Вредоносные программы | Записки компосапиенса

Вредоносные программы



вирусы, трояны, клавиатурные шпионы, malware и прочая гадость, с которой мы так или иначе сталкиваемся.

Архив на категорию ‘Вредоносные программы’

Tweet

Первый пост — и сразу в атаку!

Так получилось, что у меня на работе девочка-переводчик умудрилась подцепить один из новейших вирусняков ;) Почему из новейших? Потому что год не успел начаться, а Internet Security 2020 (Buy-internet-security2010.com hijacker) уже вовсю стрижет бабло своим хозяевам!..

Итак, о чем разговор?

Называется штука Internet Security 2020 (Buy-internet-security2010.com hijacker) — успешно мимикрирует под известный антивирус Касперского, а точнее — его продукт под названием Kaspersky Internet Security 2020. Работает следующим образом.

Так как момент заражения я пропустил (тут девочка справилась и без меня ;) ), то опишу, как я себе представляю. При заходе на инфицированный сайт (или открытии ссылки/картинки) у пользователя появляется окно (со слов девочки) вроде: «Ваш компьютер атакован! Активируйте ваш антивирус для полноценной защиты!» (на английском, ессно) и кнопочка «ОК», на которую девочка, не долго думая, нажала. После чего «червяк» загружается на компьютер и сам себя устанавливает.

После его установки он прописывает себя в реестр и автозагрузку (то есть загружается после каждого ребута компа), причем отключение запуска при старте Винды через меню в нем не работает (что, в общем то и неудивительно ;) ). И — реально запарная штука — после загрузки компа она автоматом запускает «процесс сканирования дисков» (типа, антивирус же ;) ) и находит пару десятков угроз (у нас на зараженном компе нашел то 23, то 25 разных (работающий параллельно ESET с последней базой нашел и удалил всего 5, причем Buy-internet-security2010.com hijacker`а среди них не оказалось — ну не детектится...)))), файлы *.pdf и архивы не открываются (какие еще не открываются, пока не ясно — вордовские норм вроде) — появляется предупреждение о том, что файл заражен и просьба активировать «антивирус», при нажатии ОК открывается страница, где надо ввести данные для оплаты (наивные ;) ). Кстати, доступ в инет не отрубает — это как раз и позволило найти лекарство ;) . Ну и каждые несколько минут выскакивает сообщение, что надо бы активировать штуку ;)

Да, и еще — что бы уж точно вы его заметили, посредине Рабочего стола он замостит «красное на черном предупреждение», что ваша машина под угрозой (вот в этом он как раз вас и не обманывает ;) ) и следует-таки активировать этот мега-"антивирус".

В общем, вроде разобрались, как оно работает. Теперь — что же делать?
Покопавшись в инете, я нашел только англоязычные упоминания этой штуки и подумал, что раз уж инфа мне понадобилась, то может быть полезной и еще кому-нибудь. Потому и родилась идея этого блога (околокомпьютерной тематики, если не считать вебмастерского блога, у меня еще не было ;) ). Ну, а теперь — перейдем к лечению. Сестра, скальпель!

Как удалить Buy-internet-security2010.com hijacker вручную?

Ручное удаление Buy-internet-security2010.com hijacker сводится к десятку действий, а именно:

Файлы, которые требуется удалить (осторожно, ничего лишнего не поудаляйте — винда, все-таки):

  1. %Program Files%\InternetSecurity2010
  2. %Program Files%\InternetSecurity2010\IS2010.exe
  3. %WINDOWS%\system32\41.exe
  4. %WINDOWS%\system32\winhelper86.dll
  5. %WINDOWS%\system32\winlogon86.exe
  6. %WINDOWS%\system32\winupdate86.exe
  7. %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Security 2020.lnk
  8. %UserProfile%\Desktop\Internet Security 2020.lnk
  9. %UserProfile%\Start Menu\Internet Security 2020.lnk

Записи реестра (Пуск -> Выполнить — regedit), которые нужно удалить:

  • HKEY_CURRENT_USER\Software\IS2010
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Internet Security 2020″
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “winupdate86.exe”

Ручное удаление — достаточно опасная операция, да и может быть не особо эффективной — если некоторые файлы скрыты либо автоматически восстановятся «червяком» после «операции». Потому настоятельно рекомендую воспользоваться утилитой, которая сделает все за вас ;)

Ссылка на утилиту для автоматического удаления для тех, кто не понял, что по предыдущей ссылке ее можно скачать ;)

Удачной работы в сети! Надеюсь, я вам немного помог ;)

Кстати, если вам нужен трансформатор ТМГ для подстанции... да забирайте! ))