Лечение компьютерных вирусов и троянов в примерах
Самостоятельное лечение компьютера с помощью спец утилит (AVZ,
UVS...)
Примеры лечения вирусов/троянов
Дата публикации: 16.04.2013
Подопытный: троян-вымогатель BAT/LockWS
(Commtouch); Trojan.Siggen5.12118 / Trojan.Winlock.8310 (DrWeb);
BAT/Locker.B (ESET-NOD32);
Анализ Virus Total:
exe
cmd
(на дату публикации).
Симптомы: компьютер блокируется (появляется окно приветствия Windows). Войти в свою учетную запись Windows оказывается не возможно - запрашивается пароль, даже если пользователь его не устанавливал. После перезагрузки компьютера появляется окно с текстом: "Компьютер заблокирован!!! В связи с несанкционированным доступом к ресурсам содержащим элементы порнографии и пидофилии. Для разблокировка компьютера отправьте SMS на номер 5565 с текстом Unlock. В ответ на SMS, придет сообщение с паролем для разблокировки компьютера!". После нажатия на кнопку "Ok" опять появляется окно приветствия Windows с запросом неизвестного пользователю пароля.
Данный зловред представляет собой архив 7zip (exe файл), после запуска которого происходит извлечение и запуск непосредственно самого зловреда - он представляет собой командный файл config.cmd, который:
1) отключает программу AntiWinLocker (вопрос зачем? взловред ничего не пишет в автозапуск);
2) создает окно с текстом, которое появляется в начале загрузки Windows;
3) для текущей учетной записи ставит пароль "Julia_HuliYa", затем ставит такой же пароль на учетную запись "Администратор";
4) вызывает Окно приветствия Windows (аналог нажатия клавиш Win+L).
При всей своей банальности данный троян может доставить немало хлопот пользователю. Дело в том, что Безопасный режим Windows запустить не получится, т.к. опять нужен пароль. Различные антивирусные средства, которые помогают выявить подозрительные записи в автозапуске не помогут, т.к. зловред ничего не прописывает в автозапуск.
Лечение:
Если известен пароль (в данной версии вымогателя: "Julia_HuliYa"), то ввести этот пароль, затем зайти в параметры Windows (учетные записи пользователей) и сменить пароль на нужный или удалить его.
Если пароль неизвестен, то нужно сбросить пароль на нужную учетную запись, например, с помощью утилиты UVS запущенной с LiveCD. Подробности можно почитать на сайте www.koscl.narod.ru Перед сбросом пароля рекомендую посмотреть важные файлы на жестком диске - все ли с ними нормально, открываются ли они.
Какие опасности по этому винлоку: 1) он использует стандартные средства системы для своих действий, поэтому мало какая проактивная защита антивируса поможет; 2) сигнатурное детектирование зловредных командных файлов антивирусами сейчас крайне не эффективно, поэтому авторы зловреда могут каждую минуту генерировать сотни тел зловреда с новыми неопределяемыми сигнатурами.
