ВИРУСЯТИНА
Как работает вирус*
В винде сидит простенький модуль, который делает следующие вещи:
- Не даёт запустить диалоговое окно для запуска программ (однако, это окно можно вызвать из диспетчера задач, меню Файл → Новая задача (Выполнить...))
- Не даёт запустить редактор реестра
- Следит за целостностью своих изменений в реестре
- Изменяет локальный резолвер (файл system32\drivers\etc\hosts), подменяя адреса одноклассников и вконтакта на сторонний IP и блокируя обновление антивируса касперского. Причём делает это с юмором: расставляет кучу пустых строк и пробелов, чтобы при открытии файла и беглом просмотре не обнаружить изменений.
- Следит за целостностью своих изменений в файле hosts
Модификацию вируса, с которой разбирался я, на момент лечения не обнаруживал ни один из популярных антивирусов.
* Вирус постоянно модифицируется. Информация о его работе может оказаться устаревшей, несмотря на то, что эта заметка постоянно дополняется.
Что важнее: процедура лечения — не изменилась. Она стандартная.
Как лечить
1. Скачать свежий Dr.Web CureIt! и просканировать им систему. Там где есть один вирус, могут быть и другие. В любом случае хуже точно не будет.
2. Скачать и запустить любой сторонний редактор реестра (например, RegWorks 1.3.3). В нём надо посмотреть значение ключа
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
Обычно в этом ключе лежит путь к системному файлу userinit.exe (например, C:\WINDOWS\system32\userinit.exe). В нашем случае сюда записан ещё и путь к вирусу, через запятую. Запоминаем путь и имя исполняемого файла.
3. Убиваем вирусный процесс. Чтобы не ошибиться можно воспользоваться утилитой ProcessExplorer, она показывает пути к файлам. Но можно и из диспетчера задач.
После этого удаляем вирусный файл и восстанавливаем ключ реестра.
4. Чистим файл hosts из %windir%\system32\drivers\etc\. В нём должна остаться единственная запись:
127.0.0.1 localhost
Ещё раз заостряю внимание: изменённый вирусом, этот файл содержит кучу пустых строк и пробелов. То есть, внешне (если открыть через блокнот) может выглядеть нормальным (если не обращать внимание на полосы прокрутки). Для надёжности имеет смысл его вообще удалить и создать новый с таким же названием.
Второй важный момент: по умолчанию в системе не отображаются скрытые и системные файлы, но hosts не является ни скрытым, ни системным. В некоторых случаях вирус скрывает настоящий файл, а рядом создаёт ещё один, видимый, но с русской буквой «о» в названии. При этом вирус может блокировать отображение скрытых и системных файлов.
Правка файла с русской буквой в имени ни к какому результату, естественно, не приведёт.
Для того, чтобы гарантированно открыть настоящий hosts, необходимо выполнить (System+R) команду:
ejaVu Sans Mono', 'courier new'; padding-left: 32px; border: 1px solid #ddddee; line-height: 19.5px; font-size: 13px; background-color: #eeeeff;">notepad %windir%\system32\drivers\etc\hosts
которую нужно набрать от руки.
4*
Также поступила информация, что вирус может заменить DNS в настройках сети, не трогая файл hosts.
Смысл — тот же: подменить официальный адрес сайта на «левый».
Строго рекомендуется проверить сетевые настройки и сравнить их с провайдерскими.
Дополнительная информация: Где Windows хранит IP-адреса.
5. Очищаем локальный кэш DNS. Для этого набираем в командной строке:
ejaVu Sans Mono', 'courier new'; padding-left: 32px; border: 1px solid #ddddee; line-height: 19.5px; font-size: 13px; background-color: #eeeeff;">ipconfig /flushdns
Запуск командной строки:
Пуск → Выполнить (или System+R), команда «cmd»
Дело в том, что система кэширует полученные из DNS адреса, для ускорения обработки запросов. Кэшируются и записи из hosts. То есть, несмотря на то, что файл почищен, вредоносные записи могут ещё использоваться какое-то время.
При нормальной работе системы эти записи должны будут удалиться автоматически и достаточно быстро (~1-3 мин.), но для надёжности лучше очистить кэш вручную.
Подробнее про очистку кэшей сетевых адресов можно прочитать здесь.
Перезагружаться нет необходимости, всё должно заработать сразу.
⚠ Если вы всё сделали по инструкции, но ничего не помогло — задайте свой вопрос в комментариях.
При этом помните: чем подробнее вы опишете проявления вируса и свои действия по его лечению, тем больше вероятность, что вам помогут.
Как не надо делать
Некоторые персонажи в интернете советуют удалять всю папку etc. Делать это категорически нельзя, несмотря на то, что это и правда помогает.
Дело в том, что в etc находятся служебные системные файлы, к которым система периодически обращается. После удаления папки каждое такое обращение будет завершаться с ошибкой. Восстанавливать эту папку (как, например, %TEMP
система не умеет, восстанавливать файлы в ней — тоже.
В итоге удаление всего каталога etc может привести к непредсказуемым последствиям.
Пример модифицированного файла hosts
Для удобства я удалил лишние пробельные символы, разбил содержимое на два блока и убрал однотипные записи из второго.
193.218.156.156 www.vkontakte.ru 193.218.156.156 www.vk.com 193.218.156.156 vkontakte.ru 193.218.156.156 vk.com 193.218.156.156 www.odnoklassniki.ru 193.218.156.156 odnoklassniki.ru 127.0.0.1 downloads.kaspersky-labs.com 127.0.0.1 downloads0.kaspersky-labs.com #........ 127.0.0.1 downloads10.kaspersky-labs.com 127.0.0.1 dnl-geo.kaspersky-labs.com 127.0.0.1 dnl-00.geo.kaspersky.com #........ 127.0.0.1 dnl-20.geo.kaspersky.com
Второй блок не даёт обновляться антивирусу касперского.
Первый блок перенаправляет любые запросы к одноклассникам и вконтакту на ip-адрес 193.218.156.156. Это один из первых адресов, которые использовали злоумышленники. Он был заблокирован за считанные дни, а в заметке оставлен только для примера.
Дополнительно
Провайдеры (и хост-провайдеры) обычно дорожат своей репутацией и оперативно блокируют мошенников. Поэтому ip-адреса для перенаправлений меняются очень часто, и отслеживать их — бессмысленно. Пусть этим занимаются правоохранительные органы.
