No title

Снова большой технико-информационный пост.

Дамы и господа, еще раз напоминаю, не забывайте вовремя обновлять ваше антивирусное программное обеспечение. Иначе подцепите что-нибудь вроде Пенетратора, и будет вам веселье. Собственно, в этом посте речь пойдет именно об этом вирусе.

Итак, Penetrator. Что это и с чем его едят:

История громкой работы вируса в Сети начинается 1 января 2008г. Именно в этот день многие пользователи компьютеров в Благовещенске с удивлением обнаружили, что заместо их документов и таблиц лежат кучи файлов со старыми названиями и с одинаковым содержимым "НАХ** ПОСЛАНА, С*КА, ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, С*КА, ИШЕШЬ ВИНОВНИКА!! СОСИ Х**, ЛИЖИ П****!! ХАХАХАХ \Penetrator\
MY ICQ: 402974020
JB17",
а мультимедийные файлы (картинки, музыка, кино) подменены на изображения с надписью "Penetrator" или же просто безнадежно испорчены.
Дело усугублялось еще и тем, что вирус, уничтожая старые файлы, копировал их меня для новых. Восстановление потерянных данных из-за этого в достаточной степени затруднялось.

Распространяется сие дело способами самыми обычными: Сеть, диски, флэшки. Если на вашем диске/флэшке вдруг появился файл flash.scr, у которого иконка может выглядеть как иконка папки, то ни в коем разе не пытайтесь влезть в эту папку: щелкнув два раза на эту мнимую папку, вы запустите вирус у себя. А уж как он подействиует, тут никто не предугадает. Будет ли ждать 1 января или же стартанет сразу в работу - неизвестно. Отмечены единичные случаи, когда вирус «косит» под файлы *.mp3.
Когда вирус проникает в систему, то первым признаком становятся файлы в папке "Мои документы" под названиями: Documents.scr, .scr, и иже с ними.

– при запуске вируса в корневую директорию заражаемого диска копируется файл flash.scr (117248 байт);
– в папке \WINDOWS\system32\ вирус создает папку DETER177;
– в папке \WINDOWS\system32\DETER177\ вирус создает скрытый файл lsass.exe (117248 байт; в отличие от настоящего lsass.exe, «проживающего» в папке \WINDOWS\system32);
– в папке \WINDOWS\system32\DETER177\ вирус создает скрытый файл smss.exe (117248 байт; в отличие от настоящего smss.exe, «проживающего» в папке \WINDOWS\system32);
– в папке \WINDOWS\system32\DETER177\ вирус создает скрытый файл svсhоst.exe (117248 байт; буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);
– в папке \WINDOWS\system32\ вирус создает скрытый файл AHTOMSYS19.exe (117248 байт);
– в папке \WINDOWS\system32\ вирус создает скрытый файл сtfmоn.exe (117248 байт; буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– в папке \WINDOWS\system32\ вирус создает скрытый файл psador18.dll (32 байта);
– в папке \WINDOWS\system32\ вирус создает скрытый файл psagor18.sys (117248 байт);
– файлы АHTОMSYS19.exe, \WINDOWS\system32\DETER177\lsass.exe и \WINDOWS\system32\сtfmon.exe стартуют автоматически при запуске ОС и постоянно присутствуют в оперативной памяти;
– деструктивное действие вируса направлено на файлы .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip (вирус портит всё самое дорогое, что есть у пользователя ПК!);
– все .jpg-файлы (.jpg, .jpeg) заменяются одноименными .jpg-изображениями (размером 69х15 пикселей; 3174 байт) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне). Файлы .bmp, .png, .tiff вирус «не трогает»;
– содержимое файлов .doc и .xls заменяется следующим текстовым сообщением (при этом размер этих файлов становится 196 байт – по объему текстового сообщения)
– вирус создает папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista – \Users\Master\AppData\Local\Microsoft\Windows\Burn);
– в каждой папке (включая вложенные папки) диска, на котором произошел запуск файла flash.scr, вирус создает свои копии <имя_папки>.scr (117248 байт); после этого файл flash.scr на этом диске (который уже заразил), как правило, самоуничтожается (червяк сделал свое дело, червяк может уходить!), оставляя в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr;
– при открытии/подключении локальных/съемных дисков вирус копируется на незараженные носители (даже в Безопасном режиме!);

Как с этой штукой бороться:

1. Отключите ПК от локальной и Глобальной сетей.

