2D_Master как тебе такой результат? Summary report on C:\*.* File(s) Total files: ........... 39258 Clean: ................. 25305 Possibly Infected: ..... 788 Moved: ................. 788 и это все, 3 разных вируса Generic Downloader.a trojan (ака Penetrator) PWS-Gamania.gen.a trojan PWS-LegMir.dll trojan зы самый опасный из них - Generic Downloader.a trojan (ака Penetrator) сам прыгает на флешку, с именем Flash.scr «Пенетратор» разбушевался… - 04.01.2009 «По сети гуляет суперзло». Именно так большинство компьютерных пользователей нарекли активизировавшийся в ночь с 31 декабря на 1 января вирус «Пенетратор». Всего за несколько минут он «убивает» музыку, фотографии и текстовые документы. В Белогорске от него уже пострадали ряд государственных и муниципальных структур и многие владельцы персональных компьютеров. Как выяснила корреспондент «ТВС-анонса» Ольга Киргинцева, уцелели лишь те, у кого установлена мощная антивирусная защита. Кстати, компьютеры ТВС не пострадали. По словам директора салона «АмИТ» Александра Шейко, вирус «Пенетратор» начал распространяться в октябре прошлого года. - Три месяца он действовал по принципу таракана: плодился и размножался, - рассказал он. - В итоге было заражено не менее 30% компьютеров, но большинство неопытных пользователей просто не замечали его. Тем более, что поначалу он вел себя безобидно. Ведь автор вируса предусмотрел его активацию с 1 января. Кто запустил эту «заразу», неизвестно. Пока лишь выдвигаются гипотезы. Одни считают, что вирус появился из Калининграда, другие - сторонники версии, что «Пенетратора» «сотворил» житель Приамурья. - Лично я поддерживаю вторую точку зрения, - пишут на одном из известных амурских сайтов. - Я считаю, что вирус - дело рук хакера из Амурской области. Уж слишком явно и раньше всего он начал проявляться именно в нашей области, а особенно в Белогорске и Благовещенске. В январе гром, как говорится, грянул. На «зараженных» домашних компьютерах и машинах госструктур «Пенетратор» уничтожил все файлы с фотографиями, музыкой и перезаписал текстовые документы. - Вместо имеющихся текстовых документов он создал файлы с таким же именем, но их содержимым стало нецензурное послание от «Пенетратора», - пояснил Александр Шейко. - При этом на жестком диске остается только часть исходных файлов. Кстати, содержание послания было таким: НА***ПОСЛАНА, СУКА, ТЕПЕРЬ ТЫ НЕ ВЕРНЕШЬ СВОИ ДАННЫЕ!! А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ, КАК ТЫ, СУКА, ИЩЕШЬ ВИНОВНИКА!! ***, *****!! ХАХАХАХ Penetrator По словам специалистов, «убитую» «Пенетратором» информацию можно восстановить лишь частично. Процесс занимает очень много времени, да и то можно восстановить от 30 до 80 процентов изначальных файлов. - Мы всегда информируем своих клиентов, что все документы, которые они создают, нужно хранить не только на винчестере, но и на записываемых или перезаписываемых дисках, - отметил Александр Шейко. - Желательно в двух экземплярах. Затраты на архивацию документов копеечные (болванка стоит 20-30 рублей), но когда теряешь весь архив фотографий, а это воспоминания, то становится неприятно. Кстати, этот вирус распространился посредством флеш-карт, как обычных, так и из мобильных телефонов и цифровых фотоаппаратов. - Обычно вирусы попадают в компьютер через интернет, флеш-карты, дискеты и диски, - рассказал Александр Шейко. - Надо помнить, что если вы покупаете нелицензионный диск, то не только нарушаете закон об интеллектуальной собственности, но и рискуете «подцепить» вирус. Впрочем, по мнению специалистов, от «Пенетратора» пострадали те пользователи, которые небрежно относятся к обновлению антивирусных программ или вообще ими не пользуются. - Это неосторожные, безалаберные пользователи, которые считали, что этот вирус им не страшен, - отметил Александр Шейко. - Таких, наверное, 30 процентов от общего числа белогорских пользователей. Также вирус затронул государственные и муниципальные структуры (в числе прочих пострадала и администрация Белогорска, - ред.). Но это, скорее всего, связано с недофинансированием. Многие из них работают на устаревшей технике. У них зачастую нет средств приобрести даже нормальное программное обеспечение, в том числе и антивирусные программы. Между тем, установить антивирусную программу несложно. В интернете их масса, причем есть и бесплатные. Более простой и легко обновляемый антивирус DrWeb. На сайте www.drweb.ru можно скачать бесплатную лечащую утилита Dr.Web CureIt!