Личное знакомство с XP Total Security

На этой неделе довелось познакомиться поближе и даже «посражаться» со знаменитой вредоносной программой, известной под именем XP Total Security 2011. Этот весьма неприятный вирус-вымогатель подхватила одна из моих клиенток, которую я консультирую по инфо-бизнесу. Пришлось спасать человека…

totalsecurity меню программыДля тех, кто не в курсе: XP Total Security 2011 — широко описанная в Интернете вредоносная программа, маскирующаяся под антивирусный пакет. После попадания на компьютер жертвы она начинает «имитировать бурную деятельность», производя видимость сканирования системы, с дальнейшими регулярными назойливыми оповещениями пользователя о том, что компьютер якобы заражен десятками опасных программ: вирусов, шпионских модулей и т.д. Работать в таких условиях, когда на экран то и дело выскакивают какие-то предупреждения с угрозами, становится практически нереально.  Цель всего этого шоу — вынудить пользователя купить «лицензию» на этот фейковый антивирусный пакет, чтобы удалить «угрозы». Для того чтобы пользователь был посговорчивее, лжеантивирусник блокирует доступ в Интернет — цинично утверждая, что это делается в интересах пользователя, — чтобы дескать защитить его (пользователя) личные данные от посягательства.

Понятно, что этот лжеантивирусник нельзя деинсталлировать, как обычную программу (его просто не видят ни стандартный деинсталлятор Windows, ни специальные утилиты для деинсталляции (например, Ace Utilities), и его невозможно также убрать из списка автозапуска, — это на тот случай, если пользователь оказывается «подкованным» и догадается, что ему просто морочат голову и вымогают деньги.

Что происходит с теми чудаками, которые соглашаются оплатить «лицензию», мне достоверно неизвестно, поскольку такого эксперимента я лично не проводил, но по информации из Интернета, доверчивую жертву в дальнейшем начинают достаточно регулярно «доить» под различными предлогами (продления «лицензии», внепланового «обновления баз» и т.д.), то есть откупиться от мошенников и вернуть спокойную жизнь едва ли удастся даже если заплатить за «лицензию».

В любом случае, если с этой вредоносной программой никак не бороться, а просто заплатить деньги мошенникам, то программа остается в системе, и не исключено, что в ней есть какие-то другие сюрпризы и «бомбы замедленного действия». Поэтому правильный путь лишь один: искать способ удаления, вплоть до переустановки системы, если дело зашло слишком далеко и другие, более мягкие методы, не работают.

Поскольку под рукой оказалась моя старенькая видеокамера, то я не поленился и записал несколько фрагментов с экрана пораженного компьютера. Приношу извинения за убогое качество видео (камерой с экрана, да еще без штатива, много не наснимаешь, это все же не программа Камтазия…), но суть происходящего все же можно понять даже из этого ролика.

Примечательно, что этот  вирус был благополучно пропущен на компьютер моей клиентки бесплатным антивирусным пакетом AVAST. Поймала она его после неосмотрительного перехода по ссылке в письме, полученном со спамом. Удивительно, но беззаботные люди, совершающие подобные грубейшие ошибки, все еще встречаются…

 Избавиться от назойливого зловреда оказалось не так просто, как мне думалось поначалу… Выяснилось, что этот вирус не имеет постоянного наименования в списке процессов (что затрудняет его детектирование, особенно на чужом компьютере, напичканном незнакомыми программами). Кроме того, он достаточно глубоко и широко внедряется в регистр (ручная чистка которого становится весьма изнурительным занятием), плюс ко всему, вирус мутирует достаточно быстро найти свежую информацию в Интернете по конкретным строкам регистра для конкретной разновидности вируса становится затруднительно, несмотря на то, что этот зловред в общем описан достаточно широко.

В процессе поиска готового «лекарства» от этого вируса или хотя бы достоверного и свежего описания методов борьбы, я столкнулся еще и стаким забавным явлением, как паразитирование на бедах тех несчастных людей, которые подцепили эту заразу. Нашел немало программ, которые вроде бы анонсируются как бесплатные утилиты для удаления XP Total Security, но на поверку оказываются такими же вымогателями. Работа одной из таких программ (не будем называть ее и делать ей тем самым бесплатной рекламы), также была зафиксирована моей камерой (видеоролик выше). Не знаю, реально ли помогают эти платные программы, — не проверял, но могу предположить с большой вероятностью, что это такой же развод на деньги, как и сам лжеантивирусник, хотя, повторюсь еще раз — лично не проверял.

Проблему удалось решить без применения платных программ и сравнительно безболезненно: Легендарный (и, кстати, совершенно бесплатный!) SpyBot Search&Destroy (который, кстати, описывался здесь, в этом же моем блоге), справился с антивирусником-самозванцем достаточно быстро. Правда он лишь убил процесс в оперативке и некоторые из исполяемых файлов лжеантивирусника, но не справился со всеми следами. Процесс очистки был завершен установленным после этого Kasperky Internet Security (KIS 2011). Возможно, что «Касперыч» справился бы и самостоятельно, без предварительной «бомбардировки» при помощи SpyBot, но я не решился устанавливать на компьютер, пораженный вирусом, который явно умеет блокировать защитные программы, одну из наиболее известных и популярных антивирусчных программ, — это вполне могло вызвать блокировку устанавливаемого антивирусника (как, между прочим, был блокирован AVAST и фаервол (Брандмауэр Windows)). Хотя можно было, конечно, попробовать и такой вариант… но, как говорится — «что выросло — то выросло, теперь уж не вернуть»… Выбранный метод борьбы привел к цели, и это главное. Кстати, в резерве у меня была припасена еще и много раз выручавшая меня ранее бесплатная утилита AdAware, также описываемая в упомянутой чуть выше заметке. Но до нее дело так и не дошло…

Личное знакомство с XP Total Security: 1 комментарий

  1. Уведомление: Очередная коллекция мошеннических писем | Приют Чеширского Кота

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.