Троян, выдающий себя за продукт Лаборатории Касперского

alexxx523

Гость города
#1
Лаборатория Касперского информирует о появлении троянской программы, выдающей себя за несуществующий антивирусный продукт компании

Общие сведения

Троянская программа, требующая отправки платного SMS-сообщения для «излечения» от некого не существующего в реальности «вируса», попадает на компьютер пользователя посредством спам-рассылки или при помощи зараженного сменного носителя (например, флэш-диска). Данная вредоносная программа, получившая название Trojan-Ransom.Win32.SMSer, устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки зараженного компьютера. После перезагрузки, стартовав вместо процесса explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени Kaspersky Lab Antivirus Online с требованием отправить платное SMS-сообщение для излечения системы. Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до «смены алгоритма шифрования обнаруженного вируса». При этом сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой, в том числе и до менеджера задач.

<img src="http://southwc.ru/1/4/thumbs/vviu_755683443-b-v_djtriton_-viu-_b-456312.gif" border="0" alt="Изображение" />

Очевидно, что вирусописатели решили воспользоваться именем Лаборатории Касперского, чтобы придать своим требованиям видимость законности, однако внимательный пользователь может заметить, что сообщение о «вирусной угрозе» изобилует грамматическими и орфографическими ошибками и не может являться сообщением легитимного антивирусного решения. Кроме того, подобный способ «оповещения о вирусах» совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством.

Лаборатория Касперского в очередной раз хотела бы предостеречь пострадавших пользователей от перечисления денег вымогателям: вредоносное ПО все равно останется на компьютере пользователя, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.

Все известные версии данной вредоносной программы успешно детектируются и удаляются продуктами Лаборатории Касперского.

Рекомендации по лечению зараженного компьютера

* Если на вашем компьютере установлен один из продуктов Лаборатории Касперского, то
o обновите антивирусные базы (сигнатуры угроз)
o запустите полное сканирование компьютера
o следуйте рекомендациям антивирусной программы
* Если на вашем компьютере не установлен продукт Лаборатории Касперского, то
o скачайте бесплатную утилиту по борьбе с вирусами Kaspersky Virus Removal Tool 7.0: http://support.kaspersky.ru/viruses/avptool?level=2
o запустите утилиту
o на закладке Автоматическая проверка выберите области проверки компьютера
o нажмите кнопку Поиск вирусов: http://support.kaspersky.ru/avptool/main?qid=208636129
o следуйте рекомендациям утилиты
* Если на вашем компьютере не установлен продукт Лаборатории Касперского и нет возможности подключиться к сети Интернет, то
o в окне Kaspersky Lab Antivirus Online введите код 5748839
o откройте папку C:\WINDOWS\SYSTEM32\
o найдите файл USER32.EXE
o переименуйте файл USER32.EXE в файл USER33.EXE
o перезагрузите компьютер
o удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\
o нажмите кнопку Пуск
+ если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter
+ если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK
o раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
o удалите ключ реестра DisableTaskMgr
o раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o найдите и откройте ключ Shell
o удалите значение user32.exe
o нажмите кнопку ОК
o закройте редактор реестра
o если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей
Источник: http://support.kaspersky.ru/viruses/common?qid=208636874