NickGolovko
21.07.2009, 15:16
VirusInfo, ведущий российский информационно-аналитический ресурс в сфере лечения персональных компьютеров от вредоносных программ, участник Альянса профессионалов в области анализа безопасности (Alliance of Security Analysis Professionals, ASAP), предупреждает об активном распространении новой разновидности вредоносного программного обеспечения, относящегося к типу троянских вымогателей -
Trojan-Ransom.Win32.SMSer
В настоящее время в русском секторе Интернета циркулируют следующие разновидности данного вредоносного ПО:
Trojan-Ransom.Win32.SMSer.fi
Trojan-Ransom.Win32.SMSer.ft
Trojan-Ransom.Win32.SMSer.fz
Trojan-Ransom.Win32.SMSer.fo
Trojan-Ransom.Win32.SMSer.gc
Trojan-Dropper.Win32.Agent.awwe
Первый образец Trojan-Ransom.Win32.SMSer поступил в сервис лечения Антивирусного портала VirusInfo 17 июля сего года.
Основные сведения об инфекции (предоставлены КиберХелпером (http://virusinfo.info/index.php?page=cyberhelper))
Типичный представитель данной вредоносной программы имеет размер около 70 килобайт, написан на Visual Basic. Будучи запущенным, выполняет ряд вредоносных действий, как то:
1. Создает собственный исполняемый файл под именем
C:\WINDOWS\system32\user32.exe
2. На доступных для записи дисках создает файлы
autorun.inf
md.exe
Файл autorun.inf служит для автоматического запуска файла md.exe при открытии каждого жесткого диска или съемного носителя; файл md.exe представляет собой копию основного исполняемого файла SMSer.
3. Регистрируется на автозапуск, записывая в параметр
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\shell
значение
%SystemRoot%\system32\user32.exe
(вместо стандартного explorer.exe).
4. Правит системные политики, запрещая запуск диспетчера задач, а также время от времени вызывает функцию закрытия некоторых системных процессов - таких, как narrator.exe, taskmgr.exe, regedit.exe, sethc.exe.
До ближайшей перезагрузки или выключения операционной системы Trojan-Ransom.Win32.SMSer никак не проявляется визуально. После перезапуска ОС исполняемый файл вредоносной программы оказывается запущен вместо Проводника Windows, отображая экран со следующим текстом:
http://virusinfo.info/images/rs1.PNG
Таким образом, вредоносное ПО блокирует нормальную работу ПК и предлагает пользователю отправить платное SMS-сообщение для восстановления функционала, что является типичным поведением троянских вымогателей. Особенность данного образца состоит в том, что он пытается выдать себя за несуществующий продукт "Kaspersky Lab Antivirus Online", обнаруживший на компьютере пользователя некий "вирус" и предлагающий "удалить" его. При этом, как можно видеть из снимка экрана выше, текст малограмотен и содержит как орфографические, так и пунктуационные ошибки.
Лечение зараженного компьютера
Восстановление работоспособности инфицированного ПК может осуществляться по аналогии с удалением Trojan-Ransom.Win32.Blocker, описанным в вирусной энциклопедии Securelist (http://www.securelist.com/ru/weblog/207758824/Udalenie_Trojan_Ransom_Win32_Blocker_svoimi_rukami ). Напомним, что сущность предложенного метода состоит в выполнении следующих инструкций.
1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:
http://images.kaspersky.com/ru/pictures/vlweblog/207758826.jpg
2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:
http://images.kaspersky.com/ru/pictures/vlweblog/207758827.jpg
Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.
Типичный представитель Trojan-Ransom.Win32.SMSer может быть удален при помощи следующего скрипта AVZ:
Var
Disk : char;
i : integer;
begin
SetAVZGuardStatus(true);
TerminateProcessByName('user32.exe');
QuarantineFile('%System32%\user32.exe','');
DeleteFile('%System32%\user32.exe');
for i := 0 to 25 do begin
Disk := chr(ord('C')+i);
if GetDriveType(Disk+':\') in [2,3,4] then begin
DeleteFile(Disk+':\md.exe');
DeleteFile(Disk+':\autorun.inf');
end;
end;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(19);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
(Как выполнить скрипт в AVZ? (http://virusinfo.info/showthread.php?t=7239))
VirusInfo напоминает участникам и гостям проекта, что при заражении компьютера троянскими вымогателями настоятельно не рекомендуется выполнять требования злоумышленников и выплачивать им какие-либо суммы - это поощряет киберпреступников создавать новые, более опасные образцы вредоносного программного обеспечения. Если ваш компьютер инфицирован Trojan-Ransom.Win32.SMSer, и представленные в настоящем пресс-релизе рекомендации не помогают устранить заражение, воспользуйтесь услугой лечения ПК от вирусов (http://virusinfo.info/index.php?page=malwareremoval), предоставляемой Антивирусным порталом VirusInfo.
