Компьютерра - Цифровой журнал «Компьютерра» № 2
Но это только поначалу. Факевар при самоинсталляции прописывает себя в самых непредсказуемых и нетрадиционных местах (каких, скоро узнаете), и лишь после этого включает свой дьявольский механизм вымогательства. Поскольку никакого формального вредительства факевар не предпринимает, то на него не реагируют ни антивирусные пакеты, ни программы для борьбы с троянами. Не беспокойтесь, в процессе демонстрации я назову своими именами всех задействованных персонажей, дабы читатель избежал лишних хлопот и не тратил время понапрасну: никакие антивирусы и антитрояны в борьбе с факеварами не помогают. Гадость удаляется только ручками!
Это — весьма ценное наблюдение, поскольку на поиск специализированных программ, заточенных на удаление факеваров, у меня ушло больше всего времени. Лишь удостоверившись, что ничего не помогает, я перешел к мануальной терапии, которая хоть и муторна, но единственно действенна.
Итак, знакомьтесь: мразь № 1, побившая все рекорды назойливости а начале осени 2009 года (вполне вероятно случалась и ранее, не проверял, однако масштаб эпидемия получила явно только сейчас), называется uFAST Download Manager. Научная кличка — Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb (по Касперскому) или BehavesLike: Trojan.UserStartup (BitDefender). Пик активности этого вымогателя пришёлся на 30 и 31 октября.
uFast Download Manager изображает из себя крутой «ускоритель загрузок», который вы якобы добровольно установили (на самом деле никто ничего не устанавливает — факевары распространяются интернет-рекламой и троянами), а затем «нарушили лицензионного соглашение программы», а потому в отместку программа заблокировала ваш доступ в Интернет. Мне лично мотив вымогательства очень нравится, потому как прекрасно коррелирует с нравственной парадигмой борцов за авторские права на электронную продукцию. Само же вымогательство примитивно как только и бывает у напёрсточников: «Чтобы получить регистрационный код, отправьте смс с кодом wf17999 на номер 7122».
Интересно было бы узнать у несчастных ламеров, которые купились на разводку и отправили смс, сколько содрали с их мобильного счета: 100 рублей? 500? 1000? Ну да ладно: честно надеюсь, что у вменяемых людей до отправки смс всё-таки дело не доходит.
Как бы там ни было, uFast Download Manager работать нормально не позволяет, окно с вымоганием денег постоянно маячит на переднем плане экрана. В отчетах антивирусных компаний зафиксированы даже случаи блокировки «Диспетчера задач».
Уничтожение гниды проводится в четыре этапа:
1. Скачиваем замечательную бесплатную утилиту AZV (http://z-oleg.com/avz4.zip)
2. Копируем в буфер обмена вот такой небольшой текст скрипта:
var
SP: string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders','Startup');
QuarantineFile(SP+ zavupd32.exe',);
QuarantineFile(%UserProfile%applic~1ufastd~1propet~1.exe',);
DeleteFile(%UserProfile%applic~1ufastd~1propet~1.exe');
DeleteFile(SP+ zavupd32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
3. Вставляем этот скрипт (через Ctrl + V) в утилиту AZV и выполняем его по алгоритму, детально описанному по этому линку — http://virusinfo.info/showthread.php?t=7239
4. После перезагрузки мы проверяем работу Интернета. В 9 случаев из 10 коннекта не будет, потому что гнида uFast Download Manager уже успела покоцать сетевой адаптер. Поэтому отправляемся в «Диспетчер устройств» Windows и удаляем сетевой адаптер. Нажимаем на кнопку обновления конфигурации, адаптер вновь обнаруживается и устанавливается в систему уже в рабочем состоянии.
Ничего кроме описанного выше способа (с благодарностью ресурсу http://virusinfo.info!) в борьбе с uFast Download manager не помогает: популярные антивирусные пакеты и антитрояны с ним не справляются.
Второй факевар, напившийся моей кровушки уже в середине ноября, рядил себя под антивирусную программу. Называется стильно — SecurityTool.
Гнида симулирует поиск инфекции на компьютере и «находит» её — кто бы сомневался! — в невообразимом количестве. На одном из зараженных домашних ноутбуков «было» аж 20 троянов, вирусов, шпионов, червей и рекламных модулей! Изобилие «отловленной» инфекции рассчитано, видимо, на истероидных юзеров, которые столкнувшись с подобным букетом сразу же ринутся покупать волшебный SecurityTool. Благо ходить далеко не нужно: тут же в окне услужливо размещена форма для оплаты банковской карточкой.
