# Технологии и коммуникации > Интернет >  Penetrator

## Sanych

После новогодних праздников началась очередная вирусная эпидемия. Как оказалось это очередная модификация вируса - *Penetrator*.

У особо невезучих винчестеры почти на 90% оказались пусты.

Рассмотрим этого зверя поближе.

*Происхождение вируса и этимология названия*
Название вируса происходит от penetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.
О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру…
*
Деструктивные действия вируса*
Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).
Файлы .bmp, .png, .tiff вирус «не трогает».
Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами).
То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла.
Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область.

*Классификация вируса*
Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB…

*Как происходит заражение*
Средства распространения вируса – Интернет, flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe

Кроме этого, вирус создает следующие файлы:
• WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке WINDOWSsystem32);
• WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке WINDOWSsystem32);
• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);
• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe);
• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).
Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.

Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].

Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV  ersionRun]).
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

*Как устранить деструктивные последствия вируса*
1. Проверьте винчестер надежным антивирусом со свежими базами.

2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.

3. Удалите (если их не уничтожил антивирус) следующие файлы:
• WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);
• WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*);
• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*);
• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe);
• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).

4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
• REG_SZ-параметр Shell должен иметь значение Explorer.exe;
• REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe,

5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV  ersionRun]).

6. Удалите шаблон Normal.dot.

7. Попытайтесь восстановить удаленные вирусом файлы.
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.

*Примечания*
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации .
4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться.

*Послесловие*
По сообщениям СМИ, 20-летний автор компьютерного вируса «пенетратор» задержан в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми – 7 лет…

----------


## Serj_2k

> Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми – 7 лет…


аминь ....

----------


## Pasha_49

Гы) Сволочи, когда ж им надоест писать вирусы. А вообще можно обойьтись и юез антивируса.  Поставить прогу, на подобии антируткита уровня ядра, которая не позволит ни одному приложению изменить никакой файл, ни удалить, и не записаться ничему левому в папку с виндой. Базы совершенно не нужны. Но придется создавать много правил и зон для приложений. Это как фаервол, только для компа от приложений)))

----------


## SDS

Я так Acronis True стараюсь почаще употреблять.
Думаю что вряд ли какой вирус из под него файл *tib* распакует
Но хранить где?

----------


## Stych

*sdsplus00*,Я считаю надо спокойней без параноий)

----------


## SDS

> *sdsplus00*,Я считаю надо спокойней без параноий)


Ну и при чём тут "паранойя"? я просто копию диска "С" регулярно делаю
я много гружу после  что не подходит - выгружаю, у меня копия "С"
под Acronis в сохранке и я в любой момент при любых "вирусяках" эту
копию восстанавливаю.
примерно 6-9 минут без всяких форматов и инсталятов и т.д.
Причём вооставливаю всё то , что было загружено до возникновения проблем.
Восстановление от Windоws отключаю сразу после установки Win -
это полный отстой! У меня "С" - 15Гг, упаковывается в 8Гг и лежит в пачке Acronis до восстребования.
Но HDD у меня - 160Гг и вот куда всё упаковать, чтоб сохранить?
Получается "веник" второй ставить надо, а я не хочу.
Пока на 8Гг "флэш" купил, на нём копию диска"С" и держу, и раз в месяц
обновляю. 
Ну и всё.

----------


## Stych

Расскажи как именно копия помогает? Вот например, зарубили у меня вирусы винду, все, BSOD на экране, что мне делать?)

----------


## Sanych

Акронисом можно делать загрузочный CD Потом его запускаеш и через него запускаеш копию винды на восстановление. Я так делал, помогало.

----------


## SDS

*Stych*, 
купи за 12 тыщ "вся Беларусь", он и есть загрузочный и Акронис он грузит без Winды
только в BIOSе CD как first поставь

----------


## Stych

*Sanych*, 
*SDS*, я считаю в любом случае будут какие-то проблемы, если винда слетела её надо ставить заново, а не восстанавливать, имхо.

ЗЫ *SDS*, ты еще поучи меня серваки админить))

----------


## Banderlogen

*Stych*, ты слегка неадекватно себя ведешь  : сперва просишь объяснить, затем  "смеешься" с того, что тебе "объяснили".

Да и все правильно. Зачем ставить полетевшую винду заново, если можно поставить копию уже установленной системы с нужным софтом и не париться особо?

----------

