Валерий Сидоров Грандмастер

Как бороться с вирусом Penetrator?

***
И сказал вирусописатель вирусам: «Плодитесь и размножайтесь!..».
(Компьютерные байки)

В последнее время пользователям ПК (особенно тем, кто не любит предохраняться!) сильно flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.

Кроме этого, вирус создает следующие файлы:
WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass. exe, «проживающего» в папке WINDOWSsystem32);
WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss. exe, «проживающего» в папке WINDOWSsystem32);
WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» — кириллические, в отличие от настоящего svchost. exe);
WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19. exe);
WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon. exe);
WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18. dll).
Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.

Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].

Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Вирус — резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Как устранить деструктивные последствия вируса
1. Проверьте винчестер надежным антивирусом со свежими базами.

2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.

3. Удалите (если их не уничтожил антивирус) следующие файлы:
WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);
WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*);
WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» — кириллические, в отличие от настоящего svchost. exe; удалите файл вместе с папкой deter*);
WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19. exe);
WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon. exe);
WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18. dll).

4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
• REG_SZ-параметр Shell должен иметь значение Explorer.exe;
• REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe,

5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

6. Удалите шаблон Normal.dot (см. Как бороться с макровирусами?).

7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?).
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.

Примечания
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться.

Послесловие
По сообщениям СМИ, 20-летний автор компьютерного вируса «пенетратор» задержан в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми — 7 лет…

Люди, будьте бдительны! Силы компьютерного зла не дремлют!..

Как устранить последствия вирусной атаки?
Что делать, если появляется сообщение «Редактирование реестра запрещено»?
Что делать, если недоступен пункт меню «Свойства папки»?
Windows: что делать, если не удается отобразить скрытые файлы и папки?
Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
Что делать, если после лечения от вирусов не открывается флэшка?
Windows: что делать, если вирусы отключили подсистему печати?

Обновлено 4.02.2009
Статья размещена на сайте 8.08.2008

Комментарии (3):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети:

  • Николай Оструев Читатель 7 декабря 2009 в 09:42 отредактирован 23 мая 2018 в 11:00

    Вирус, действующий под именем smss.exe можно также отличить от здорового файла по размеру, расположению и по тому, насколько он загружает процессор. Подробное описание http://www.filecheck.ru/process/smss.exe.html

  • Alex - Читатель 3 февраля 2009 в 01:28 отредактирован 22 мая 2018 в 18:17

    Вирус конечно гадкий. Но позволю себе несогласиться с автором статьив том что нельзя восстановить файлы *.jpg. МОЖНО!!!!
    Собственно ручно это проделал. Пенетратор "сожрал" все картинки, без исключения. Восстановить удалось процнтов 90% от всех фотографий.
    Для восстановления файлов я использую программы для восстановления данных, например Recover My Files, GetDataBack и подобные. Если кому интересно - пишите в асю 285433324#,

  • Большое спасибо!! Ставлю 5.

    Статья очень нужная. Хоть и достаточно мощная у меня защита,помимо NOD_а стоит ещё AdAware и Zone Alarm, но я на всякий случай проверил все места где эта гадость может быть.

    Оценка статьи: 5