Троянская программа выдает себя за продукт Лаборатории Касперского - IT-безопасность
«Лаборатория Касперского» информирует о появлении новой троянской программы, которая выдает себя за несуществующий антивирусный продукт компании. Троянская программа, получившая название Trojan-Ransom.Win32.SMSer , требует для «излечения» компьютера от несуществующего вируса отправки платного SMS-сообщения. Вредоносная программа попадает на ПК через спам-рассылку или при помощи съемного носителя, например флэш-карты. При попадании на компьютер вредоносный код устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки ПК. После перезагрузки системы, троянская программа запускается вместо explorer.exe и блокирует работу ПК. На экране выводится сообщение от имени некой компании «Kaspersky Lab Antivirus Online» с требованием отправить платное SMS-сообщение для восстановления системы. Для создания большего эффекта злоумышленники показывают пользователю таймер с обратным отсчетом времени, которое якобы осталось до «смены алгоритма шифрования обнаруженного вируса». При этом пользователь не может добраться до управления системой, в том числе и до менеджера задач, для того чтобы вручную включить/выключить необходимый процесс. Киберпреступники используют имя «Лаборатории Касперского» для того чтобы придать своим требованиям убедительность и видимость законности. При внимательном рассмотрении «требований» видно что в тексте присутствуют как грамматические, так и орфографические ошибки, а подобный способ «оповещения о вирусах» никогда не используется любой более менее серьезной антивирусной компанией, проще говоря это простое вымогательство.
Версии троянской программы Trojan-Ransom.Win32.SMSer успешно детектируются и при обнаружении сразу удаляются антивирусом Касперского. Пользователям, которые не обновляют вирусные базы в автоматическом режиме, рекомендуется в кратчайшие сроки их обновить.
Рекомендации по лечению зараженного компьютера
1. Если на вашем компьютере установлен один из продуктов Лаборатории Касперского, то
# обновите антивирусные базы (сигнатуры угроз)
# запустите полное сканирование компьютера
# следуйте рекомендациям антивирусной программы
2. Если на вашем компьютере не установлен продукт Лаборатории Касперского, то
# скачайте бесплатную утилиту по борьбе с вирусами Kaspersky Virus Removal Tool 7.0: http://support.kaspersky.ru/viruses/avptool?level=2
# запустите утилиту
# на закладке Автоматическая проверка выберите области проверки компьютера
# нажмите кнопку Поиск вирусов: http://support.kaspersky.ru/avptool/main?qid=208636129
# следуйте рекомендациям утилиты
3. Если на вашем компьютере не установлен продукт Лаборатории Касперского и нет возможности подключиться к сети Интернет, то
# в окне Kaspersky Lab Antivirus Online введите код 5748839
# откройте папку C:WINDOWSSYSTEM32
# найдите файл USER32.EXE
# переименуйте файл USER32.EXE в файл USER33.EXE
# перезагрузите компьютер
# удалите ранее переименованный файл USER33.EXE из папки C:WINDOWSSYSTEM32
# нажмите кнопку Пуск
*если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter
*если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK
# раскройте ветку HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
# удалите ключ реестра DisableTaskMgr
# раскройте ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
# найдите и откройте ключ Shell
# удалите значение user32.exe
# нажмите кнопку ОК
# закройте редактор реестра
# если к компьютеру подключены какие-либо сменные
# носители, то найдите и удалите файл MD.EXE с этих носителей
