***
Как уничтожить Penetrator и как устранить деструктивные последствия вируса
Вирус загружается и в Безопасном режиме (Safe Mode), поэтому пытаться лечить ПК, когда загружена ОС с резидентным вирусом, – бессмысленное занятие!
1. Отключите ПК от локальной и Глобальной сетей.
2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).
Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.
3. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске).
4. Восстановите доступность пункта меню Свойства папки (см. Что делать, если недоступен пункт меню «Свойства папки»?).
5. Восстановите запуск Редактора реестра (см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?).
6. Восстановите запуск Утилиты настройки системы msconfig (см. Windows: что делать, если не запускается Утилита настройки системы msconfig?).
7. Восстановите запуск Диспетчера задач (см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?).
8. Восстановите отображение скрытых файлов и папок (см. Windows: как отобразить скрытые файлы и папки?).
9. Удалите (если их не уничтожил антивирус) следующие файлы:
– в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr;
– flash.scr, <имя_папки>.exe и <имя_папки>.scr (в том числе – \Documents and Settings\All Users\Документы\Documents.scr, \WINDOWS\system32\system32.scr, \Program Files\Program Files\Program Files.scr, \Documents and Settings\<Имя_пользователя>\<Имя_пользователя>.scr, \Мои документы\Мои документы.scr, \Мои документы\Мои рисунки\Мои рисунки.scr, \Documents and Settings\<Имя_пользователя>\Главное меню\Программы\Автозагрузка\Автозагрузка.scr;
– \WINDOWS\system32\DETER177\lsass.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\smss.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\AHTOMSYS19.exe;
– \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– \WINDOWS\system32\psador18.dll;
–\WINDOWS\system32\psagor18.sys;
– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista –\Users\Master\AppData\Local\Microsoft\Windows\Burn).
10. Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами?). После первого запуска Word'а, он будет создан заново.
11. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра –Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe;
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковые (REG_SZ) параметры lsass со значением C:\WINDOWS\system32\DETER177\lsass.exe и сtfmоn.exe со значением C:\WINDOWS\system32\сtfmon.exe;
– раскройте ветвь [HKEY_CLASSES_ROOT\scrfile], установите значение REG_SZ-параметра по умолчанию – Программа-заставка;
– закройте Редактор реестра.
12. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.
13. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию? иКак восстановить данные с помощью программы WinHex?).
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается.
***
Послесловие
Страна должна знать своих «героев» в лицо, или Преступление без наказания?
В начале августа 2008 г. автор компьютерного вируса «Пенетратор» был задержан сотрудниками ФСБ в Калининграде. Это 21-летний студент одного из калининградских вузов Дмитрий Уваров.
16 февраля 2009 г. в Калининграде состоялось слушание уголовного дела по обвинению Уварова в создании компьютерного вируса «Пенетратор», парализовавшего в 2008 г. работу около тысячи компьютеров в Амурской области.
Согласно ч. 1 ст. 273 УК РФ (создание программ для ЭВМ, заведомо приводящих к уничтожению информации, нарушению работы ЭВМ и их сети, а равно использование и распространение таких программ), Уварову грозило наказание до трех лет лишения свободы (а если было бы доказано, что последствия вирусной атаки оказались тяжелыми – 7 лет).
В ходе следствия было выявлено, что в мае 2007 г. Уваров переслал вредоносную программу по электронной почте в Благовещенск своему знакомому – несовершеннолетнему жителю Благовещенска, который распространил ее на на территории Амурской области. После активации «Пенетратора» 1 января 2008 г. была нарушена работа ПК и локальных сетей ряда организаций города Благовещенска и Амурской области.
В частности, атаке вредоносной программы были подвергнуты компьютеры исполнительных органов государственной власти Амурской области, городской Думы города Благовещенска, избирательной комиссии по Амурской области, Благовещенского городского суда, УВД по Амурской области, ОГИБДД УВД по городу Благовещенску, управления Федеральной службы судебных приставов, Амурского фонда обязательного медицинского страхования, Амурского областного центра по гидрометеологии и мониторингу окружающей среды, Министерства внутренней и информационной политики Амурской области и другие (не считая ПКмногих тысяч домашних пользователей, которые не предъявляли иск к Уварову, но ущерб которых не поддается измерению!..).
