Как бороться с вирусом Penetrator

Penetrator представляет собой нерезидентный вирус, относящийся к разряду malware. История его создания и распространения довольно необычна. Как утверждается, он был создан 20-летним российским программистом, которого бросила любимая девушка, а тот решил отомстить и ей, и всему компьютерному цифровому миру. Об этом вирусе впервые заговорили в 2008 году, причем, только из-за того, что его действие не маскировалось, как у большинства  известных угроз, работая в фоновом режиме, а действовало на глазах у пользователя. Такого нахальства выдержать не смог никто.

 Как бороться с вирусом Penetrator

Как утверждается вирус, судя по телу и действиям, которые он производит в системе, написан явно новичком. Дело в том, что действие вируса было подобно запуску исполняемого файла. При запуске он  внедряется в систему в режиме автозагрузки, после чего уничтожает мультимедийные файлы типа MP3, картинки форматов JPG или JPEG заменяет на черные изображения с вирусной подписью, а текстовые фрагменты в офисных документах типа Word, Excel или Power Point заменяются на откровенно ненормативную лексику. Кроме того, вирус постоянно висит в оперативной памяти. И надо быть довольно сильным специалистом, чтобы знать, как удалить вирус из оперативной памяти.

В принципе, для борьбы с этим явлением подойдет самый обычный стационарный или портативный антивирус с обновленными базами сигнатур. Абсолютно все антивирусные программы способны его идентифицировать и остановить деструктивное действие. Это касается автоматического режима сканирования или срабатывания программы после заражения. Самое интересное, что распространяется вирус  обычно через запуск маскирующихся скринсэйверов (расширение SCR), реже – в виде музыкальных файлов MP3. И наиболее частым проникновением можно назвать даже не Интернет, а съемные Flash-носители.

Теперь информация для тех, кто знает толк в системных файлах и настройках реестра. После проникновения в систему, вирус создает следующие файлы:

WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass.exe, в папке WINDOWSsystem32); WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss.exe, в папке WINDOWSsystem32); WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe); WINDOWSsystem32ahtomsys*.exe (типа ahtomsys19.exe).

WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe).

Кроме того, необходимо обратить особе внимание на системный реестр, в котором вирус может прописывать собственные,  полностью отличные от оригинальных REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]. В то же время, файлы типа ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются и в автозагрзуке. В данном случае необходимо просмотреть раздел [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

Если стандартный антивирус не смог вам помочь, есть несколько способов удаления угрозы в ручном режиме.

— Удалите файлы «имя_папки».scr и «имя_папки».exe.

— Удалите (если не уничтожены) файлы:

WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);

WINDOWSsystem32deter*smss.exe (вместе с папкой deter*);

WINDOWSsystem32deter*svсhоst.exe (вместе с папкой deter*);

WINDOWSsystem32ahtomsys*.exe;

WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);

WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll).

— Проверьте раздел системного реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:

REG_SZ-параметр Shell должен иметь значение Explorer.exe;

REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe.

— Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (раздел системного реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

— Удалите шаблон Normal.dot (для документов Microsoft Office).

Кроме того, можно использовать множество программ для восстановления данных, которые были уничтожены вирусом. По отзывам пользователей и производителей защитного и восстановительного программного обеспечения, можно восстановить до 80% зараженной или удаленной информации.

Самые интересные новости:

загрузка...

Оставить комментарий

css.php