Немного про SMS-вирусы

Думаю, большинство из пользователей слышали о так называемых SMS-вирусах и возможно уже становились его жертвами. На самом деле к вирусу данную категорию программ отнести сложно, скорее она состоит в линейке вредоносного программного обеспечения, на которое антивирусы даже с самыми последними сигнатурами могут не всегда срабатывать.

Принцип их работы довольно прост. Большинство пользователей ОС Windows работают с системой под учетной записью администратора, естественно с полными правами доступа ко всему. Посещая ресурсы различной направленности, в том числе и взрослого характера всегда возникает заинтересованность в «интересном баннере» или всплывающем окне, с аналогичным содержимым. Как правило, при нажатии на любой элемент на подобном объекте появляется предложение об установке проигрывателя Adobe Flash на русском языке либо же другие заманчивые варианты, например бесплатного доступа к «запретному». Любопытство всегда приводит к негативным последствиям. Как результат, на компьютер загружается и устанавливается приложение, которое, используя системный реестр и набор нехитрых приложений, блокирует все основные органы контроля системы, такие как редактор реестра и менеджер задач, доступ в интернет и антивирусные программы, а также закрывает экран окном с предложением оплаты под тем или иным предлогом.

Обычно предлагается отправить текстовое сообщение на некий номер телефона, при этом рядом указана его стоимость и обещается активировать, разблокировать или активировать систему при помощи ответного ключа. Но в большинстве случаев стоимость сообщения не соответствует его реальной цене, и потенциальная жертва часто попадается на такую уловку.

Если вам дороги ваши деньги, сообщение не стоит отправлять ни под каким предлогом. Если зараза не хочет отступать, а, как правило, она этого не делает сама, можно попробовать несколько способов ее устранения. Первый и самый простой – этой найти ответный код, который требуется ввести в поле разблокировки. Для этого разработчики антивирусных продуктов из ЗАО Лаборатория Касперского и компания «Доктор Веб» создали специальные online-сервисы, где после ввода номера для отправки SMS и кода можно попытаться найти ответный пароль. Часто актуальная информация по кодам появляется на различных форумах, посему можно попробовать найти через Google ответ, введя все тот же номер телефона и ключевое слово для отправки в SMS. В некоторых случаях, когда доступ в сеть невозможен, можно попытаться воспользоваться специальной утилитой под названием RansomHide.

Она содержит достаточно актуальную информацию по ответным кодам разблокировки, которая берется с ресурсов выше. Кроме того, при запуске она автоматически перекрывает все другие активные окна. Правда ее все равно придется где-то скачать. Для таких случаев желательно иметь LiveCD с WindowsPE или Linux на борту.

При наличии LiveCD с Windows можно попробовать воспользоваться антивирусными средствами, такими как Dr.Web CureIt! или AVPTool. Естественно сборки должны быть последними и включать свежие антивирусные сигнатуры. (Здесь необходимо отметить и LiveCD от Dr.Web — a92)
После сканирования и обнаружения самого тела вредоносной программы, которые может прятаться как в системных, так и временных каталогах или корзине, следует изучить секцию автозапуска и других системных разделов, которые загружают основные службы драйверы и прочие компоненты. Оптимальное средство для этого приложение под названием Autoruns.

C данной программой необходимо быть крайне осторожным, так как невнимательность и удаление важного компонента может привести к последующему отказу в последующей загрузке системы. Пристальное внимание стоит удалять в первую очередь записям и ссылкам на файлы, для которых не указан издатель и описание. Это означает, что то или иное приложение и драйвер не имеют цифровой подписи, а, следовательно, могут быть чем угодно. Это не касается, например, архиватора WinRAR, и некоторых других мелких утилит. Кроме того, злоумышленники часто не утруждают себя добавлять хотя бы описание, и строка выглядит, как правило, «голой». Потому еще раз надо внимательно обращать на путь и раздел, в котором находится та или иная запись.

Кроме того, может потребоваться разблокировка диспетчера задач и редактора реестра. Для этих целей существует множество небольших приложений, например SP-Regedit-Unlock и SP-Task-Manager-Unlock.

От a92.Для справки: за это отвечают следующие ключи реестра:

Что касается непосредственно вирусов, которые передаются через ICQ, то таковых в принципе не существует. Есть только неосторожные пользователи, через учетные записи которых по существующему списку контактов рассылают спам в виде ссылок. А поскольку перед тем как что-либо открывать, надо думать, результаты всегда плачевные. Потому при получении любой ссылки в первую очередь обратите внимание на основной сайт. Если это файловый сервис для обмена файлами с предложением скачать EXE или же ссылка на анимированную картинку в формате GIF, лучше 10 раз переспросить у отправителя – что это. В некоторых случаях отвечать может БОТ, потому вопросы надо задавать нестандартные, можно банально спросить что-то из прошлого диалога.

В завершение желательно проверить файл «hosts», расположенный в каталоге «WINDOWS\system32\drivers\etc\», в котором не должно быть ничего лишнего, кроме закомментированной решеткой «#» шапки и записи «127.0.0.1 localhost».

В принципе данной информации должно хватить, чтобы предупредить и побороть практически любой подобный вирус или вредоносную программу. Однако безопасность компьютера зависит в первую очередь от бдительности и предупреждения заражению. Не стоит использовать один пароль на все учетные записи, почту и ICQ, да еще и самый простой, так как в случае заражения системы возможен его «угон», а дальше все зависит от желания злоумышленника.

Overclockers.ru