®, которая ежедневно обновляется. Кстати, в Благовещенске в связи с «вирусной атакой» оперативники начали проверку. По неофициальной информации автор вируса даже задержан. Но пока никаких официальных комментариев правоохранительные органы не дают. ликбез Как «не подцепить» вирус: 1. Не открывать письма, которые пришли по электронной почте с неизвестных адресов. Их можно удалять с сервера, даже не принимая. 2. Иметь, как минимум, 2 почтовых ящика. Первый ящик на общедоступном сервере, который можно легко создать и уничтожить. Каждый раз, регистрируясь для бесплатного скачивания программ, вы сообщаете свой адрес, далее он заносится в почтовую базу данных, и на него начинают присылать спам. Второй ящик - ваш личный для переписки с друзьями и т.д. Его адрес не рекомендуется светить, где попало. 3. Отключить автозапуск при подключении различного рода флеш-карт и дисков. Как только производится автозапуск, вирус сразу же срабатывает. 4. Установить антивирусную программу и подключить режим сторожа, когда при скачивании на компьютер все файлы будут автоматически проверяться. 5. Регулярно обновлять антивирусные программы. Если вирус появился в октябре, то июньская версия антивирусной программы его не распознает. Как бороться с вирусом Penetrator? - 27.01.2009 В последнее время пользователям ПК (особенно тем, кто не любит предохраняться!) сильно досаждает вирус Penetrator. Происхождение вируса и этимология названия Название вируса происходит от penetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями. О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру… Деструктивные действия вируса Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне). Файлы .bmp, .png, .tiff вирус «не трогает». Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами). То есть вирус портит всё самое дорогое, что есть у пользователя ПК! В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла. Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область. Классификация вируса Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB… Как происходит заражение Средства распространения вируса – Интернет, flash-носители. Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3. При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe. Кроме этого, вирус создает следующие файлы: • \WINDOWS\system32\deter*\lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке \WINDOWS\system32); • \WINDOWS\system32\deter*\smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке \WINDOWS\system32); • \WINDOWS\system32\deter*\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe); • \WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe); • \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe); • \WINDOWS\system32\psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll). Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ. Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]. Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]). Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Как устранить деструктивные последствия вируса 1. Проверьте винчестер надежным антивирусом со свежими базами. 2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe. 3. Удалите (если их не уничтожил антивирус) следующие файлы: • \WINDOWS\system32\deter*\lsass.exe (удалите файл вместе с папкой deter*); • \WINDOWS\system32\deter*\smss.exe (удалите файл вместе с папкой deter*); • \WINDOWS\system32\deter*\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*); • \WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe); • \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe); • \WINDOWS\system32\psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll). 4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]: • REG_SZ-параметр Shell должен иметь значение Explorer.exe; • REG_SZ-параметр Userinit должен иметь значение C:\WINDOWS\System32\userinit.exe, 5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]). 6. Удалите шаблон Normal.dot. 7. Попытайтесь восстановить удаленные вирусом файлы. Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся. Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается. Примечания 1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 3. Почаще делайте резервное копирование важной информации. 4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться. Послесловие По сообщениям СМИ, 20-летний автор компьютерного вируса «пенетратор» задержан в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми – 7 лет…
