Начало ноября и января (точнее 31.10 - 31.01) период, в котором этот вирус активизируется случайным образом или же по какому-то событию. Заразившись он может ни как не проявляться, но распространяться, есть вероятность что после какого то по счёту заражения (например 77, может быть и 33) это событие и наступает. после активации удаляются все файлы типов: офиса ; почти все: аудио, изображений, архивов, а так же популярные форматы видео файлов (данные могут быть утеряны безвозвратно). После активации может уже ни как не определяться. может блокировать и обходить популярные антивирусники. и последнее, точнее предпоследнее — форматирование не панацея. Последнее — распространение и защита от вируса - есть несколько полезных программ, естественно до заражения, а не после потери информации.

Первое правило по работе с программами, написанное ещё на заре эры компьютеров после написания первого вируса и до написания Виндовса: «Устанавливать программы только из проверенных источников», а не у кого попало и какие попало как это уже обычно принято у пользователей. Между прочим автор данного вируса и рассчитывал именно на эту черту поведения пользователей компьютера. Весной была информация о его поимке и возбуждении уголовного дела со сроком до 7 лет лишения свободы. позже постараюсь написать первые проявления данного вируса.

 

Этот вирус перехватывает системные процессы и может делать всё что угодно.

Применительно к вирусу Penetrator — не запускается редактор реестра, а также для опытных пользователей можно увидеть посторонние (или одинаковые на первый взгляд по названию) процессы в системе (SYSTEM).

Применительно к простому смертному пользователю, а также для опытных пользователей можно увидеть посторонние (или одинаковые на первый взгляд по названию) процессы в системе (в том самом SYSTEM).

 

Этот вирус очень похож на безвредный паразитирующий червь автозапуск, до момента срабатывания (активации).

Изменяет конфигурацию настроек NOD32, AVP.

AVP на свое изменение говорит: Попытка процесса с PID 1508 получения доступа к процессу Антивирус Касперского с PID 1464 заблокирована.

Действительно срабатывает только 1 раз, после самоликвидируется и может быть не обнаружен на вашем компьютере.

 

Симптомы :

Размер подозрительных файлов (с телом вируса): 114,5 Кб.

Размер подозрительных файлов (с похожим вирусом автозапуск):

от модификации может иметь размер 93-125 кб,

при этом размер файла : autorun.inf варьируется в пределах 150-700 кб.

Ещё один симптом это отправление в icq-клиентах сообщений от вас с ссылками, которые естественно вы не посылали.

 

Поиск вредоносной программы

 

Технические детали

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер - около 280 КБ. Написана на Visual Basic.

Инициализация:

Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.

Деструктивная активность.

Отключает показ скрытых файлов для приложения Explorer.exe

Так же отключает показ расширений файлов для приложения Explorer.exe

Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню "Свойства папки" для приложения Explorer.exe

 

Во время работы троянец отслеживает появление в системе окон со следующими заголовками:

NOD32 2.5 Control Center

Сканер NOD32 по требованию - [Профиль центра управления - Локально]

Сканер NOD32 по требованию - [Профиль контекстного меню]

NOD32 - Предупреждение

Пpeдупpeждeниe Редактор конфигурации NOD32 - [Untitled]

Антивирус Касперского Personal

0- выполняется проверка...

Карантин

Настройка обновления

Настройка карантина и резервного хранилища

Выберите файл для отправки на исследование

AVP.MessageDialog

AVP.MainWindow

AVP.Product_Notification

AVP.SettingsWindow

AVP.ReportWindow

Agnitum Outpost Firewall - configuration.cfg

Настройка системы

Редактор реестра

RegEdit_RegEdit

 

В случае обнаружения такие окна будут закрываться автоматически.

 

Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело и создает файл "autorun.inf" со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.

 

Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:

Я незнаю ее там помоему небыло(((... вот, посмотри http://softclub.land.ru/seeing/katie.rar

 

 

 

Если Вы дочитали этот текст до конца это очень хорошо, обязательно задумайтесь: - последствия данного вируса – это : потеря всех Ваших документов офиса (Ворд, Ексель), архивов, фотографий, музыки, фильмов, возможно что и Вы заразили кого-то из своих друзей, знакомых, коллег по работе. Это очень опасный вирус! Вирус такого типа называется ещё «деструктивным»,  т.е. приводящий к полной потере данных. Аналогичный вирус – «Чернобыль» ещё в эпоху Виндовс 98.

Чтобы избежать и в дальнейшем данного несчастья, я столкнувшись сам с этим вирусом стал читать информацию по данному вопросу, как оказалось это была целая эпидемия для многих пользователей, особенно обычных не разбирающихся в компьютере или не имеющих опыта и навыков.

Так же я разработал ряд мер по предотвращению и лечению конкретно от данного вируса, и назвал этот комплекс : «Белый Антивирус». Устанавливаю его как на новые компьютеры, так и с уже установленным Виндовс. А также на компьютеры постоянных клиентов.

Если Вас заинтересовала защита от данного вируса или новая установка всех программ с данной защитой, то можете обращаться ко мне :

 

Мои Визитки

 

 www. Referats-bonus.narod.ru

 

 e-mail:  denis_lysva@rambler.ru

 

 тел.:  8 909 113 47 55

 

 icq  :    31 85 84 987

 

 

 

С пожеланиями всех благ , Денис Александрович.

Сайт управляется системой uCoz
Обращение к пользователям