Вирусы смс.

редакция 10.01.11

Блокировка компьютера

В последнее время вирусы, требующие отправки смс, стали у злоумышленников очень популярным и доходным видом отъёма денег. В следствие этого появилось очень много разновидностей смс вирусов. Тут не только вирусы, требующие смс за просмотр сайтов порно тематики, но и маскировка под установку и обновление программ, блокировку системы по причине нелицензионного использования и так далее и так далее. Всё разнообразие разновидностей в виде скриншотов можно наблюдать тут, например.

К тому же эти вредоносные программы постоянно дорабатываются и становятся сложнее. Если первые варианты смс вирусов просто выводили сообщение об отправке смс, то вирусы, с которыми столкнулись мои знакомые в последнее время, напрочь блокировали мышь и клавиатуру (за исключением периметра зловредного сообщения) и работу графической оболочки Windows. Тут уже без специальных навыков и знаний не обойтись.

Ещё одна проблема в том, что "заражённый" пользователь, отправляясь к другу поискать в интернете решение своей проблемы, натыкается в сети на описание частных случаев своего несчастья. А учитывая, что развитие и распространение этого "фокуса" продолжается, вариантов этих частных решений становится с каждым днём всё больше.

Поэтому в этой статье я опишу не пример решения одной разновидности смс вируса, а опишу принцип работы и основные характеристики всей группы. Но сначала я расскажу о некоторых опрометчивых шагах, которые делают пользователи в подобных ситуациях.

• Заплатить - учтите, что при оплате, даже если всё пройдёт успешно, всё зловредное ПО останется на вашем компьютере. Кто знает, как оно написано, может в него заложено повторное срабатывание через неделю после оплаты (вроде снова "подцепили"). К тому же стоимость смс по факту оплаты обычно оказывается на 50-100% больше заявленной.
• Найти код разблокировки - генераторы кодов есть на сайтах разработчиков ведущих антивирусных решений (Касперский, Доктор Веб и другие). Опять же после разблокировки можно успокоиться, а вирусное ПО никуда не делось, просто исчезло информационное окно.
• Переустановить систему - а через пару дней снова поймать похожий вирус. Так можно круглосуточно переустанавливать. Это не выход. Надо уметь решать проблему. А переустановка - это всё-равно что бороться с домашними грызунами, сжигая дом. Нелогично, не правда ли?

Теперь подробнее о смс вирусах. С чем, собственно, приходится иметь дело? Причина, по которой вы постоянно видите вирусное сообщение об отправке смс - нарушена работа графической оболочки системы. Всё, что вы видите (значки, папки и прочее) отрисовывается специальной системной программой. В windows это системный процесс explorer.exe. А смс вирус представляет собой отладчик этого процесса.

Базой данных системы (там где записано всё, что касается работы системы и программ) является системный реестр windows. В реестре есть параметр Shell (оболочка). Там записано - какая программа отвечает за отрисовку графического окружения. После заражения чаще всего происходит правка этой записи. Смс вирус прописывает в Shell себя вместо explorer.exe.

Параметр реестра Shell

Нажмите на изображение, чтобы увидеть скриншот полностью и обратите внимание на местонахождение отладчика (управляющей программы) и её название.

Сам отладчик (тело смс вируса) копируется в различные места, но чаще всего в системные папки "system32" или "Temp", а также временные папки в профилях пользователей. Папки пользователей находятся по адресу:

C:\Documents and Settings\Пользователь

Пути к вышеупомянутым папкам:

C:\WINDOWS\system32
C:\WINDOWS\Temp
Пользователь\Local Settings\Temp
Пользователь\Local Settings\Application Data\Temp

В ряде случаев смс вирус устанавливает на компьютер конкретное программное обеспечение, которое отображается в списке установленных программ и находится в папке "Program Files". Оно же прописывается в автозапуск и запускается вместе с системой. Функции, помимо трансляции баннера, могут быть разные от блокировки вызова диспетчера задач до блокировки устройств ввода. Папка автозагрузки находится в папке пользователя по адресу:

Пользователь\Главное меню\Программы\Автозагрузка

Вредоносное ПО "Digital Acсcess"

Место жительства и принцип работы смс вируса мы определили. Теперь разберёмся как с этим бороться. Поскольку вирус блокирует возможность работы в системе, удалять его надо извне. То есть либо заходить с Live-CD, либо нести диск к знакомому, подключать к компьютеру и искать зловреда. В качестве Live-CD вполне подойдёт

• Part Magic
• PuppyRus Jeans (запись CD)
• Любой Linux Live-CD

После получения доступа к жёсткому диску нужно почистить все временные папки заражённой системы и папку автозагрузки. Если позволяет уровень компетенции, можно осмотреть и папку "system32" на предмет странных файлов, например dll-библиотек с именами вроде

aaaaaaa.dll

или exe-файлов близнецов (вроде фирм-подделок "Adadas" (Adidas) )

userinit.exe - системный процесс
usrinit.exe - маскирующийся зловред

Просмотреть папку "Program Files" на предмет наличия папки с именем, совпадающим с названием программы, указанной в баннере (вроде "Digital Access", если упоминание присутствует ). Затем пробовать грузиться. Чаще всего после чистки баннер исчезает, однако вместе с ним исчезает и графическая среда, поскольку управляющая оболочкой программа (отладчик) уже отсутствует, а запись в реестре всё ещё есть. Теперь надо исправить реестр.

Поскольку рабочий стол пуст

Пустой стол

вызываем диспетчер задач сочетанием клавиш Ctrl+Shift+Esc

Диспетчер задач

В правом нижнем углу жмём кнопку "новая задача" и в появившемся окне вводим

explorer - откроется папка
control - панель управления
regedit - редактор реестра

Через папку можно полазить по windows. Панель управления может помочь сохранить настройки (например сетевые). Редактор реестра поможет восстановить правильное управление оболочкой через explorer. Для этого в редакторе надо будет открыть ветку реестра, изображённую на рисунке ниже и изменить параметр "Shell" обратно в значение "explorer.exe"

ветка реестра

Восстановление параметра Shell

помочь автору и сайту

• к списку статей •