Удаление этого факевара прошло не столь гладко, как uFast Download Manager. Ни рекомендованные почтенным ресурсом http://fakeware.ru Malwarebytes' Anti-Malware, ни Spyware Doctor не помогли. Первая программа вроде что-то обнаруживала (SecurityTool появлялся в списке присутствующих на компьютере гадов), но после процедуры исправления и перезагрузки вымогатель появлялся снова.
Опять же, помогла только работа ручками. Алгоритм следующий.
Остановите процессы фальшивого Security Tool:
1. Останавливаем через «Диспетчер задач» процесс, запускающий факевар. Разумеется в «Диспетчере» он не представлен под прозрачным именем (типа securitytool.exe или security.exe), а скрывается под несуразностью типа 4946550101.exe. Это числовое имя дает ресурс http://fakeware.ru, однако факевар явно мутирует, потому что на ноутбуке, который я лечил, цифры были другие. Какие — уже не помню, но это и не важно — цифровое имя исполняемого exe-процесса в вашем списке (не дай бог — подхватите!) будет в единственном роде.
2. Удаляете из реестра следующие ключи SecurityTool:
HKEY_CURRENT_USERSoftwareSecurity Tool
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun «4946550101»
У меня опять же, цифры были другими и записи в реестре оказались в иных местах, но и это не имеет значения: сначала через F3 вы проводите поиск на «SecurityTool» в слитном написании, затем в раздельном («Security Tool»), и все ключи удаляете. Затем отправляетесь в раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun, в котором перечислены программы автозагрузки и находите в списке процесс с тем именем, который вы удалили в пункте 1 данного алгоритма.
3. Заключительный этап — удалите все файлы и директории SecurityTool:
%UserProfile%Application Data46550101
%UserProfile%Application Data4655010146550101.bat
%UserProfile%Application Data4655010146550101.cfg
%UserProfile%Application Data4655010146550101.exe
%UserProfile%DesktopSecurityTool.lnk
%UserProfile%Start MenuProgramsSecurityTool.lnk
%UserProfile% — это имя, под которым вы работаете на своем компьютере. В Application Data4655010146550101.[1]
Такие вот замечательные факевары пришли на наши компьютеры. С ужасом догадываюсь, до какой изощренности дойдут вымогатели на следующих этапах разработки своих поделок. Впрочем, меня лично это уже вряд ли коснется, потому как — читатели онлайн уже в курсе — я с «Винды» таки-соскочил — на 20-м году пользования компьютерами! И перешёл на Мак. Как там у меня сложится, ещё не знаю, но по крайней мере от вирусов и прочей нечисти надеюсь отдохнуть.
Кивино гнездо: Симулятор религии
В своих «Письмах с Земли» Марк Твен написал о нашей природе примерно так: «Человек — это религиозное животное. Это единственное религиозное животное. Это единственное животное, имеющее Истинную религию — причем не одну. Это единственное животное, которое любит ближнего своего как себя самого, и перережет ему горло, если разойдется с ним в богословских вопросах»…
Суть религиозных распрей, раскалывающих человечество и порождающих океаны насилия, подмечена, что называется, не в бровь, а в глаз. С одной стороны — неиссякаемые проповеди о человеколюбии с наставлениями душ людских на благие мысли и достойные дела, а с другой — века и тысячелетия жестоких смертоубийств во имя утверждения очередной самой истинной религии.
Осмысливая этот удивительный парадокс бытия человеческого, никак невозможно проигнорировать феноменально популярную ныне продукцию видеоигровой индустрии. Потому что и здесь, при выборе надлежащего ракурса, компьютерные игры заслуженно считаются мощными средствами обучения, через всевозможные симуляторы способными прививать геймерам самые разные полезные навыки и знания. Ну а если посмотреть иначе, то мало что из массовых развлечений может тягаться с видеоиграми по масштабам и концентрации насилия на единицу затраченного времени.
Другими словами, религия и видеоигры похожи до такой степени, будто являются зеркальным отражением друг друга. Отсюда сама собой напрашивается мысль, что эти два мира совсем несложно было бы объединить для всеобщей пользы и удовольствия. Например, с помощью продвинутых игровых религиозных симуляторов учить людей доброте и гуманному разрешению непростых моральных проблем, то и дело возникающих в жизни. Или прививать терпимость к окружающим, даже если их внешний вид, обычаи и верования существенно отличаются от ваших собственных. Ну а присущую человеку склонность к насилию при этом ненавязчиво трансформировать во что-нибудь куда более миролюбивое — типа разрешения конфликтов с помощью спортивных состязаний, к примеру. (Не так давно в одной из африканских стран очередную вспышку гражданской войны удалось погасить организацией футбольного матча между сильно повздорившими этническими группами…)