Как бороться с вредоносными программами

В этой статье автор делится своим опытом в борь­бе с рядом вредоносных программ, которые по­являются в Интернете практически регулярно.

«Баннер-попрошайка»

Одну из первых вредоносных программ я «поймал» 17 декабря 2009 г., скачивая книжки и программы. При этом некоторые сайты сбрасы­вали рекламу (в основном всякую муть: интернет- казино и порно). С какого сайта на мой ПК попала вредоносная программа-вирус iLite Net Accelerator определить не удалось. Окно (баннер) этой программы устанавливается поверх всех окон, блокирует исполнение почти всех про­грамм и требует денег, методом отправки SMS с кодом на определенный короткий номер. Для психологического воздействия в окне вируса ра­ботает таймер (красные цифры) с посекундным отсчетом на 3 часа. По истечении 3-х часов окно сбрасывается и появляется вновь при запуске большинства программ. Вредоносное ПО также выполняет следующие действия:

• препятствует запуску «Диспетчера задач» и «Редактора реестра»;
• навязчиво отображает баннер или перезагру­жает ОС при попытке запуска некоторых при­ложений;
• препятствует загрузке ОС в безопасном ре­жиме;
• противодействует запуску антивирусных ин­струментов;
• дезактивирует «Восстановление системы Windows».

Типичный образец вредоносного ПО iLite Net Accelerator (и ему подобных) состоит из не­скольких библиотек (DLL) со случайным име­нем, размещающихся в папке system32, разме­ром около 130 КБ (размер варьируется в зави­симости от конкретного образца). В системе может присутствовать также исполняемый файл system32/sd га64. ехе.

Чуть позже начали появляться и другие подоб­ные вредоносные программы-«попрошайки» с более красиво оформленными баннерами: Get Accelerator, Digital Access, Get Access, Download Manager v1.34 и др.. Все эти вирусы-«попрошайки» даже объединили в семейство Trojan- Ransom.Win32.Digitala.

Антивирусные программы в то время их не вы­лавливали, кроме специальной программы AVPTool от Касперского. Кроме того, после AVPTool была необходима чистка по специальной методике. Все это можно было найти в Интерне те. Постепенно программы, подобные iLite Net Accelerator, начали исчезать и к 2014 году исчез­ли почти совсем. В последнее время они заража­ют компьютеры очень редко.

Замечу, что утилита AVPTool удаляла ПО се­мейства Trojan-Ransom.Win32.Digitala в 2010 году не полностью — «хвосты», замедляющие работу ПК, оставались. Радикально избавиться от по­следствий этого ПО мне удалось переустановкой Windows с форматированием системного диска.

«Полезные» китайские программы

Таких программ несколько. Автору приходи­лось стакиваться с двумя из них: 2345.com и Baidu, точнее с группой программ Baidu.

Заражением этими вредоносными програм­мами происходит практически одинаково в фо­новом режиме при скачивании заинтересовав­шего пользователя контента, как правило, про­грамм или книг с непроверенных сайтов. Очень часто заражение происходит через Торрент.

Поскольку характерных признаков эти вредо­носные программы не имеют, и в программные коды компьютера они не внедряется, то своевре­менная идентификация и блокирование этих про­грамм антивирусами и большинством специали­зированных утилит затруднено.

Стандартное удаление этих программ через «Установку и удаление программ» из «Панели уп­равления» удаляет эти программы только из ме­ню «Установки и удаление программ», но сами эти программы разбрасывают свои «хвосты-щупаль­ца» в разные самые укромные места системного диска. Поэтому после такого «удаления» эти про­граммы продолжают работать, раздражая поль­зователей своей неубиваемостью. Они постоянно совершенствуются и модернизуются и их новые версии удаляются все сложнее и сложнее.

Поэтому в этой статье рассмотрены именно основные подходы к удалению таких вредонос­ных программ.

Программа 2345.com классифицируется как брау­зер-угонщик. Основной про­блемой, которую создает 2345.com (рис.1) является то, что он перенаправляет наши запросы в браузерах на сайты, которые могут повре­дить операционную систему ПК. Кроме того 2345.com эксплуатирует уязвимости в системе безопасности компьютера и изменяет настройки используемых на нем браузеров (Internet Explorer, Google Chrome, Mozilla Firefox и т.д.). Кроме того программа 2345.com замедляет работу ПК, загружая его ресурсы.

Если на свою беду Вы накликали Baidu!

Китайская компания Baidu (переводится с китайского как «Поиск мечты») основана в 2000 году Робином Ли и Эри­ком Сю, получившими высшее образование в США.

Baidu (см. фото) — солидная компания, ведущий китайский поисковик. 20 апреля 2006 года менеджмент Baidu заявил о запу­ске альтернативного проекта — «Байдупедии». Уже через три недели она обогнала по числу статей китайскую Википедию.

В 2016 году президент Baidu Чжан Яцинь заявил, что в его планах начать массовое производство самоуправляе­мых автомобилей. По оценкам главы компании, на это пона­добится около пяти лет. Все же, утром 12 января 2010 года сайт компании подвергся ата­ке хакеров из, так называе­мой, «Иранской киберармии» (Iranian Cyber Army). Злоумы­шленники изменили DNS-за­писи и перенаправили трафик на другой сайт.

