Interesant și util în Internet și Runet: Cum să facem față virusului Penetrator?
Numărul 6 (126)
"Internetul este un loc, este un mediu alcătuit din oameni și miriade ale interacțiunilor lor. Aceasta nu este doar o tehnologie, ci o nouă modalitate de cooperare, participare și îngrijire. Întreprinderile care recunosc dimensiunea umanitară pe Internet au mai multe șanse să reușească în lumile artificiale ale Epocii Electronice, deoarece vor înțelege că totul artificial este înrădăcinat în realitate, iar realitatea este înrădăcinată în inimile noastre ".
Am onoarea să vă urez bun venit!
Cum să facem față virusului Penetrator?
Începutul unei lungi călătorii sau istoria apariției Penetratorului
Recent, utilizatorii de PC-uri (în special cei care nu le place să fie protejați!) Vioară puternic virusul Penetrator.
Site-uri web Runet cu titlul: "Penetrator a furat." "Rețeaua este superhall." "Virusul în stilul covorașelor" ...
Penetratorul este în viață și Penetrator se întoarce
Numele virusului provine din penetrare (engleza) - penetrează în interior, trece prin, trece; pentru a pătrunde (smth.) în scopuri de spionaj.
Prin urmare, penetrantul poate fi tradus ca un penetrator. implementator. "Zaslanets".
Există legende diferite despre originea virusului. Se pare că un programator de student rus, respins de prietena lui, a decis în acest fel să se răzbune pe ea și, în același timp - și întreaga lume digitală ...
Virusul este scris în Visual Basic.
Fișierul executabil al virusului este împachetat cu UPX v.1.93.
Virusul este conceput pentru o platformă Windows pe 32 de biți cu procesor x86.
Virusul este rezident, este încărcat pe PC-ul infectat împreună cu sistemul de operare și este prezent în mod constant în memoria RAM.
Țara-mamă a virusului este Rusia.
Cum se identifică antivirusurile Penetrator
Antivirusurile identifică malware-ul în moduri diferite (ca întotdeauna!):
Unele programe antivirus încă nu o pot recunoaște.
Cum apare infecția?
Principalele mijloace de răspândire a virusului sunt internetul, o rețea locală, transmițătoare de tip flash.
Flash.scr pictogramă fișier este selectat, foldere utilizate în mod obișnuit (adică, imaginea vizuală, prin care se raspandeste virus, apare ca un dosar normal. În cazul în care dosarul este dezactivat în opțiunea de proprietăți ascund extensiile pentru tipurile de fișiere cunoscute. „Mijește ochii“ fișier sub screensaver, afișând extensia .scr).
Virusul se răspândește în rețea ușor și rapid (cu antivirus activ și dezactivat contul Guest!) În dosarul \ Documents and Settings \ All Users \ Documents \ fiecare copie de PC-uri locale ale fișierului virus numit Documents.scr.
Acțiunile distructive ale virusului
- când virusul este lansat, fișierul flash.scr este copiat în directorul rădăcină al discului infectat;
- în folderul \ WINDOWS \ system32 \ virusul creează directorul DETER177;
- în dosarul \ WINDOWS \ System32 \ DETER177 \ virusul lsass.exe creează un fișier ascuns (117248 bytes, spre deosebire de prezenta lsass.exe «vii» în folderul \ WINDOWS \ System32.);
- în dosarul \ WINDOWS \ System32 \ DETER177 \ smss.exe virus creează un fișier ascuns; (117248 bytes, spre deosebire de prezenta smss.exe «vii» în folderul WINDOWS \ System32 \.)
