|
*** С октября 2008 г. автор статьи на многих флешках и ПК обнаруживает вирус Feast (Feast.exe, GNR1OMYNdvN.exe). Исследование показало, что вирус является трояном с характерными признаками сетевого червя. Вирус предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: MSVBVM60.DLL (MethCallEngine, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, vbaExceptHandler, ProcCallEngine), kernel32, USER32.DLL, GDI32.DLL, ADVAPI32.dll, ole32.dll, OLEAUT32.dll.
«Визитная» карточка вируса: Version language: Английский (США) CompanyName: Rdjbkm5th1 FileVersion: 1.06.0014 InternalName: GNR1OMYNdvN OriginalFilename: GNR1OMYNdvN.exe ProductName: S5WKrn31LTkBcnfsqLn0H ProductVersion: 1.06.0014
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Распространяется вирус посредством Глобальной, локальных и P2P-сетей, а также с помощью съемных носителей (в том числе – флешек и карт памяти цифровых фотоаппаратов и плееров).
*** Деструктивные действия вируса При заражении системы в корневой директории диска C:\ создается каталог Feast (имеет атрибуты Скрытый, Системный, Только чтение)
– каталог Feast содержит каталог Ival (имеет атрибуты Скрытый, Системный, Только чтение). В целях маскировки значком каталога выбран значок, применяемый для системной папки Корзина
– в Проводнике Windows (с включенными опциями Отображать содержимое системных папок и Показывать скрытые файлы и папки) папка Ival выглядит пустой
но если открыть ее в Total Commander, видно, что она содержит два файла – исполняемый файл вируса Feast.exe (90 112 байт; имеет атрибуты Скрытый, Системный, Только чтение) и desKtOp.InI (62 байта; имеет атрибуты Скрытый, Системный)
– содержимое файла desKtOp.InI: [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E}
– в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD6M8-1MAD-81AD-MAD6-32OP5G1234521}] вирус создает строковый (REG_SZ) параметр StubPath со значением c:\Feast\Ival\Feast.exe;
– при запуске операционной системы вирус внедряет свой исполняемый код в адресное пространство процесса svchost.exe; – при подключении к ПК съемных носителей вирус создает свою копию в корневом каталоге съемных носителей; – …
*** Как ликвидировать вирус и устранить последствия вирусной атаки Вирус не грузится в Безопасном режиме, поэтому самая оптимальная методика лечения такова (если ПК не загружается в Безопасном режиме, для удаления вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander): – отключитесь от Интернета и от локальной сети; – перезагрузите ПК в Безопасный режим; – удалите каталог c:\Feast\;
– запустите Редактор реестра Windows: • Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK; • Windows Vista: нажмите Пуск, в текстовое поле Начать поиск (в Windows 7 – Найти программы и файлы) введите regedit; – в появившемся перечне нажмите правой кнопкой мыши regedit.exe; – из контекстного меню выберите Запуск от имени администратора; – введите пароль, если появится соответствующий запрос; – в открывшемся окне Редактор реестра откройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD6M8-1MAD-81AD-MAD6-32OP5G1234521}]; – удалите строковый (REG_SZ) параметр StubPath со значением c:\Feast\Ival\Feast.exe; – закройте Редактор реестра;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information); – при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер; – очистите кэш интернет-файлов; – при необходимости измените стартовую страницу веб-браузера на первоначальную; – при необходимости восстановите оригинальный hosts-файл;
– перезагрузите ПК; – включите восстановление системы; – просканируйте систему антивирусом со свежими базами.
Примечания 1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?). 5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!..
Валерий Сидоров
*** • Что делать, если появляется сообщение «Диспетчер задач отключен администратором»? • Что делать, если недоступен пункт меню «Свойства папки»? • Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»? • Что делать, если после лечения от вирусов не открывается флешка? • Как устранить последствия вирусной атаки? • Windows: как отобразить скрытые файлы и папки? • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2014. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!