Через некоторое время по­сле этого появилась вредо­носная программа Baidu PC Faster. Это потенциально нежелательная программа, анонсируемая разра­ботчиком как антивирус нового поколения, часто устанавливающаяся на компьютер пользователя автоматически и в скрытом режиме. Программа Baidu проявляется следующим образом:

• активно меняет настройки домашней страни­цы браузеров;
• навязывает Toolbar и Baidu Search;
• размещает свои ярлыки в меню ПУСК;
• дает карт-бланш загрузке нежелательного ПО и потоку навязчивой рекламы;
• крайне затрудняет работу с клавиатурой и мышью;
• подвешивает папки и программы.

Кстати, подобные неприятности встречаются и при заражении ПК программой 2345.com.

Как удалить программы 2345.com и Baidu

Файлы и папки программ 2345.com и Baidu легко узнать по наличию в их названиях 2345 (рис.2), Baidu и/или иероглифов.

Все действия по удалению этих вредонос­ных программ желательно проводить в безо­пасном режиме. Для этого следует переза­грузить компьютер и при его включении на­жать клавишу F8. В открывшемся меню загрузки Windows выбрать строку «Безопасный режим».

После загрузки операционной системы в бе­зопасном режиме необходимо:

• Зайти в Панель управления и деинсталлиро­вать все программы, в которых присутствуют 2345, Baidu или иероглифы.

Примечание: деинсталляторы этих программ имеют интерфейс на китайском языке (рис.3), что затрудняет удаление этих программ. Поиск кнопок при деинсталляции осуществлялся опыт­ным путем. Как правило, это кнопки с двумя ие­роглифами.

• Зайти в Панель управления => Администри­рование => Службы и отключаем все службы, связанные с программами 2345 или Baidu.

Вызвать Диспетчер задач. Для этого необходимо од­новременно нажать кнопки клавиатуры Ctrl + Alt + De­lete или кликнуть правой кнопкой мыши на «Панели задач» и выбрать в контек­стном меню пункт «Диспет­чер задач».

В появившемся окне вы­брать вкладку «Процессы» и отсортировать все запу­щенные на ПК процессы, нажав один раз на заголовок столбца «Имя образа», что облегчит поиск и завершение всех процессов, относящиеся к удаляемым программам (рис.4).

• Создать вспомогательный файл с расшире­нием .txt или .doc.
• С помощью поиска Windows разыскать все адреса (пути), по которым размещены файлы и папки удаляемой программы (2345 и Baidu), и скопировать эти пути во вспомога­тельный файл.
• Используя записи из созданного вспомога­тельного файла, удалить все файлы и папки вредоносной программы.
• Если какие-либо файлы не удаляются, то сле­дует переименовать папки, где они лежат и повторить попытку удаления.
• Вернуть неудаленным папкам прежние имена.
• Проверить папки windows/system32 и drivers в system32 на наличие файлов китайской про­граммы и удалить эти файлы.

В принципе, можно считать, что вредоносная программа удалена, не смотря на то, что ее «хво­сты» остались в системном реестре.

Далее надо перезагрузить компьютер в обыч­ном режиме.

Если ПК работает медленнее, чем до зараже­ния, то следует почистить реестр.

Замечу, что эту операцию нужно производить с осторожностью, т.к. ее рекомендуют проводить только опытным пользователям. Кроме того, для чистки реестра надо на ПК установить программу CCIeaner для Windows.

Для чистки реестра надо:

• открыть «Командную строку» (в меню «Стан­дартные»);
• для вызова редактор реестра набрать коман ду regedit;
• с помощью поиска найти и удалить строки в реестре относящиеся к деинсталлируемой программе;
• запустить CCIeaner, сканировать реестр и ис править ошибки.

Программа удалена.

Для того чтобы в будущем уменьшить вероят­ность заражения ПК следует соблюдать следую­щие правила:

• при установке новых программ на свой ком­пьютер, всегда читайте правила их использо­вания, а также все сообщения, которые бу­дет выдавать программа установки;
• не производить инсталляцию с настройками по умолчанию.
• антивирусные и, так называемые, антиспайварные программы следует обновлять до по­следних версий;
• если на ПК включено автоматическое обнов­ление Windows, то все доступные обновления уже установлены;
• если уверенности в этом нет, то необходимо посетить сайт Windows Update, где подскажут, что нужно обновить в этой ОС.
• если на ПК используются программы Java, Adobe Acrobat Reader, Adobe Flash Player, to надо обязательно их вовремя обновлять.

В заключение замечу, что полезную информа­цию по этой теме, которая постоянно обновляет­ся можно найти в Интернете по ссылкам [1-5].

Ссылки

1. http://www.2-remove-virus.com/download — утилита для удаления com.
2. http://www.spyware-ru.com/udalit-2345-com-iz-brauzera-instruktsiya/.
3. http://virusinfo.info/content.php.
4. http://www.2-remove-virus.com/ru/udalit-2345-com/.
5. http://wikipix.ru/article/kak-udalit-baidu-kita-jskij-antivirus.html.

Автор: Игорь Петренко, г. Киев
Источник: Радиоаматор №9/2016