- în dosarul \ WINDOWS \ System32 \ DETER177 \ virus creează un fișier ascuns svshost.exe (117248 bytes, literele "c" și "o" - chirilic, în contrast cu prezenta svchost.exe);
- în folderul \ WINDOWS \ system32 \ virusul creează un fișier ascuns AHTOMSYS19.exe (117248 octeți);
- în dosarul \ WINDOWS \ System32 \ virus creează un fișier ascuns stfmon.exe (117248 bytes, literele "c" și "o" - chirilic, în contrast cu prezenta ctfmon);
- în folderul \ WINDOWS \ system32 \, virusul creează un fișier ascuns psador18.dll (32 bytes);
- fișiere AHTOMSYS19.exe. \ WINDOWS \ System32 \ DETER177 \ lsass.exe și \ WINDOWS \ System32 \ stfmon.exe porni automat atunci când pornirea sistemului de operare și în mod constant prezent în memorie;
- (. Jpg jpeg) toate .jpg -files se înlocuiesc cu același nume .jpg -Images (cu dimensiunea 69h15 pixeli, 3174 octeți) cu o inscripție stilizate Penetrator (font negru pe fundal alb-gri). Fișierele .bmp. .png. .ciff virusul "nu atinge";
- conținutul fișierelor .doc și .xls este înlocuit cu următorul mesaj text (dimensiunea acestor fișiere devine 196 octeți - prin volumul mesajului text):
„CARE TREBUIE TRANSMISE *** C * SC, acum nu vin înapoi DATELE !! Și voi umbla alături de el și râde la AS C * SC TINE, ISHESH vinovatul. SOSI ***, LIE *****. HAHAHAH \ Penetrator \
- virusul creează dosarul Burn cu fișierele CDburn.exe și autorun.inf (locația folderului: Windows XP - \ Documents and Settings \<Имя_пользователя>\ Local Settings \ Data aplicației \ Microsoft \ Windows; Windows Vista - \ Users \ Master \ AppData \ Local \ Microsoft \ Windows \ Burn);
- în fiecare folder (inclusiv subdosare) al discului unde a fost lansat fișierul flash.scr. virusul își creează propriile copii <имя_папки>.scr (117248 octeți); fișier apoi flash.scr pe disc (care este deja infectat), de obicei se autodistruge (viermele a făcut lucrarea, viermele poate pleca!), lăsând ca rădăcină a fișierului ascuns virusului (fara nume) cu .scr extensia;
- la deschiderea / conectarea unităților locale / amovibile, virusul este copiat în medii neinfectate (chiar și în modul de siguranță!);
Pentru a vă ascunde prezența în sistem și a face greu să eliminați virusul:
• ascunde afișarea de fișiere și foldere ascunse;
• ascunde afișarea extensiilor de fișiere;
• Dezactivează lansarea utilitarului de configurare msconfig.
Este necesar să observăm o nuanță. Numărul de PC-uri infectate (și, în consecință, cantitatea de informații corupte!) Ar fi mult mai mare - mulți - cei care lucrează cu AutoCAD - asta chiar AutoCAD a salvat!
Faptul că Penetrator creator „și a profitat de ocazia de a lansa screensaver, ca un fișier executabil obișnuit este înregistrat în cheia de registry [HKEY_CLASSES_ROOT \ .scr]. string (REG_SZ) în mod implicit @ = "scrfile".
AutoCAD la instalarea -files se reînnoiește SCR (în acest caz un șir implicit REG_SZ-parametru @ = „AutoCADScriptFile“. Adică un fișier AutoCAD scriptare „a), astfel încât începe protectorul de ecran în Windows Explorer nu reușește.
Acest lucru a salvat utilizatorii AutoCAD și de ravagiile Penetrator lui, dar acești utilizatori de PC-uri încă infectate - în cazul în care nu sunt tratate, - un purtător de virus (penetratoronositeli)!
Comportamentul virusului pe PC-urile virtuale
Mesajul pe unul din forumurile despre care virusul nu funcționează pe PC-urile virtuale nu este adevărat.
Anterior, antivirusul (Eset NOD32) a fost dezactivat (pe PC-ul virtual).
După rularea fișierului flash.scr, virusul a creat toate fișierele de care are nevoie pentru a "lucra", a schimbat setările de registry. dar nu există acțiuni distructive cu dosare.
Virusul "câștigat"! A început distrugerea fișierelor pe un PC virtual ...
Cum de a distruge Penetrator și cum să elimini consecințele distructive ale virusului
Virusul este, de asemenea, încărcat în Safe Mode, astfel încât încercarea de a dezinfecta PC-ul atunci când sistemul de operare cu un virus rezident este încărcat este lipsită de sens!
1. Deconectați PC-ul de la rețelele locale și globale.
2. Pentru recuperare, scoateți hard disk-ul și conectați-l la alt PC cu un antivirus fiabil (sau utilizați un disc de recuperare bootabil, cum ar fi Windows miniPE sau ERD Commander).
