Останнім часом віруси, що вимагають відправки смс, стали у зловмисників дуже популярним і прибутковим видом відбирання грошей. В наслідок цього з'явилося дуже багато різновидів смс вірусів. Тут не тільки віруси, що вимагають смс за перегляд сайтів порно тематики, а й маскування під установку і оновлення програм, блокування системи через неліцензійного використання і так далі і так далі. Все розмаїття різновидів у вигляді скріншотів можна спостерігати тут , Наприклад.

Ще одна проблема в тому, що заражений користувач, вирушаючи до одного пошукати в інтернеті рішення своєї проблеми, натикається в мережі на опис окремих випадків свого нещастя. А враховуючи, що розвиток і поширення цього фокусу триває, варіантів цих приватних рішень стає з кожним днем ​​все більше.

Тому в цій статті я опишу не приклад рішення одного різновиду смс вірусу, а опишу принцип роботи і основні характеристики всієї групи. Але спочатку я розповім про деякі необачних кроків, які роблять користувачі в подібних ситуаціях.

1. Заплатити - врахуйте, що при оплаті, навіть якщо все пройде успішно, все шкідливе ПО залишиться на вашому комп'ютері. Хто знає, як воно написано, може в нього закладено повторне спрацьовування через тиждень після оплати. До того ж вартість смс за фактом оплати зазвичай виявляється на 50-100% більше заявленої.
2. Знайти код розблокування - генератори кодів є на сайтах розробників провідних антивірусних рішень (Касперський, Доктор Веб та інші). Знову ж після розблокування можна заспокоїтися, а вірусне ПО нікуди не поділося, просто зникло інформаційне вікно.
3. Перевстановити систему - а через пару днів знову зловити схожий вірус. Так можна цілодобово заново. Це не вихід. Треба вміти вирішувати проблему. А перевстановлення - це все-одно що боротися з домашніми гризунами, спалюючи будинок. Нелогічно, чи не так?

Тепер докладніше про смс віруси. З чим, власне, доводиться мати справу? Причина, по якій ви постійно бачите вірусне повідомлення про відправку смс - порушена робота графічної оболонки системи. Все, що ви бачите (значки, папки та інше) отрісовивается спеціальної системної програми. У windows це системний процес explorer.exe. А смс вірус являє собою відладчик цього процесу.

Базою даних системи (там де записано все, що стосується роботи системи і програм) є системний реєстр windows. У реєстрі є параметр Shell (оболонка). Там записано - Яка програма відповідає за отрисовку графічного оточення. Після зараження найчастіше відбувається правка цього запису. Смс вірус прописує в Shell себе замість explorer.exe.

Натисніть на зображення, щоб побачити скріншот повністю і зверніть увагу на місцезнаходження відладчика (керуючої програми) і її назва.

Сам відладчик (тіло смс вірусу) копіюється в різні місця, але найчастіше в системні папки system32 або Temp, а також тимчасові папки в профілях користувачів. Папки користувачів знаходяться за адресою:

C: / Documents and Settings / Користувач

Шляхи до вищезазначених папок:

C: / WINDOWS / system32
C: / WINDOWS / Temp
Користувач / Local Settings / Temp
Користувач / Local Settings / Application Data / Temp

У ряді випадків смс вірус встановлює на комп'ютер конкретне програмне забезпечення, яке відображається в списку встановлених програм і знаходиться в папці Program Files. Воно ж прописується в автозапуск і запускається разом з системою. Функції, крім трансляції банера, можуть бути різні від блокування виклику диспетчера задач до блокування пристроїв введення. Папка автозавантаження знаходиться в папці користувача за адресою:

Користувач / Головне меню / Програми / Автозавантаження

Місце проживання та принцип роботи смс вірусу ми визначили. Тепер розберемося як з цим боротися. Оскільки вірус блокує можливість роботи в системі, видаляти його треба ззовні. Тобто або заходити з Live-CD, або нести диск до знайомого, підключати до комп'ютера і шукати зловреда. Підійде будь-який Live-CD, якщо ви вперше чуєте це слово, пораджу нормально русифікований і не вимогливий до ресурсів Lubuntu Live-CD .

Після отримання доступу до жорсткого диска потрібно почистити всі тимчасові папки зараженої системи і папку автозавантаження. Якщо дозволяє рівень компетенції, можна оглянути і папку system32 на предмет дивних файлів, наприклад dll-бібліотек з іменами на кшталт

aaaaaaa.dll

або exe-файлів близнюків на зразок фірм-підробок Adadas (Adidas)

userinit.exe - системний процес usrinit.exe - маскується зловредів

Переглянути папку Program Files на предмет наявності папки з ім'ям, що збігається з назвою програми, зазначеної в банері (на кшталт Digital Access, якщо згадка присутній). Потім пробувати грузиться. Найчастіше після чистки банер зникає, однак разом з ним зникає і графічне середовище, оскільки керуюча оболонкою програма (відладчик) вже відсутня, а запис у реєстрі все ще є. Тепер треба виправити реєстр. Оскільки робочий стіл порожній

викликаємо диспетчер задач поєднанням клавіш Ctrl + Shift + Esc

У правому нижньому кутку тиснемо кнопку Нове завдання і у вікні вводимо

explorer - відкриється папка control - панель управління regedit - редактор реєстру

Через папку можна полазити по windows. Панель управління може допомогти зберегти настройки (наприклад мережеві). Редактор реєстру допоможе відновити правильне управління оболонкою через explorer. Для цього в редакторі треба буде відкрити гілку реєстру, зображену на малюнку нижче і змінити параметр Shell назад в значення explorer.exe

Після цього перезапускаємо систему, оновлюємо антивірус і запускаємо повну перевірку на предмет виявлення нечисті і надалі уважніше блукаємо по мережі.

Якщо матеріали сайту виявилися для вас корисними, можете підтримати подальший розвиток ресурсу, надавши йому (і мені) моральну і матеріальну підтримку .