Subscribe feed

Адмысловец ЛК вучыць дужацца з вірусам-шантажыстам

29 красавіка 2009

Адмысловец Лабараторыі Касперскага Алег Зайцаў апублікаваў нататку аб тым, як мага дужацца з вірусам-шантажыстам.

Сямейства Trojan-Ransom.Win32.Blocker з'яўляецца класічным прыкладам шкоднасных праграм, прызначаных для шантажу і вымагальніцтвы. Пры ўсталёўцы на кампутар яны прапісваюцца ў аўтазагрузку, у ключ рэестру [SoftwareMicrosoftWindows NTCurrentVersionWinlogon], параметр "Userinit", у выніку чаго блакуюць запуск АС. Атрымаўшы кіраванне на запуску АС, зловреды адлюстроўваюць акно з патрабаваннем адправіць SMS з вызначаным тэкстам на паказаны кароткі нумар. У адказ карыстачу абяцаюць выслаць код разблакоўкі, які адключыць шкоднасную праграму і разблакуе загрузку кампутара.

Сам па сабе Trojan-Ransom.Win32.Blocker нескладана выдаліць пры дапамозе AVZ, AVPTool або ўручную з рэдактара рэестру, але ёсць адна праблема — загрузка ПК блакаваная, і карыстач не можа атрымаць доступ да працоўнага стала і запусціць якія-небудзь праграмы або ўтыліты. Абаронены рэжым Windows таксама заблакаваны.

"Мне стала цікава, ці ўсё так безнадзейна і ці можа карыстач зрабіць штосьці без спецсродкаў, Live CD і адмысловых тэхнічных ведаў?", - задаўся пытаннем Алег Зайцаў. У выніку пошукаў быў выяўлены даволі просты алгарытм. Спачатку неабходна націснуць камбінацыю WIN-U, што выкліча акно адмысловых магчымасцяў, намаляванае на малюнку.

Яно валодае вельмі высокім прыярытэтам і не блакуецца траянам. У якое з'явілася акне выбіраем экранную лупу, а ў акенцы дадзенай прылады клікаем на гіперспасылку "Вэб-вузел Майкрасофт". Гэта прывядзе да запуску IE, з якога можна загружаць любыя гаючыя ўтыліты, тыпу AVZ або AVPTool, і запускаць праграмы з кружэлкі ПК (у радку адрасу можна паказаць любую праграму), online-сканар і т.п.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100