02:56 - Суббота, 27 ноября 2021г.

Обзор баннера-блокера Windows

Данный экземпляр распространяется в качестве обновления для flash-плеера. Сразу же после окна приветствия Windows появляется окно с сообщением, написанным с ошибками, в котором описано требование пополнения счета мобильного телефона 8-989-722-70-77.

В то же время, блокируется taskmgr.exe и explorer.exe (панель задач, рабочий стол и пр.). Даже в безопасном режиме эта картина повторяется. В общем, известный всем блокер. Начинаем подчистку, и отыскиваем в системном реестре ключ shell, в нем прописан «xxxvideo.avi.exe» полным путем. Этот файл попадает на компьютер пользователя достаточно простым способом:

  1. На определенном веб-сайте, юзеру предлагается обновление его flash player’а, дабы указанное видео/веб-приложение «заработало».
  2. Для большей надежности, пользователю предлагается инструкция (с содержанием ссылок).
  3. С указанной ссылки выполняется загрузка файла install_flashplayer10_mssa_aih.exe.
  4. Выполняется скрытое скачивание файла xxxvideo.avi.exe, в реестре прописываются shell ключи.
  5. Якобы для успешного завершения установки, требуется перезагрузка компьютера.

После перезагрузки машины начинается описанное вначале. Итак, фигурируют два бинарных файла xxxvideo.avi.exe и install_flashplayer10_mssa_aih.

install_flashplayer10_mssa_aih.exe

Размер данного бинарного файла составляет 731 424 байта, его md5: 6a3d1fb144102cdf2bfd1294d0a5de9b. Данный файл запаролен ZIP SFX (самораспаковывающимся архивом). Внутри лежат xml-файлы и js-скрипты. После запуска выполняется обращение к url адресам httppornhouse4.ru и housevideo1.ru. В silent-режиме оттуда осуществляется загрузка второго бинарного файла — xxxvideo.avi.exe и производится прописывание в реестре ключа shell, который после изменений указывает на этот же самый скачанный файл.

xxxvideo.avi.exe

Размер данного бинарного файла составляет 1 639 936 байт, его md5: e9ceceee6cdc86aa52fd54484b7eecce. Он то и производит выдачу сообщения, в котором выдвигаются требования для разблокировки операционной системы. Именно этот файл регулярно проверяет в реестре злополучный ключ shell, он же и запускается вместо explorer.exe.

Теперь о том, как компания Доктор Веб советует излечить инфицированную систему, пишет NiceSEO о нас и наших рекомендациях.

Загружаемся с любого LIVE-CD, для редактирования открываем системный реестр локальной машины, ищем раздел: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon и здесь уже, в ключе shell ищем полный путь к файлу xxxvideo.avi.exe. Следуем по указанному пути, выполняем удаление файла, а ключ реестра следует исправить на прежний — explorer.exe.

Для надежности, после этого, можно прибегнуть к утилите avz и выполнить восстановление ключа запуска. Далее выполняем перезагрузку компьютера. Все должно отлично работать, как и до инфицирования.

Опубликовано в рубрике: Безопасность

Использование клиентской базы с Арамба и правила смс рассылок
Главные правила антивирусной защиты компьютера
Уже скоро в Facebook моявятся голосовые сообщения