2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander). Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.

3. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске).

4. Восстановите доступность пункта меню Свойства папки
читать дальше** для того чтобы сделать доступным пункт меню Свойства папки:
– нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;
– переключите (при необходимости) раскладку клавиатуры на EN;
– после приглашения системы C:\Documents and Settings\Администратор> введите
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions
– нажмите ;
– на появившийся запрос системы Delete the registry value NoFolderOptions (Y/N)? введите y (что означает yes), нажмите ;
– появится сообщение Операция успешно завершена;
– на приглашение системы C:\Documents and Settings\Администратор> введите exit (или просто закройте окно интерпретатора команд)
Для Windows XP это будет выглядеть так:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\Documents and Settings\Администратор>REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions
Delete the registry value NoFolderOptions (Y/N)? y
Операция успешно завершена
C:\Documents and Settings\Администратор>exit
Для выполнения этой процедуры необходимо войти в систему с учетной записью Администратор или члена группы Администраторы.

5. Восстановите запуск Редактора реестра
читать дальше**для того чтобы отключить запрет на редактирование Реестра:
– нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;
– переключите (при необходимости) раскладку клавиатуры на EN;
– после приглашения системы C:\Documents and Settings\Администратор>
введите REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools
– нажмите ;
– на появившийся запрос системы Delete the registry value DisableRegistryTools (Y/N)? введите y (что означает yes), нажмите ;
– появится сообщение Операция успешно завершена;
– на приглашение системы C:\Documents and Settings\Администратор> введите exit (или просто закройте окно интерпретатора команд).
Для Windows XP это будет выглядеть так:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\Documents and Settings\Администратор>REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools
Delete the registry value DisableRegistryTools (Y/N)? y
Операция успешно завершена
C:\Documents and Settings\Администратор>exit
Для выполнения этой процедуры необходимо войти в систему с учетной записью Администратор или члена группы Администраторы.

6. Восстановите запуск Утилиты настройки системы msconfig
читать дальше**1. Нужно с «пристрастием» проверить систему на отсутствие вирусов надежным антивирусом со свежими базами (иначе всё остальное бессмысленно!).
2. Проверьте, что файл msconfig.exe существует. Дисковый адрес утилиты указан выше. Если по указанному адресу файла msconfig.exe нет, скопируйте его с другого ПК с такой же версией ОС или извлеките с установочного диска.
Для извлечения файла msconfig.exe с установочного диска:
– установите диск в CD-ROM;
– нажмите Пуск –> Выполнить… (или нажмите клавишу с логотипом Windows + R);
– в текстовое поле Открыть окна Запуск программы введите expand <буква_привода:>\i386\MSCONFIG.EX_ systemroot%\PCHealth\HelpCtr\Binaries\msconfig.exe –> OK.
Например, если ваша ОС – Windows XP, установлена на диске C:\, а буква CD-ROM – E:\, то нужно ввести
expand E:\I386\MSCONFIG.EX_ C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe
Если ваша ОС – Windows Vista, установлена на диске D:\, а буква CD-ROM – E:\, то нужно ввести
expand E:\I386\MSCONFIG.EX_ D:\Windows\System32\msconfig.exe
3. Возможно ограничение прав доступа. Проверьте, запускается ли утилита msconfig.exe под учетной записью Администратор компьютера (утилита может не запускаться под Учетной записью с ограниченными правами).
4. Попробуйте запустить утилиту msconfig из Проводника Windows (или используя альтернативный файловый менеджер, например, Total Commander).
5. Попробуйте запустить утилиту msconfig в Безопасном Режиме (Safe Mode). Для этого нажмите при загрузке/перезагрузке ПК клавишу F8, выберите учетную запись Администратор компьютера.
6. Проверьте Реестр Windows (ниже указано значение параметров для Windows XP, установленной на диске C:\):
– нажмите Пуск –> Выполнить… (или нажмите клавишу с логотипом Windows + R);
– в текстовое поле Открыть окна Запуск программы введите regedit –> OK, запустится Редактор реестра;
– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE],
значение REG_SZ-параметра по умолчанию должно быть C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe (при необходимости исправьте значение параметра);
– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HELPCTR.EXE],
значение REG_SZ-параметра по умолчанию должно быть C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe (при необходимости исправьте значение параметра).
7. Проверьте, запущена ли служба Справка и поддержка (Help and Support):
– нажмите Пуск –> Настройка –> Панель управления –> Администрирование –> Службы;
– в открывшемся диалоговом окне Службы проверьте, запущена ли служба Справка и поддержка (если не запущена, щелкните Запустить службу).
8. Проверьте системные файлы Windows:
– нажмите Пуск –> Выполнить… (или нажмите клавишу с логотипом Windows + R);
– в текстовое поле Открыть окна Запуск программы введите sfc /scannow –> OK;
– появится окно «Защита файлов Windows» с сообщением «Выполняется проверка целостности и соответствия исходной версии для защищенных файлов Windows»;
– если программа проверки системных файлов обнаружит, что файлы были изменены, появится окно «Защита файлов Windows» с сообщением «Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Теперь вставьте Windows XP CD-ROM». Вставьте установочный диск, нажмите Повторить.

