Слово о ПК и PC, или Хроника рефлексирующего сисадмина

11 подписчиков

Achehe.exe = faebec4a.exe = вирус…

8 ноября 20248 ноя 2024

5 мин

*** …Автор статьи на многих флешках и ПК часто обнаруживает вирус – Achehe.exe (faebec4a.exe). Исследование показало, что вирус является сетевым червем (с характерными признаками трояна), предназначенным для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: KERNEL32.dll (GetStartupInfoA, LoadLibraryA, GetModuleHandleA), USER32.dll (IsWindowEnabled, EnableWindow, IsWindowVisible, DrawTextA, GetWindowRect), GDI32.dll (GetDeviceCaps, CreateRoundRectRgn, CreateCompatibleBitmap, GetStockObject, CreateDCW), OLEAUT32.dll, MSVCRT.dll (_except_handler3, _acmdln, __p__fmode, _exit, _adjust_fdiv, __setusermatherr, __p__commode, strcmp, exit, _XcptFilter, __getmainargs, _initterm, _controlfp, __set_app_type). Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Распространяется с помощью Глобальной, локальных, p2p-сетей, а также съёмных носителей (в том числе – флешек

***

…Автор статьи на многих флешках и ПК часто обнаруживает вирус – Achehe.exe (faebec4a.exe).

Исследование показало, что вирус является сетевым червем (с характерными признаками трояна), предназначенным для 32-битной платформы ОС Windows с процессором x86.

Осуществляет импорт системных библиотек: KERNEL32.dll (GetStartupInfoA, LoadLibraryA, GetModuleHandleA), USER32.dll (IsWindowEnabled, EnableWindow, IsWindowVisible, DrawTextA, GetWindowRect), GDI32.dll (GetDeviceCaps, CreateRoundRectRgn, CreateCompatibleBitmap, GetStockObject, CreateDCW), OLEAUT32.dll, MSVCRT.dll (_except_handler3, _acmdln, __p__fmode, _exit, _adjust_fdiv, __setusermatherr, __p__commode, strcmp, exit, _XcptFilter, __getmainargs, _initterm, _controlfp, __set_app_type).

Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Распространяется с помощью Глобальной, локальных, p2p-сетей, а также съёмных носителей (в том числе – флешек, карт памяти цифровых фотокамер и плейеров – при подключении их к заражённому ПК).

«Визитная» карточка вируса:

Version language: Italian

FileVersion: 2, 0, 8, 1

ProductVersion: 2, 0, 8, 1

Target OS: Win32 API (Windows NT) (0x40004)

Character Set: 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)

***

Деструктивные действия вируса

При заражении системы посредством съёмных носителей, в корневой директории флешки создаётся каталог RECYCLER (имеет атрибуты Скрытый, Системный, Только для чтения);

– в этот каталог копируются 2 файла – faebec4a.exe (262 144 байт; исполняемый файл вируса; имеет атрибут Скрытый) и Desktop.ini (63 байт) с содержимым:

[.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E};

– всем папкам в корневой директории съёмного диска присваиваются атрибуты Скрытый, Системный;

– чтобы пользователь ничего не заподозрил, для запуска каждой папки создаётся ярлык;

– в диалоговом окне Свойства каждого ярлыка на вкладке Ярлык в текстовом поле Объект прописывается команда запуска скрытой папки, например, %windir%\system32\cmd.exe /c "start %cd%RECYCLER\faebec4a.exe &&%windir%\explorer.exe %cd%страх.свид;

– в каталог \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7+ – в каталог \Users\Имя_пользователя\AppData\Roaming\) копируется исполняемый файл вируса Achehe.exe (262 144 байт; имеет атрибут Скрытый). Иконкой исполняемого файла вируса выбрано изображение замка;

– для обеспечения автоматического запуска вируса и внедрения его в системные процессы в разделе Реестра

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] создается строковый (REG_SZ) параметр Achehe, значением которого является путь к исполняемому файлу вируса – \Documents and Settings\Имя_пользователя\Application Data\Achehe.exe (в Windows Vista и Windows 7 – \Users\Имя_пользователя\AppData\Roaming\Achehe.exe);

– при загрузке операционной системы вирус внедряется в адресное пространство Проводника Windows (Explorer.exe) и системных процессов svchost.exe, alg.exe, smss.exe, winlogon.exe;

– вирус отслеживает подключаемые к заражённому ПК съёмные носители (при подключении копирует на них вышеуказанный скрытый каталог RECYCLER, содержащий исполняемый файл вируса faebec4a.exe);

– …

***

Как ликвидировать вирус и устранить последствия вирусной атаки

Отключитесь от Интернета и от локальной сети;

– загрузите Windows в Безопасном режиме (Safe Mode) (если не удаётся загрузить Безопасный режим, для удаления исполняемого файла вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);

– в каталоге \Documents and Settings\Имя_пользователя\Application Data\ (WindowsXP, в Windows Vista и Windows 7 – в каталоге \Users\Имя_пользователя\AppData\Roaming\) удалите исполняемый файл вируса Achehe.exe;

– запустите Редактор реестра Windows:

• Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK;

• Windows Vista: нажмите Пуск, в текстовое поле Начать поиск (в Windows 7 – Найти программы и файлы) введите regedit;

– в появившемся перечне нажмите правой кнопкой мыши regedit.exe;

– из контекстного меню выберите Запуск от имени администратора;

– введите пароль, если появится соответствующий запрос;

– в открывшемся окне Редактор реестра откройте раздел

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];

– удалите строковый (REG_SZ) параметр Srvcvu со значением \Documents and Settings\Имя_пользователя\Application Data\Achehe.exe (в Windows Vista и Windows 7 – \Users\Имя_пользователя\AppData\Roaming\Achehe.exe);

– закройте Редактор реестра;

– в корневой директории заражённого съёмного диска удалите каталог RECYCLER (вместе с содержимым);

– удалите ярлыки папок в корневой директории съёмного диска;

– с помощью файлового менеджера Total Commander уберите у оригинальных папок в корневой директории съёмного диска атрибуты Скрытый, Системный:

– поочерёдно выделяя папки, выберите меню Файлы –> Изменить атрибуты…;

– в окне Изменение атрибутов уберите затемнение в чек-боксах Скрытый, Системный, Только для чтения –> OK;

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;

– очистите историю посещений;

– очистите кэш интернет-файлов;

– при необходимости измените стартовую страницу веб-браузера на первоначальную;

– при необходимости восстановите оригинальный hosts-файл;

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

***

Примечания

1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно обновляемыми базами.

3. Почаще делайте резервное копирование важной информации.

4. Отключите автозапуск компакт-дисков, съёмных дисков и флешек.

5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!