Если червь Pahooka.A заразил ваш компьютер, это очень легко обнаружить. Сразу после запуска он заменяет обои вашего рабочего стола на свой вариант – разноцветную звезду на голубом фоне – и копирует себя на все дисковые носители. Затем он изменяет заголовки всех открытых пользователем окон на следующий текст “^_^Anti AntiVirus^_^”.
Этот червь содержит код для уничтожения содержимого папок, принадлежащих определенным антивирусным программам.
Кроме того, Pahooka.A редактирует реестр таким образом, чтобы скрыть опции Поиск и Запуск в меню Пуск, Свойства папки, опции Панели управления, а также Сетевые подключения и Принтеры и факсы. Он также не позволяет пользователям активировать, деактивировать и редактировать установки восстановления системы. Кроме того, он отключает редактор реестра и диспетчер задач.
Pahooka.A периодически подключается к определенным веб-страницам для загрузки на зараженный компьютер другого вредоносного ПО, а также активируется при каждой загрузке системы или запуске программы с расширением .exe.
Далее рассмотрим второй вредоносный код, привлекший наше внимание на этой неделе - HiddenXLS.A. Этот вирус поражает файлы Excel. HiddenXLS.A производит на зараженном компьютере и дисковых носителях поиск всех файлов с расширением .xls и добавляет в начале таких файлов еще один исполняемый файл, затем изменяет их расширения на .exe, чтобы при каждой попытке пользователя открыть такой файл сначала запускался вредоносный код.
Последним рассмотрим трояна-шантажиста Sinowal.FY. Sinowal.FY зашифровывает файлы пользователей таким образом, чтобы они не могли ими воспользоваться, а затем требует заплатить выкуп за предоставление утилиты и ключа для расшифровки файлов.
После проникновения в компьютер Sinowal.FY создает текстовый файл, содержащий его требования: если зараженный пользователь не заплатит создателю вредоносного кода $300, он не сможет восстановить зашифрованные файлы.
“Здесь, в лаборатории, мы уже сталкивались с многочисленными образцами кодов-шантажистов, наиболее печально известными из них стали Ransom.A и варианты семейства PGPCoder. Arhiveus.A был одним из наиболее любопытных образцов, поскольку он не просил у пользователей денег, но требовал, чтобы они покупали товары в определенной онлайновой аптеке”, - объясняет Луис Корронс, технический директор PandaLabs.
