Penetrator (компьютерный вирус)

У этого термина существуют и другие значения, см. Пенетратор (значения).

Penetrator (от англ. penetrate - внедряться) — это компьютерный вирус, созданный российским студентом Дмитрием Уваровым^[1]. Вирус был написан на Visual Basic и предназначался для операционных систем Windows c процессором x86. Данный вирус внедряется в операционную систему и заражает файлы формата .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip в ночь на первое января^[2].

Предыстория вируса

Точная дата появления вируса неизвестна. Предполагается, что вирус появился в марте 2007 года. Первые сообщения о вирусе стали появляться осенью^[2]. Тогда же и появилась легенда, что российский программист решил отомстить отвергнувшей его девушке, а заодно и всему цифровому миру^[3].

Первая волна эпидемии вируса произошла 1 января 2008 года. Были заражены не только персональные компьютеры, но и сети предприятий и государственные структуры. Пострадали несколько тысяч компьютеров амурской области. Но на этом история не заканчивается. Вторая волна произошла 1 января 2009 года. Данный вирус был обнаружен на компьютерах районной налоговой инспекции и прокуратуры^[4].

18 января 2008 года в Калининграде был задержан двадцатилетний молодой человек, которого обвинили в создание данного вируса ^[4]. Дмитрий Уваров полностью признал свою вину, помог следствию, и в результате ему вынесли приговор в виде штрафа 3 000 рублей^[1].

Характеристика вируса

Вирус распространяется с помощью файла flash.scr (117248 байт, создан 04.08.2003 9:00:00 AM), тем самым маскируясь под программу - скринсейвер. Так же были отмечены единичные случаи, когда вирус маскироваться под файл mp3.

При запуске исполняемого файла вирус внедряется в папку "\Documents and Settings\All Users\Документы\", файлом Documents.scr, для операционной системы Windows XP, предварительно внедряясь в оперативную память и в раздел автозагрузки. Заражение файлов начинается лишь 1 января.

1 января вирус активируется:

• в папке \WINDOWS\system32\ вирус создает папку DETER177;
• в папке \WINDOWS\system32\DETER177\ вирус создает скрытый файл lsass.exe (117248 байт; в отличие от настоящего lsass.exe, находящегося в папке \WINDOWS\system32);
• в папке \WINDOWS\system32\DETER177\ вирус создает скрытый файл smss.exe (117248 байт; в отличие от настоящего smss.exe, находящегося в папке \WINDOWS\system32);
• в папке \WINDOWS\system32\DETER177\ вирус создает скрытый файл svсhоst.exe (117248 байт; буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);
• в папке \WINDOWS\system32\ вирус создает скрытый файл AHTOMSYS19.exe (117248 байт);
• в папке \WINDOWS\system32\ вирус создает скрытый файл сtfmоn.exe (117248 байт; буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
• в папке \WINDOWS\system32\ вирус создает скрытый файл psador18.dll (32 байта);
• в папке \WINDOWS\system32\ вирус создает скрытый файл psagor18.sys (117248 байт);
• файлы АHTОMSYS19.exe, \WINDOWS\system32\DETER177\lsass.exe и \WINDOWS\system32\сtfmon.exe автозагружаются и постоянно присутствуют в оперативной памяти;
• деструктивное действие вируса направлено на файлы .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip;
• все .jpg-файлы (.jpg, .jpeg) заменяются одноименными .jpg-изображениями (размером 69х15 пикселей; 3174 байт) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне). Файлы .bmp, .png, .tiff вирус «не трогает»;
• содержимое файлов .doc и .xls заменяется следующим текстовым сообщением (при этом размер этих файлов становится 196 байт – по объему текстового сообщения):

НАХ** ПОСЛАНА, С*КА, ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, С*КА, ИЩЕШЬ ВИНОВНИКА!! СОСИ Х**, ЛИЖИ П****!! ХАХАХАХ \Penetrator\
MY ICQ: 402974020
JB17

• вирус создает папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista и Windows 7 – \Users\Master\AppData\Local\Microsoft\Windows\Burn);
• в каждой папке (включая вложенные папки) диска, на котором произошел запуск файла flash.scr, вирус создает свои копии <имя_папки>.scr (117248 байт); после этого файл flash.scr на этом диске (который уже заразил), как правило, самоуничтожается, оставляя в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr;
• при открытии/подключении локальных/съемных дисков вирус копируется на незаряженные носители;
• вирус производит скрытый вызов следующих системных dll-библиотек: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT.DLL.

Маскируется вирус в системе следующим образом:

• Скрывает отображение "скрытых файлов и папок"
• Скрывает отображение расширений файлов
• Делает недоступным пункт меню "Свойства папки"
• Запрещает запуск "редактора реестра"'
• Блокирует установку антивируса
• Блокирует запуск утилит настройки системы
• Настраивает разделы реестра так, что файл flash.scr выглядит как обычная папка

Распознавание вируса антивирусами

Различные антивирусы распознают вирус по разному:

• Avira AntiVir – TR/Dldr.VB.bnp;
• Avast – Win32:Trojan-gen;
• AVG – Downloader.VB.AIM;
• BitDefender – Trojan.Downloader.VB.VKV;
• ClamAV – Trojan.Downloader-15571;
• DrWeb – Win32.HLLW.Kati;
• Eset NOD32 – Win32/VB.NNJ worm;
• F-Secure Anti-Virus – Trojan-Downloader.Win32.VB.bnp;
• Антивирус Касперского – Trojan-Downloader.Win32.VB.bnp;
• McAfee – Downloader.gen.a;
• Panda Security – W32/Penetrator.A.worm;
• VBA32 – Trojan-Downloader.Win32.VB.bnp.

Примечания

1. ↑ ^{1 2} Автор вируса "Пенетратор" отделался штрафом
2. ↑ ^{1 2} Как уничтожить вирус Penetrator?
3. ↑ Как бороться с вирусом Penetrator?
4. ↑ ^{1 2} Автора амурского вируса поймали в Калининграде

Ссылки

• Как уничтожить вирус Penetrator