7. Восстановите запуск Диспетчера задач
читать дальше**для того чтобы разрешить запуск Диспетчера задач:
– нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;
– переключите (при необходимости) раскладку клавиатуры на EN;
– после приглашения системы C:\Documents and Settings\Администратор>
введите REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
– нажмите ;
– на появившийся запрос системы Delete the registry value DisableTaskMgr (Y/N)? введите y (что означает yes), нажмите ;
– появится сообщение Операция успешно завершена;
– на приглашение системы C:\Documents and Settings\Администратор> введите exit (или просто закройте окно интерпретатора команд).
Для Windows XP это будет выглядеть так:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\Documents and Settings\Администратор>REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
Delete the registry value DisableTaskMgr (Y/N)? y
Операция успешно завершена
C:\Documents and Settings\Администратор>exit

Для выполнения этой процедуры необходимо войти в систему с учетной записью Администратор или члена группы Администраторы.

8. Восстановите отображение скрытых файлов и папок
читать дальше**– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в прокручиваемом списке Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

Иногда после восстановления пункта меню Свойства папки не удается установить переключатель Показывать скрытые файлы и папки: после установки этого переключателя вновь самопроизвольно устанавливается переключатель Не показывать скрытые файлы и папки.

Как задействовать опцию Показывать скрытые файлы и папки
Чтобы в Свойствах папки задействовать опцию Показывать скрытые файлы и папки воспользуемся Редактором реестра Windows:
– нажмите Пуск –> Выполнить…;
– в окне Запуск программы в текстовое поле Открыть введите regedit –> OK;
– в открывшемся окне Редактора реестра найдите раздел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL];
– если в этом разделе есть REG_SZ-параметр CheckedValue (со значением 0), удалите его;
– создайте REG_DWORD-параметр CheckedValue (меню Правка –> Создать –> Параметр DWORD) со значением 1 (если REG_DWORD-параметр CheckedValue наличествует, установите его значение 1);
– откройте раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced];
– если в этом разделе есть REG_SZ-параметр Hidden (со значением 0), удалите его;
– создайте REG_DWORD-параметр Hidden со значением 1 (если REG_DWORD-параметр Hidden наличествует, установите его значение 1);
– найдите REG_DWORD-параметр SuperHidden, установите его значение 1;
– выберите меню Вид –> Обновить (или нажмите F5);
– закройте Редактор реестра.


