Зайцев Олег
24.09.2007, 17:31
Исполняемый файл имееет размер 137 кб, иконка по виду напоминает иконку инсталляционного пакета. Исполняемый файл защищен протектором, детектирующим наличие в системе отладчиков. В случае запуска выводит сообщение на русском языке с множеством грамматических ошибок о том, что следует перезагрузить ПК для того, чтобы узнать, как спасти информацию. До этого троян скрытно вносит в систему ряд изменений:
1. Создает политики, блокирующие меню "Пуск", рабочий стол и отображение дисков
2. Модифицирует настройки Internet Explorer, отключая большинство его функций
3. Отключает через политики диспетчер задач и редактор реестра
4. Меняет заголовок проводника и его стартовую страницу
5. Меняет формат времени в региональных настройках
6. Устанавливает сообщение, выводимое в ходе перезагрузки компьютера - в сообщении указано, что следует выслать автору код карты оплаты KievStar номиналом 25 гривен для получения "противоядия" для восстановления "всей" информации
6. Устраивает ряд мелких, но достадных безобразий с настройками в реестре (смещает обои, устанавливает длительную задержку отображения меню, блокирует закрытие окон, создает на диске пустые папки "Windows 91" и "Windows 98", устанавливает атрибуты "скрытый", "только чтение" и "системный" на папки WINDOWS и "Program Files" и т.п.).
7. Уничтожает ассоциацию для файлов типа REG, тем самым блокируя импорт REG файлов
Зловред отличается от предыдущих разновидностей тем, что создает на диске свои копии (исследованный образец создал копии под именами WINDOWS\pchealth\UploadLB\Config\AvpM.exe и WINDOWS\msagent\intl\ALG.exe), и прописывает их в автозапуск. Таким образом откат повреждений системы без уничтожения самого зловреда бесполезен.
Для восстановления работоспособности системы следует:
1. Найти и уничтожить файлы зловреда на диске
2. Запустить AVZ (это возможно через Пуск\Все программы\Стандартные - командная строка или по комбинации Win+E запустить проводник) и выполнить скрипт (пуск - выполнить скрипт):
var
i : integer;
begin
for i := 1 to 8 do
ExecuteRepair(i);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
DeleteDirectory('%SysDisk%\Windows 91');
DeleteDirectory('%SysDisk%\Windows 98');
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Windows"', 0, 3000, true);
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Program Files"', 0, 3000, true);
RebootWindows(true);
end.
1. Создает политики, блокирующие меню "Пуск", рабочий стол и отображение дисков
2. Модифицирует настройки Internet Explorer, отключая большинство его функций
3. Отключает через политики диспетчер задач и редактор реестра
4. Меняет заголовок проводника и его стартовую страницу
5. Меняет формат времени в региональных настройках
6. Устанавливает сообщение, выводимое в ходе перезагрузки компьютера - в сообщении указано, что следует выслать автору код карты оплаты KievStar номиналом 25 гривен для получения "противоядия" для восстановления "всей" информации
6. Устраивает ряд мелких, но достадных безобразий с настройками в реестре (смещает обои, устанавливает длительную задержку отображения меню, блокирует закрытие окон, создает на диске пустые папки "Windows 91" и "Windows 98", устанавливает атрибуты "скрытый", "только чтение" и "системный" на папки WINDOWS и "Program Files" и т.п.).
7. Уничтожает ассоциацию для файлов типа REG, тем самым блокируя импорт REG файлов
Зловред отличается от предыдущих разновидностей тем, что создает на диске свои копии (исследованный образец создал копии под именами WINDOWS\pchealth\UploadLB\Config\AvpM.exe и WINDOWS\msagent\intl\ALG.exe), и прописывает их в автозапуск. Таким образом откат повреждений системы без уничтожения самого зловреда бесполезен.
Для восстановления работоспособности системы следует:
1. Найти и уничтожить файлы зловреда на диске
2. Запустить AVZ (это возможно через Пуск\Все программы\Стандартные - командная строка или по комбинации Win+E запустить проводник) и выполнить скрипт (пуск - выполнить скрипт):
var
i : integer;
begin
for i := 1 to 8 do
ExecuteRepair(i);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
DeleteDirectory('%SysDisk%\Windows 91');
DeleteDirectory('%SysDisk%\Windows 98');
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Windows"', 0, 3000, true);
ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Program Files"', 0, 3000, true);
RebootWindows(true);
end.