Penetrator представляет собой нерезидентный вирус, относящийся к разряду malware. История его создания и распространения довольно необычна. Как утверждается, он был создан 20-летним российским программистом, которого бросила любимая девушка, а тот решил отомстить и ей, и всему компьютерному цифровому миру. Об этом вирусе впервые заговорили в 2008 году, причем, только из-за того, что его действие не маскировалось, как у большинства известных угроз, работая в фоновом режиме, а действовало на глазах у пользователя. Такого нахальства выдержать не смог никто.
Как бороться с вирусом Penetrator
Как утверждается вирус, судя по телу и действиям, которые он производит в системе, написан явно новичком. Дело в том, что действие вируса было подобно запуску исполняемого файла. При запуске он внедряется в систему в режиме автозагрузки, после чего уничтожает мультимедийные файлы типа MP3, картинки форматов JPG или JPEG заменяет на черные изображения с вирусной подписью, а текстовые фрагменты в офисных документах типа Word, Excel или Power Point заменяются на откровенно ненормативную лексику. Кроме того, вирус постоянно висит в оперативной памяти. И надо быть довольно сильным специалистом, чтобы знать, как удалить вирус из оперативной памяти.
В принципе, для борьбы с этим явлением подойдет самый обычный стационарный или портативный антивирус с обновленными базами сигнатур. Абсолютно все антивирусные программы способны его идентифицировать и остановить деструктивное действие. Это касается автоматического режима сканирования или срабатывания программы после заражения. Самое интересное, что распространяется вирус обычно через запуск маскирующихся скринсэйверов (расширение SCR), реже – в виде музыкальных файлов MP3. И наиболее частым проникновением можно назвать даже не Интернет, а съемные Flash-носители.
Теперь информация для тех, кто знает толк в системных файлах и настройках реестра. После проникновения в систему, вирус создает следующие файлы:
WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass.exe, в папке WINDOWSsystem32); WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss.exe, в папке WINDOWSsystem32); WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe); WINDOWSsystem32ahtomsys*.exe (типа ahtomsys19.exe).
WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe).
Кроме того, необходимо обратить особе внимание на системный реестр, в котором вирус может прописывать собственные, полностью отличные от оригинальных REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]. В то же время, файлы типа ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются и в автозагрзуке. В данном случае необходимо просмотреть раздел [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Если стандартный антивирус не смог вам помочь, есть несколько способов удаления угрозы в ручном режиме.
— Удалите файлы «имя_папки».scr и «имя_папки».exe.
— Удалите (если не уничтожены) файлы:
WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);
WINDOWSsystem32deter*smss.exe (вместе с папкой deter*);
WINDOWSsystem32deter*svсhоst.exe (вместе с папкой deter*);
WINDOWSsystem32ahtomsys*.exe;
WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll).
— Проверьте раздел системного реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
REG_SZ-параметр Shell должен иметь значение Explorer.exe;
REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe.
— Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (раздел системного реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
— Удалите шаблон Normal.dot (для документов Microsoft Office).
Кроме того, можно использовать множество программ для восстановления данных, которые были уничтожены вирусом. По отзывам пользователей и производителей защитного и восстановительного программного обеспечения, можно восстановить до 80% зараженной или удаленной информации.