9. Удалите (если их не уничтожил антивирус) следующие файлы:
– в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr;
– flash.scr, <имя_папки>.exe и <имя_папки>.scr (в том числе – \Documents and Settings\All Users\Документы\Documents.scr, \WINDOWS\system32\system32.scr, \Program Files\Program Files\Program Files.scr, \Documents and Settings\<Имя_пользователя>\<Имя_пользователя>.scr, \Мои документы\Мои документы.scr, \Мои документы\Мои рисунки\Мои рисунки.scr, \Documents and Settings\<Имя_пользователя>\Главное меню\Программы\Автозагрузка\Автозагрузка.scr;
– \WINDOWS\system32\DETER177\lsass.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\smss.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\AHTOMSYS19.exe;
– \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– \WINDOWS\system32\psador18.dll;
–\WINDOWS\system32\psagor18.sys;
– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista – \Users\Master\AppData\Local\Microsoft\Windows\Burn).

10. Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами?). После первого запуска Word'а, он будет создан заново.

11. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe;
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковые (REG_SZ) параметры lsass со значением C:\WINDOWS\system32\DETER177\lsass.exe и сtfmоn.exe со значением C:\WINDOWS\system32\сtfmon.exe;
– раскройте ветвь [HKEY_CLASSES_ROOT\scrfile], установите значение REG_SZ-параметра по умолчанию – Программа-заставка;
– закройте Редактор реестра.

12. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

13. Попытайтесь восстановить удаленные вирусом файлы

Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается.
Для восстановления советую применять программы WinHex и Ontrack EasyRecovery. Со второй - процент восстановления весьма высок (до 99% в редких случаях).


Послесловие
В начале августа 2008 г. автор компьютерного вируса «Пенетратор» был задержан сотрудниками ФСБ в Калининграде. Это 21-летний студент одного из калининградских вузов Дмитрий Уваров.
16 февраля 2009 г. в Калининграде состоялось слушание уголовного дела по обвинению Уварова в создании компьютерного вируса «Пенетратор», парализовавшего в 2008 г. работу около тысячи компьютеров в Амурской области.
Согласно ч. 1 ст. 273 УК РФ (создание программ для ЭВМ, заведомо приводящих к уничтожению информации, нарушению работы ЭВМ и их сети, а равно использование и распространение таких программ), Уварову грозило наказание до трех лет лишения свободы (а если было бы доказано, что последствия вирусной атаки оказались тяжелыми – 7 лет).
В ходе следствия было выявлено, что в мае 2007 г. Уваров переслал вредоносную программу по электронной почте в Благовещенск своему знакомому – несовершеннолетнему жителю Благовещенска, который распространил ее на на территории Амурской области. После активации «Пенетратора» 1 января 2008 г. была нарушена работа ПК и локальных сетей ряда организаций города Благовещенска и Амурской области.
В частности, атаке вредоносной программы были подвергнуты компьютеры исполнительных органов государственной власти Амурской области, городской Думы города Благовещенска, избирательной комиссии по Амурской области, Благовещенского городского суда, УВД по Амурской области, ОГИБДД УВД по городу Благовещенску, управления Федеральной службы судебных приставов, Амурского фонда обязательного медицинского страхования, Амурского областного центра по гидрометеологии и мониторингу окружающей среды, Министерства внутренней и информационной политики Амурской области и другие (не считая ПК многих тысяч домашних пользователей, которые не предъявляли иск к Уварову, но ущерб которых не поддается измерению!..).
Процесс осуществлялся по упрощенной процедуре – без судебного следствия и в порядке особого производства. Упрощенную систему судопроизводства избрал сам подсудимый. Он полностью признал свою вину, искренне раскаялся в содеянном («Я больше так не буду! Я не знал, что это плохо!..»), помогал следствию. Суд учел эти и другие обстоятельства дела, и назначил Уварову минимальное наказание – ну очень уж минимальное и очень уж мягкое! – штраф в размере 3 тыс. рублей.

Материал взят с сайта netler.ru. Там вы можете найти оригиналы статьи. Здесь же собрано в кучку все необходимое