Dar, tratând astfel hard disk-ul, nu putem restabili performanța PC-ului, deoarece vor exista intrări ale parametrilor de virus în Registrul Windows și, eventual, unele fișiere de virus.
4. Deoarece fișierul virus are atributul Ascuns. să le găsească și să le distrugă:
- Deschideți calculatorul meu. Selectați Instrumente -> Opțiuni folder ... (sau faceți clic pe Start -> Setări -> Panou de control -> Opțiuni folder);
- În caseta de dialog Proprietăți folder deschis, faceți clic pe fila Vizualizare;
- în secțiunea Setări avansate, bifați caseta de selectare Afișare conținut folder sistem. debifați caseta de selectare Ascundere fișiere sistem protejate. selectați Afișați fișiere și foldere ascunse -> OK.
5. Ștergeți fișierele flash.scr (dacă nu au fost distruse de antivirus). <имя_папки>.scr și <имя_папки>.exe.
6. Ștergeți următoarele fișiere (dacă nu au fost distruse de antivirus):
- \ WINDOWS \ system32 \ DETER177 \ lsass.exe (ștergeți fișierul împreună cu dosarul DETER177);
- \ WINDOWS \ system32 \ DETER177 \ smss.exe (ștergeți fișierul împreună cu dosarul DETER177);
- \ WINDOWS \ System32 \ DETER177 \ svshost.exe (literele "c" și "o" - chirilic, în contrast cu prezenta svchost.exe, ștergeți fișierul cu dosarul DETER177);
- \ WINDOWS \ system32 \ stfmоn.exe (literele "с" și "о" sunt chirilice, spre deosebire de ctfmon.exe);
- ștergeți dosarul Burn cu fișierele CDburn.exe și autorun.inf (locația folderului: Windows XP - \ Documents and Settings \<Имя_пользователя>\ Local Settings \ Data aplicației \ Microsoft \ Windows; Windows Vista - \ Users \ Master \ AppData \ Local \ Microsoft \ Windows \ Burn).
7. Ștergeți șablonul infectat Normal.dot (consultați Cum se face față virușilor macro). După prima lansare a lui Word, acesta va fi recreat.
8. Faceți clic pe Start -> Run ... -> în caseta Deschidere, tastați regedit-> OK;
- Extindeți filiala [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]. Verificați valoarea parametrului Shell (REG_SZ) Shell. trebuie să fie Explorer.exe. Virusul stabilește valoarea parametrului - Explorer.exe C: \ WINDOWS \ system32 \ АТТОMSYS19.exe;
- verifica valoarea șirului (REG_SZ) Userinit parametru - trebuie să fie C: \ Windows \ System32 \ userinit.exe, (în cazul în care sistemul este instalat pe unitatea C: \, în cazul în care pe o altă unitate, atunci <буква_диска>: \ Windows \ system32 \ userinit.exe,);
-, extinde [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]. îndepărtați șirul (REG_SZ) Parametrii LSASS cu valoare C: \ WINDOWS \ system32 \ DETER177 \ lsass.exe și stfmon.exe cu valoarea C: \ WINDOWS \ system32 \ stfmon.exe;
9. Reînregistrează (folosind serverul de înregistrare regsvr32.exe) Biblioteca de corespondență partajată Windowsshell32.dll.
- faceți clic pe Start -> Run ... -> în caseta Open, tastați regsvr32 / i shell32.dll-> OK;
- apare fereastra RegSvr32 cu mesajul "DllRegisterServer și DllInstall în shell32.dll completate cu succes", faceți clic pe OK.
10. Încercați să recuperați fișierele șterse de virus.
Nu este necesar să fiți foarte flatat, dar ceva (dacă nu s-au înregistrat alte informații!) Va fi restabilită.
Deoarece fișierele .doc. .jpg și .xls sunt suprascrise de virus sub același nume, dar cu conținut diferit, de obicei, nu este posibil să le restabilească.
2. Amintiți-vă că este mai ușor să vă avertizați decât să vă vindecați! Utilizați firewall-uri și programe antivirus fiabile cu baze de date actualizate în mod regulat (cel puțin o dată pe săptămână!).
4. În funcție de varietatea virusului Penetrator, cantitatea, numele și dimensiunea fișierelor și folderelor pe care le creează, precum și un set de acțiuni distructive pot varia semnificativ.
