Удаление смс-вирусов

Оглавление
10 января 2011 г.

В последнее время вирусы, требующие отправки смс, стали у злоумышленников очень популярным и доходным видом отъёма денег. В следствие этого появилось очень много разновидностей смс вирусов. Тут не только вирусы, требующие смс за просмотр сайтов порно тематики, но и маскировка под установку и обновление программ, блокировку системы по причине нелицензионного использования и так далее и так далее. Всё разнообразие разновидностей в виде скриншотов можно наблюдать тут, например.

смс-вымогатель вирус

Ещё одна проблема в том, что заражённый пользователь, отправляясь к другу поискать в интернете решение своей проблемы, натыкается в сети на описание частных случаев своего несчастья. А учитывая, что развитие и распространение этого фокуса продолжается, вариантов этих частных решений становится с каждым днём всё больше.

Поэтому в этой статье я опишу не пример решения одной разновидности смс вируса, а опишу принцип работы и основные характеристики всей группы. Но сначала я расскажу о некоторых опрометчивых шагах, которые делают пользователи в подобных ситуациях.

  1. Заплатить - учтите, что при оплате, даже если всё пройдёт успешно, всё зловредное ПО останется на вашем компьютере. Кто знает, как оно написано, может в него заложено повторное срабатывание через неделю после оплаты. К тому же стоимость смс по факту оплаты обычно оказывается на 50-100% больше заявленной.
  2. Найти код разблокировки - генераторы кодов есть на сайтах разработчиков ведущих антивирусных решений (Касперский, Доктор Веб и другие). Опять же после разблокировки можно успокоиться, а вирусное ПО никуда не делось, просто исчезло информационное окно.
  3. Переустановить систему - а через пару дней снова поймать похожий вирус. Так можно круглосуточно переустанавливать. Это не выход. Надо уметь решать проблему. А переустановка - это всё-равно что бороться с домашними грызунами, сжигая дом. Нелогично, не правда ли?

Теперь подробнее о смс вирусах. С чем, собственно, приходится иметь дело? Причина, по которой вы постоянно видите вирусное сообщение об отправке смс - нарушена работа графической оболочки системы. Всё, что вы видите (значки, папки и прочее) отрисовывается специальной системной программой. В windows это системный процесс explorer.exe. А смс вирус представляет собой отладчик этого процесса.

Базой данных системы (там где записано всё, что касается работы системы и программ) является системный реестр windows. В реестре есть параметр Shell (оболочка). Там записано - какая программа отвечает за отрисовку графического окружения. После заражения чаще всего происходит правка этой записи. Смс вирус прописывает в Shell себя вместо explorer.exe.

Изменёёная запись реестра Shell

Нажмите на изображение, чтобы увидеть скриншот полностью и обратите внимание на местонахождение отладчика (управляющей программы) и её название.

Сам отладчик (тело смс вируса) копируется в различные места, но чаще всего в системные папки system32 или Temp, а также временные папки в профилях пользователей. Папки пользователей находятся по адресу:

C:/Documents and Settings/Пользователь

Пути к вышеупомянутым папкам:

C:/WINDOWS/system32
C:/WINDOWS/Temp
Пользователь/Local Settings/Temp
Пользователь/Local Settings/Application Data/Temp

В ряде случаев смс вирус устанавливает на компьютер конкретное программное обеспечение, которое отображается в списке установленных программ и находится в папке Program Files. Оно же прописывается в автозапуск и запускается вместе с системой. Функции, помимо трансляции баннера, могут быть разные от блокировки вызова диспетчера задач до блокировки устройств ввода. Папка автозагрузки находится в папке пользователя по адресу:

Пользователь/Главное меню/Программы/Автозагрузка

Вирусный софт в системе

Место жительства и принцип работы смс вируса мы определили. Теперь разберёмся как с этим бороться. Поскольку вирус блокирует возможность работы в системе, удалять его надо извне. То есть либо заходить с Live-CD, либо нести диск к знакомому, подключать к компьютеру и искать зловреда. Подойдёт любой Live-CD, если вы впервые слышите это слово, посоветую нормально руссифицированный и не требовательный к ресурсам Lubuntu Live-CD.

После получения доступа к жёсткому диску нужно почистить все временные папки заражённой системы и папку автозагрузки. Если позволяет уровень компетенции, можно осмотреть и папку system32на предмет странных файлов, например dll-библиотек с именами вроде

aaaaaaa.dll

или exe-файлов близнецов вроде фирм-подделок Adadas(Adidas)

userinit.exe - системный процесс
usrinit.exe - маскирующийся зловред

Просмотреть папку Program Files на предмет наличия папки с именем, совпадающим с названием программы, указанной в баннере (вроде Digital Access, если упоминание присутствует ). Затем пробовать грузиться. Чаще всего после чистки баннер исчезает, однако вместе с ним исчезает и графическая среда, поскольку управляющая оболочкой программа (отладчик) уже отсутствует, а запись в реестре всё ещё есть. Теперь надо исправить реестр. Поскольку рабочий стол пуст

пустой рабочий стол

вызываем диспетчер задач сочетанием клавиш Ctrl + Shift + Esc

Диспетчер задач windows

В правом нижнем углу жмём кнопку Новая задачаи в появившемся окне вводим

explorer - откроется папка
control - панель управления
regedit - редактор реестра

Через папку можно полазить по windows. Панель управления может помочь сохранить настройки (например сетевые). Редактор реестра поможет восстановить правильное управление оболочкой через explorer. Для этого в редакторе надо будет открыть ветку реестра, изображённую на рисунке ниже и изменить параметр Shell обратно в значение explorer.exe

редактирование реестраредактирование реестра, ввод

После этого перезапускаем систему, обновляем антивирус и запускаем полную проверку на предмет обнаружения нечисти и впредь более внимательно бродим по сети.

Похожие статьи
Обозреватель-анонимайзер Tor

Анонимайзеров на сегодняшний день существует достаточно много. Их можно разделить на две большие группы: анонимайзеры на базе ПО и веб-анонимайзеры. Вторые более популярны ввиду своей элементарности - ввёл адрес в поле ввода и всё.

Однако, совершенно неизвестно, что случится после нажатия кнопки Поехали. Вполне возможно вверху страницы на вас свалится куча рекламы, порно-баннеры или что-нибудь похуже.

11 января 2011 г.

Яндекс.Метрика