплатить 220 грн на кошелек Webmoney U382236572717. Понравилось обещание "дело будет удалено из архивов СБУ"
  1. Перегружаю компьютер.
  2. При старте Windows 7 в самом начале жму F8.
  3. Захожу в "безопасный режим с поддержкой командной строки". Windows нормально дошла до любимой и простой командной строки. Зараза сюда не добралась. Похоже вирус не такой уж и сложный.
  4. В командной строке запускаю редактор реестра regedit.exe.
  Начинаю просматривать в реестре известные мне места автозапуска. И вот она - подозрительная программа.
  В разделе HKCU\Software\Microsoft\Windows\Run находится ключ Explorer, который запускает программу oamqzb4v.exe . Марк Руссинович в своем блоге когда-то написал статью о признаках вредоносной программы. И тут наличествовали минимум два из них:
  1. Вирус имел название Explorer как у одного из основных компонентов Windows. Но нормальный эксплорер не должен быть в этом месте. Он прописан абсолютно в другой ветке реестра.
  2. Вирус лежит в необычной лоя программ папке. Временной папке пользователя c:\users\agregat\appdata\local\temp\oamqzb4v.exe. Здесь agregat - имя пользователя
  Удаляю этот ключ. Больше ничего подозрительного в реестре не нашел. Запускаю поиск по всему реестру на строку oamqzb4v. Поиск нашел еще одно место в реестре. В HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon было целых три ключа этого зловреда.
"Shell"="c:\users\agregat\appdata\local\temp\oamqzb4v.exe"
"UIHost"="c:\users\agregat\appdata\local\temp\oamqzb4v.exe"
"Userinit"="c:\users\agregat\appdata\local\temp\oamqzb4v.exe"

  На всякий случай сохранил копию этой ветки реестра. И удаляю все три ключа. Закрываю редактор реестра.
  Хотя реестр теперь был чист зловред мог стартовать каким-нибудь неизвестным мне способом. Или в системе могли находится другие компоненты вируса, которые я не заметил. И они могли восстановить этот файл. Поэтому надо стереть тело вируса и позаботиться о том, чтобы файла с таким именем нельзя было создать простыми средствами.
  1. Перехожу во временную папку пользователя "cd %temp%"
  2. Переношу тело вируса в другое место "mv oamqzb4v.exe c:\1". У зловреда оказался размер 87552 байта.
  3. Создаю вместо вируса папку с таким же именем "mkdir oamqzb4v.exe"
  4. Присваиваю ей атрибуты "Скрытый", "Системный" и "Только для чтения" "attrib +SHR oamqzb4v.exe"
  5. Перегружаю комп. 
  Компьютер нормально стартовал. Скачал бесплатный Avast. Установил и зарегистрировал его на год.
  Теперь стало интересно, что за вируса. Прийдя домой начал его проверять.
  Линуксовский clamscan с последними обновлениями его не заметил. Сказал - все в порядке. Онлайн сканер DrWeb сказал что это "infected with Trojan.Winlock.7970". Microsoft Security Essentials заявил, что угроз нет, но попросило отослать этот файл в Microsoft на проверку