8. Au existat cazuri când Penetrator a deconectat protecția activă a software-ului antivirus când a fost introdus în sistem.
9. Când încercați să porniți sau să instalați un antivirus pe un PC infectat, fie computerul repornește, fie antivirusul este blocat.
10. La unul dintre forumuri a fost sugerat că Penetrator nu atingeți fișierele ascunse - acest lucru nu este adevărat: fișierele ascunse sunt, de asemenea, obiectul unor acțiuni distructive, și apoi elimină virusul din atributul ascuns.
11. Vă recomand să dezactivați opțiunea Ascundeți extensiile pentru tipurile de fișiere înregistrate.
- Deschideți calculatorul meu. Selectați Instrumente -> Opțiuni folder ... (sau faceți clic pe Start -> Setări -> Panou de control -> Opțiuni folder);
- În caseta de dialog Proprietăți folder deschis, faceți clic pe fila Vizualizare;
- în secțiunea Setări avansate, debifați caseta de selectare Ascundeți extensiile pentru tipurile de fișiere înregistrate -> OK.
12. Contrar asigurărilor dezvoltatorilor antivirus, niciun antivirus nu va elimina consecințele unui atac de virus - trebuie făcut manual!
14. Dacă nu sunteți sigur de abilitățile dvs. - pentru a nu agrava situația. - încredințați tratamentul PC și recuperarea informațiilor către specialiști.
Portalul pentru copii Tvidi.ru a anunțat că a devenit disponibil tuturor utilizatorilor - acum vă puteți înscrie pe site fără o invitație.
Fondatorul celei mai mari enciclopedii online Wikipedia Jimmy Wales (Jimmy Wales) a lansat un nou serviciu Wikianswers. Acesta este un site de întrebări și răspunsuri cu acces deschis pentru toți utilizatorii, în stilul Wikipedia.
Trebuie remarcat faptul că există deja un site Web numit Wiki Answers, care face parte din Answers.com și are o audiență de aproximativ 26 de milioane de utilizatori unici pe lună (conform comScore).
Printre alți concurenți ai noului serviciu de la Jimmy Wales, servicii precum Yahoo Answers, Linkedin Answers, ChaCha și altele.
În timpul acestor evenimente au fost identificate probleme serioase - lipsa de voință a multor ruși de a comunica și de a răspunde întrebărilor din chestionare, precum și de plata necorespunzătoare a copiștilor. Potrivit experților de la Rosstat, motivul este schimbarea mentalității populației rusești. O generație a crescut, ceea ce nu îi datorează nimic statului. Ei nu vor să vorbească despre ei înșiși și să se refere negativ la recensământ. Trebuie menționat faptul că participarea la recensământ este voluntară.
Informațiile colectate în timpul recensământului sunt strict confidențiale. În plus, în ansamblu, acestea sunt anonime - formularele de cerere nu includ numele, numele, patronimicul cetățeanului.
Cea mai completă și convenabilă carte electronică de vis. Include 11 cărți de vis și 8 cărți despre vise. Este mai mult de 7000 de intrări și aproximativ 37.000 interpretări, completitudinea și sistematizare a materialului excelent, minunat și foarte interfață ușor de utilizat, funcționalitate și fiabilitate! Interpretare vis Tsvetkov, Miller, Vanga, Nostradamus, Hasse, Dasha, interpretare Shillera- Școlnik Oamenii de vis, interpretarea vis Asiriei, și cartea de vis de vise erotice și interpretare vis intim Vlasova. Ea are vise un calendar sbyvaemosti, în cazul în care, în funcție de zi a lunii, ziua săptămânii și ziua lunară este luată în considerare acuratețea valorilor și caracterul vis. Dezvoltarea programului a implicat oameni care au experiență în interpretarea cu succes a viselor. Baza de date a cărților de vis poate fi completată pe site-ul programului. Pentru a elimina unele limitări funcționale, aveți nevoie de o activare gratuită pe site-ul dezvoltatorului.
Mai mult de 3000 de link-uri către orice subiect, capacitatea de a căuta și de a crea propriile dvs. link-uri.
Toate cele bune pentru tine!
Cu sinceritate, vechi-netler
Trimiteți-le prietenilor: