Описание В распространяемых почтовых сообщениях адресатам предлагается посетить Интернет-ресурс gsm-card.iscool.net и загрузить универсальный генератор кодов для пополнения абонентских счетов мобильных операторов Украины. При запуске программы компьютер заражается троянцем, который выдает уведомление о необходимости перечисления 25 грн на определенный счет для восстановления работоспособности ПК. Имя программы CodGen7.9.exe. Размер 53964 байта. Запуск вируса С целью обеспечения автозапуска своей копии в системе троян вносит следующие значения в ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run: “winlogon.exe” = C:\WINDOWS\system32\services.db.exe “svchost” = C:\WINDOWS\inf\svchost.exe Распространение Способов самостоятельного распространения (почтовая рассылка, использование удаленных уязвимостей) не выявлено. Для заражения системы необходимо загрузить программу с указанного выше ресурса и запустить ее. Действия 1) Программа копирует себя в директорию C:\WINDOWS\system32 под именем services.db.exe и в директорию C:\WINDOWS\inf под именем svchost.exe. 2)Создаёт следующие директории на диске С: Типа Windows 062014622823780 302308736266644 447515826626665 824523728671442 3) Меняет атрибуты директорий Windows и Program Files на Скрытый 4) Блокируется запуск системных утилит для запуска редактора реестра Windows путём задания следующих значений в реестре: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 5) Блокирует запуск стандартных системных утилит Администрирования в Windows, в том числе Восстановление Системы; 6) Удаляет все пункты системного меню Windows, кроме Программы, Настройка 7) Удаляет все иконки с Рабочего стола; 8) Подменяет стартовую страницу Internet Explorer путём внесения следующих изменений в реестре: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = _http://poetry.rotten.com/uday/index19.html HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = _http://poetry.rotten.com/uday/index19.html 9) Блокирует выгрузку Internet Explorerа и изменение его свойств путём задания в реестре следующих значений: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoBrowserClose=1 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoNavButtons=1 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoSelectDownloadDir=1 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoBrowserContextMenu=1 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoBrowserOptions=1 10) Блокируется запуск Диспетчера Задач Windows, а также команды Завершения/перезагрузки системы через стандартный графический интерфейс. Рекомендации по восстановлению системы В случае заражения системы рекомендуется произвести следующие действия: A. Воспользоваться дисковым сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT! для сканирования диска С. Действие для файлов из п. 1) – удалить. B. Произвести загрузку системы с загрузочного СD диска, например Live CD XP; C. Восстановить первичную контрольную точку воcстановления Windows (созданную при инсталляции Windows), воспользовавшись дополнительными утилитами по восстановлению реестра сторонних производителей. Подробнее о контрольных точках восстановления Windows см. _http://support.microsoft.com/default.aspx?scid=kb;ru;310405 Источкик:www.drweb.com.ua