Процесс осуществлялся по упрощенной процедуре – без судебного следствия и в порядке особого производства. Упрощенную систему судопроизводства избрал сам подсудимый. Он полностью признал свою вину, искренне раскаялся в содеянном («Я больше так не буду! Я не знал, что это плохо!..»), помогал следствию. Суд учел эти и другие обстоятельства дела, и назначил Уварову минимальное наказание – ну очень уж минимальное и очень уж мягкое! – штраф в размере 3 тыс. рублей.
***
Люди, будьте бдительны! Силы компьютерного зла не дремлют!..
Примечания
1. Будьте осторожны при манипуляциях с Реестром (см. Что такое Реестр Windows?)! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см.Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться (некоторые разновидности являются плохими клонами вирусаEmail-Worm.Win32.VB.cs и содержат ошибки в программном коде).
5. Автору статьи попадалось несколько разновидностей Penetrator'а. Например, на некоторых ПК (Windows Vista и Windows XP) вирус изменял в Реестре путь расположения Проводника Windows (REG_SZ-параметр Shell раздела Реестра[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]), в результате чего после загрузки графической оболочки Windows можно было лицезреть лишь черный экран с курсором в центре (при этом Проводник Windowsможно было загрузить, вызвав Диспетчер задач нажатием Ctrl+Alt+Del).
Некоторые разновидности вируса удаляют из Реестра записи об активации лицензионной операционной системы.
Встречались также разновидности вируса, удаляющие из ветви Реестра[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] строковый (REG_SZ) параметр Shell(значение по умолчанию – Explorer.exe). В итоге операционная система не загружается: доходит до окна выбора пользователя, после выбора любой учетной записи происходит перезагрузка. При этом загрузить ОС не удается даже в Безопасном режиме.
6. Файл рsаdоr18.dll фактически представляет собой текстовый файл, содержащий строкуot01_88@mail.ru*ot02_88@mail.ru* (два e-mail, разделенные «*»).
7. Некоторые разновидности вируса создают файл \WINDOWS\system32\Windrv16\services.exe, вместо файловpsador18.dll и psagor18.sys создают в папке \WINDOWS\system32\ файлы msador15.dll и msagor15.sys, вместо файлаAHTOMSYS19.exe – sysrotdmo.sys и SYSТЕM15.exe (буквы «Т» и «Е» – кириллические), а вместо файлов flash.scr – файлыFlash.exe, Setup.scr, Media.scr, Flashfoto.pif.
8. Иногда файлы CDburn.exe и autorun.inf создаются и в корневых директориях дисков.
9. Если вы попробуете узнать, кому принадлежит номер ICQ 402974020, указанный в текстовом послании вирусописателя, то на странице http://www.icq.com/402974020 увидите красноречивую надпись «DELETED». На этой же странице вы можете ознакомиться с сообщениями, оставленными для автора Пенетратора некоторыми пострадавшими пользователями ПК…
10. Наблюдались случаи, когда Penetrator при внедрении в систему отключал активную защиту антивирусов.
11. При попытке запуска или установки антивируса на зараженный ПК происходит или перезагрузка ПК, или блокирование антивируса.
12. На одном из форумов высказывалось мнение, что Penetrator не трогает скрытые файлы, – это не соответствует действительности: скрытые файлы тоже подвергаются деструктивным действиям, после чего вирус снимает у них атрибутСкрытый.
13. Рекомендую отключить опцию Скрывать расширения для зарегистрированных типов файлов:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры снимите флажок Скрывать расширения для зарегистрированных типов файлов –> OK.
14. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
15. В качестве полумеры для борьбы с Penetrator'ом можно рекомендовать изменение даты накануне фатального срабатывания вируса, например, 30 декабря установить сразу 3 января, а потом – установить правильную дату. Хотя это не поможет: уже встречались несколько разновидностей вируса, которые приурочены к другим праздникам: 8 марта, 1 и 9 мая…
16. Если вы не уверены в своих силах – чтобы не усугубить ситуацию!, – доверьте лечение ПК и восстановление информации специалистам.
Валерий Сидоров
Статья с сайта http://netler.ru/pc/penetrator.htm
