Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.
В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе.
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
Компания «Доктор Веб» в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS.
В свою очередь мы рекомендуем установить последние критические обновления (KB885250, KB921883, KB923414) и воспользоваться инструментами для удаления опасных червей из системы
Удаление вируса.
Для того, чтобы что-то сделать, необходимо заранее "подстелить соломки". А именно - завести себе загрузочный CD, (Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.
Далее - дело техники:
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin - это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll - это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp - там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки "праздника" из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска "servises.exe"
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe" и убрать лишнее, то есть должно быть так: "C:\\WINDOWS\\system32\\userinit.exe"
Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности броузера. В частности данные вирусы, как предполагается, проникают через исполнение JavaScript. Хотя тут дело тонкое - его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.
Чего ни в коем случае не нужно делать
1. Высылать СМС - то есть платить деньги злоумышленникам
2. Переходить по сомнительным ссылкам, даже полученным от друзей
3. Открывать непонятные файлы, даже полученные от друзей