Новости
Один з авторів, учасників українського форуму «Бiблiотека», Wladimir Mutel розповів свою історію про те, як він видаляв eKav antivirus з двох комп'ютерів. Він розповідає, що 06 січня видалив з двох незалежних машин цю заразу (eKav antivirus). З боку користувача, на його моніторі eKav antivirus виглядає, як звичайне нахабне вимагання - на екрані зараженого комп'ютера з'являється банер, що нагадує за стилем дизайну антивірус Касперського, і настійно вимагає вислати платну СМС на чотиризначний номер, і після цього система буде розблокована, інакше через коротке час комп'ютера користувача, слова вірус, стане дуже не солодко. Ніякі інші програми не запускаються. Банер eKav antivirus знаходиться поверх всіх вікон і не дає нічого робити.
перший випадок
На першому комп'ютері довелося завантажитися з Alkid SE і розшукувати на вінчестері недавно створені виконувані файли. Стер кілька нових бібліотек * .dll з призначеного для користувача профілю, презагрузіл комп'ютер в звичайний Windows - ніякого результаті, банер eKav antivirus не перестав з'являтися при запуску будь-якої програми. Знову завантажився з Alkid SE і в розділі системного реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows очистив значення AppInit_DLLs, відкривши при цьому гілку рєєст software на вінчестері по шляху \ windows \ system32 \ config \. У зазначеному місці було ім'я нічим не примітного файлу в \ windows \ system32 \ ... потім двокрапка і за ним випадковий підбір цифр, букв і розділових знаків.
Відомо, що в системі NTFS в комплекті з будь-яким файлом є можливість зберігати один або більше додаткових потоків інформації (технологія NTFS streams) з іменами, що додаються до імені батьківського файлу і вказуються через двокрапку від імені основного файлу. Також відомо, що операційна система Windows дає можливість виконувати команди, що містяться в цих потоках, при згадці їх у відповідних гілках реєстру або конфігураційних змінних. Автори вірусів і програм-вимагачів і eKav antivirus в тому числі знають про цю технологію і користуються нею.
Після такого очищення, при перезавантаженні Windows в звичайному режимі всі додатки стали запускатися і працювати, а eKav antivirus перестав себе як-небудь проявляти.
Після перевірки системи, додаток AutoRuns визначило, що в системі знаходиться ще один вірус з виконуваним файлом sdra64.exe. Для того, щоб позбутися від нього, треба було завантажитися з Alkid SE ще раз і видалити виконуваний файл з гілки \ windows \ system32 і в програмі Regedit стерти його зі списку Userlnit в розділі реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Після цих маніпуляцій залишився забороненим запуск утиліти Regedit, диспетчера задач і всіх тих, що були на машині антивірусних програм. Через Інтернет, який працював на той момент, була завантажена програма RegistryFix ( сайт програми ) І через неї був відновлений запуск програми Regedit. C допомогою цієї ж утиліти був заборонений запуск виконуваних файлів і потоків інформації в вищевказаних каталогах за допомогою механізму політик Windows XP, Safer. У розділі KEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers \ 0 \ Paths були вичищені всі підрозділи з каталогами, забороненими при проникненні вірусу. Після наступного перезапуску системи з'явилася можливість встановити і оновити Zillya, MBAM і за допомогою останнього просканувати всю машину. Сканування дозволило видалити залишки «заражених» файлів і відновити настройки реєстру, які були порушені шкідливою програмою eKav antivirus. Всі настройки додатків і дані були збережені, система була повністю працездатною.
другий випадок
На другому комп'ютері, який був вражений eKav antivirus за допомогою Alkid SE були видалені всі нові бібліотеках * .dll і вичищені AppInit_DLLs і Safer \ ... \ Paths. Після перезавантаження в звичайному режимі було встановлено MBAM, який просканував машину і допоміг стерти залишки шкідливих файлів і відновити настройки системного реєстру в їх попереднього стану.
домисли
1. Негідники, що випустили в світ eKav antivirus виявилися розумними людьми, що знають не тільки операційну систему Windows, але і психологію рядового користувача, що повірили в непогрішність антивірусних програм. Крім того, вони вгадали вихід eKav antivirus під новорічні канікули, коли він буде відразу виявлений тільки на домашніх комп'ютерах, а основна маса заражених машин, що знаходяться в офісах і на підприємствах, будуть включені тільки після 11 січня 2010 р Антивірусні бази поповнити з них буде неможливо, а більшість системних адміністраторів зі своїми мізерними знаннями не знатимуть, що робити з відкрилися банером eKav antivirus. І багато тисяч недосвідчених користувачів будуть посилати СМС-ки на короткі номери, зазначені на цих банерах. eKav antivirus залишатиметься дуже популярним в нашому суспільстві ще дуже довго.
2. Необхідно бути дуже обережним при відвідуванні сайтів кустарного виробництва на безкоштовних хостингах типу narod.ru, ukoz.ru, by.ru тощо. Треба вміти відрізняти корисний контент від шкідливих банерів, реклами, спливаючих вікон і банерів. Найкраще користуватися останньою версією Mozilla FireFox, який перевіряє всі сумнівні адреси по величезній централізованої бази корпорації Google.