+ Ответить в теме
Показано с 1 по 11 из 11

Тема: Penetrator

  1. #1

    Регистрация
    22.05.2009
    Адрес
    Богуслав Поле
    Сообщений
    2,552
    Репутация
    6325

    По умолчанию Penetrator

    После новогодних праздников началась очередная вирусная эпидемия. Как оказалось это очередная модификация вируса - Penetrator.

    У особо невезучих винчестеры почти на 90% оказались пусты.

    Рассмотрим этого зверя поближе.

    Происхождение вируса и этимология названия
    Название вируса происходит от penetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.
    О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру…

    Деструктивные действия вируса

    Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).
    Файлы .bmp, .png, .tiff вирус «не трогает».
    Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами).
    То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
    В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла.
    Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область.

    Классификация вируса
    Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB…

    Как происходит заражение
    Средства распространения вируса – Интернет, flash-носители.
    Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
    При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe

    Кроме этого, вирус создает следующие файлы:
    • WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке WINDOWSsystem32);
    • WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке WINDOWSsystem32);
    • WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);
    • WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe);
    • WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
    • WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).
    Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.

    Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].

    Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun]).
    Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

    Как устранить деструктивные последствия вируса
    1. Проверьте винчестер надежным антивирусом со свежими базами.

    2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.

    3. Удалите (если их не уничтожил антивирус) следующие файлы:
    • WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);
    • WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*);
    • WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*);
    • WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe);
    • WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
    • WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).

    4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
    • REG_SZ-параметр Shell должен иметь значение Explorer.exe;
    • REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe,

    5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun]).

    6. Удалите шаблон Normal.dot.

    7. Попытайтесь восстановить удаленные вирусом файлы.
    Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
    Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.

    Примечания
    1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
    2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
    3. Почаще делайте резервное копирование важной информации .
    4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться.

    Послесловие
    По сообщениям СМИ, 20-летний автор компьютерного вируса «пенетратор» задержан в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми – 7 лет…

  2. #2

    Регистрация
    22.05.2009
    Адрес
    Мозырь
    Сообщений
    324
    Репутация
    549

    По умолчанию Re: Penetrator

    Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми – 7 лет…
    аминь ....

  3. #3

    Регистрация
    25.05.2009
    Адрес
    Минск
    Сообщений
    216
    Репутация
    1047

    По умолчанию Re: Penetrator

    Гы) Сволочи, когда ж им надоест писать вирусы. А вообще можно обойьтись и юез антивируса. Поставить прогу, на подобии антируткита уровня ядра, которая не позволит ни одному приложению изменить никакой файл, ни удалить, и не записаться ничему левому в папку с виндой. Базы совершенно не нужны. Но придется создавать много правил и зон для приложений. Это как фаервол, только для компа от приложений)))

  4. #4

    Регистрация
    13.01.2010
    Адрес
    на планете
    Сообщений
    589
    Репутация
    643
    Записей в дневнике
    1

    По умолчанию Re: Penetrator

    Я так Acronis True стараюсь почаще употреблять.
    Думаю что вряд ли какой вирус из под него файл *tib* распакует
    Но хранить где?

  5. #5

    Регистрация
    22.05.2009
    Адрес
    Советская
    Сообщений
    379
    Репутация
    1395

    По умолчанию Re: Penetrator

    sdsplus00,Я считаю надо спокойней без параноий)
    Хочешь быть оригинальным - будь добрым...

  6. #6

    Регистрация
    13.01.2010
    Адрес
    на планете
    Сообщений
    589
    Репутация
    643
    Записей в дневнике
    1

    По умолчанию Re: Penetrator

    Цитата Сообщение от Stych Посмотреть сообщение
    sdsplus00,Я считаю надо спокойней без параноий)
    Ну и при чём тут "паранойя"? я просто копию диска "С" регулярно делаю
    я много гружу после что не подходит - выгружаю, у меня копия "С"
    под Acronis в сохранке и я в любой момент при любых "вирусяках" эту
    копию восстанавливаю.
    примерно 6-9 минут без всяких форматов и инсталятов и т.д.
    Причём вооставливаю всё то , что было загружено до возникновения проблем.
    Восстановление от Windоws отключаю сразу после установки Win -
    это полный отстой! У меня "С" - 15Гг, упаковывается в 8Гг и лежит в пачке Acronis до восстребования.
    Но HDD у меня - 160Гг и вот куда всё упаковать, чтоб сохранить?
    Получается "веник" второй ставить надо, а я не хочу.
    Пока на 8Гг "флэш" купил, на нём копию диска"С" и держу, и раз в месяц
    обновляю.
    Ну и всё.
    Последний раз редактировалось SDS; 22.01.2010 в 23:15.

  7. #7

    Регистрация
    22.05.2009
    Адрес
    Советская
    Сообщений
    379
    Репутация
    1395

    По умолчанию Re: Penetrator

    Расскажи как именно копия помогает? Вот например, зарубили у меня вирусы винду, все, BSOD на экране, что мне делать?)
    Хочешь быть оригинальным - будь добрым...

  8. #8

    Регистрация
    22.05.2009
    Адрес
    Богуслав Поле
    Сообщений
    2,552
    Репутация
    6325

    По умолчанию Re: Penetrator

    Акронисом можно делать загрузочный CD Потом его запускаеш и через него запускаеш копию винды на восстановление. Я так делал, помогало.

  9. #9

    Регистрация
    13.01.2010
    Адрес
    на планете
    Сообщений
    589
    Репутация
    643
    Записей в дневнике
    1

    По умолчанию Re: Penetrator

    Stych,
    купи за 12 тыщ "вся Беларусь", он и есть загрузочный и Акронис он грузит без Winды
    только в BIOSе CD как first поставь
    Последний раз редактировалось SDS; 27.03.2010 в 15:31.

  10. #10

    Регистрация
    22.05.2009
    Адрес
    Советская
    Сообщений
    379
    Репутация
    1395

    По умолчанию Re: Penetrator

    Sanych,
    SDS, я считаю в любом случае будут какие-то проблемы, если винда слетела её надо ставить заново, а не восстанавливать, имхо.

    ЗЫ SDS, ты еще поучи меня серваки админить))
    Хочешь быть оригинальным - будь добрым...

  11. #11

    По умолчанию Re: Penetrator

    Stych, ты слегка неадекватно себя ведешь : сперва просишь объяснить, затем "смеешься" с того, что тебе "объяснили".

    Да и все правильно. Зачем ставить полетевшую винду заново, если можно поставить копию уже установленной системы с нужным софтом и не париться особо?

 

 
+ Ответить в теме

Поделись с друзьями этой темой!

Поделись с друзьями этой темой!

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
Текущее время: 17:21. Часовой пояс GMT +3.
Беларусь для сваiх! © СВАЕ 2009 - 2015