Security Sphere 2012 – это зловред из категории лжеантивирусов. Лжеантивирусы – это трояны вымогатели, симулирующие работу антивирусных продуктов, требующие оплатить лицензию для удаления найденных (как правило вымышленных) вирусов или самого продукта из системы. Естественно, после оплаты никакого лечения вирусов не произойдет.
В рунете фальшивые антивирусы не такое частое явление, встречаются преимущественно в более платежеспособных странах Европы или США. Большинство образцов в ходе своей работы блокируют выполнение любых программ, а так же прописываются в автозагрузку.
С одним сэмплом мне сегодня повезло столкнуться «в поле». Благо, этот зловред не блокирует безопасный режим, вылечить систему было весьма просто.
Для начала описание инфекции:
File Name: security_sphere_2012.exe
File Size: 367104 bytes
Virustotal
MD5: 776f5bfd7fda916d6df8c1802228a7cc
SHA1: a6378fb711455eb6cd5b892d79824575bb9e7515
PE Time: 0x4EA70F40 [Tue Oct 25 19:34:24 2011 UTC]
Sections: 4
При запуске вирус копирует себя в папку
Documents and SettingsAll UsersApplication DatakL05366HhJaC05366kL05366HhJaC05366.exe
Или
Documents and SettingsAll UsersApplication DatakK19600EjDaP19600kK19600EjDaP19600.exe
Другими словами, имя файла и папки варьируются, но в общем – примерно одинаковы, узнать их не составит труда.
В реестре происходит запись в ветке:
HKEY_CURRENT_USER>
Software>
Microsoft>
Windows>
CurrentVersion>
RunOnce
Software>
Microsoft>
Windows>
CurrentVersion>
RunOnce
Для лечения необходимо загрузиться в безопасном режиме, для этого перед загрузкой системы следует зажать F8 и выбрать «Безопасный режим» в открывшемся меню.
После загрузки системы выбираем ту учетную запись, которая была заражена. Далее в меню Пуск щелкаем пункт «Выполнить» и вводим regedit.
В открывшейся программе идем по пути
HKEY_CURRENT_USER>
Software>
Microsoft>
Windows>
CurrentVersion>
RunOnce
Software>
Microsoft>
Windows>
CurrentVersion>
RunOnce
Выбираем ключ с именем типа fA19600loOgP19600, щелкаем два раза и запоминаем значение, можно записать в файл. Ключ удаляем (правой кнопкой по ключу и » пункт удалить»), затем в проводнике указываем путь, который записали и удаляем папку с этим файлом.
Все. Система вылечена.
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?