Trojan-Ransom.Win32.SMSer
В настоящее время в русском секторе Интернета циркулируют следующие разновидности данного вредоносного ПО:
Trojan-Ransom.Win32.SMSer.fi
Trojan-Ransom.Win32.SMSer.ft
Trojan-Ransom.Win32.SMSer.fz
Trojan-Ransom.Win32.SMSer.fo
Trojan-Ransom.Win32.SMSer.gc
Trojan-Dropper.Win32.Agent.awwe
Первый образец Trojan-Ransom.Win32.SMSer поступил в сервис лечения Антивирусного портала VirusInfo 17 июля сего года.
Основные сведения об инфекции (предоставлены КиберХелпером (http://virusinfo.info/index.php?page=cyberhelper))
Типичный представитель данной вредоносной программы имеет размер около 70 килобайт, написан на Visual Basic. Будучи запущенным, выполняет ряд вредоносных действий, как то:
1. Создает собственный исполняемый файл под именем
C:\WINDOWS\system32\user32.exe
2. На доступных для записи дисках создает файлы
autorun.inf
md.exe
Файл autorun.inf служит для автоматического запуска файла md.exe при открытии каждого жесткого диска или съемного носителя; файл md.exe представляет собой копию основного исполняемого файла SMSer.
3. Регистрируется на автозапуск, записывая в параметр
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\shell
значение
%SystemRoot%\system32\user32.exe
(вместо стандартного explorer.exe).
4. Правит системные политики, запрещая запуск диспетчера задач, а также время от времени вызывает функцию закрытия некоторых системных процессов - таких, как narrator.exe, taskmgr.exe, regedit.exe, sethc.exe.
До ближайшей перезагрузки или выключения операционной системы Trojan-Ransom.Win32.SMSer никак не проявляется визуально. После перезапуска ОС исполняемый файл вредоносной программы оказывается запущен вместо Проводника Windows, отображая экран со следующим текстом:
http://virusinfo.info/images/rs1.PNG
Таким образом, вредоносное ПО блокирует нормальную работу ПК и предлагает пользователю отправить платное SMS-сообщение для восстановления функционала, что является типичным поведением троянских вымогателей. Особенность данного образца состоит в том, что он пытается выдать себя за несуществующий продукт "Kaspersky Lab Antivirus Online", обнаруживший на компьютере пользователя некий "вирус" и предлагающий "удалить" его. При этом, как можно видеть из снимка экрана выше, текст малограмотен и содержит как орфографические, так и пунктуационные ошибки.
Лечение зараженного компьютера
Восстановление работоспособности инфицированного ПК может осуществляться по аналогии с удалением Trojan-Ransom.Win32.Blocker, описанным в вирусной энциклопедии Securelist (http://www.securelist.com/ru/weblog/207758824/Udalenie_Trojan_Ransom_Win32_Blocker_svoimi_rukami ). Напомним, что сущность предложенного метода состоит в выполнении следующих инструкций.
1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:
http://images.kaspersky.com/ru/pictures/vlweblog/207758826.jpg
2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:
http://images.kaspersky.com/ru/pictures/vlweblog/207758827.jpg
Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.
Типичный представитель Trojan-Ransom.Win32.SMSer может быть удален при помощи следующего скрипта AVZ:
Var
Disk : char;
i : integer;
begin
SetAVZGuardStatus(true);
TerminateProcessByName('user32.exe');
QuarantineFile('%System32%\user32.exe','');
DeleteFile('%System32%\user32.exe');
for i := 0 to 25 do begin
Disk := chr(ord('C')+i);
if GetDriveType(Disk+':\') in [2,3,4] then begin
DeleteFile(Disk+':\md.exe');
DeleteFile(Disk+':\autorun.inf');
end;
end;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(19);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
(Как выполнить скрипт в AVZ? (http://virusinfo.info/showthread.php?t=7239))
VirusInfo напоминает участникам и гостям проекта, что при заражении компьютера троянскими вымогателями настоятельно не рекомендуется выполнять требования злоумышленников и выплачивать им какие-либо суммы - это поощряет киберпреступников создавать новые, более опасные образцы вредоносного программного обеспечения. Если ваш компьютер инфицирован Trojan-Ransom.Win32.SMSer, и представленные в настоящем пресс-релизе рекомендации не помогают устранить заражение, воспользуйтесь услугой лечения ПК от вирусов (http://virusinfo.info/index.php?page=malwareremoval), предоставляемой Антивирусным порталом VirusInfo.