Злобный вирус через Skype
За последние несколько дней Skype заполонила рассылка файла вида invoice_******.pdf.exe, который, понятное дело является вирусом. Естественно, что многие пользователи его открыли, естественно, что вирус запустился. Симптомы вируса следующие: пользователь начинает рассылать файл invoice_******.pdf.exe своим контактам в skype, скайп не показывает всплывающие уведомления о приходящих сообщениях, дублирует сообщения или же просто не отображает историю сообщений. Так же ко всему прочему не запускается Google Chrome.
То, что большинство антивирусов (Kaspersky, Microsoft Essential, ESET NOD32, AVZ и прочие троян-ремуверы) этот вирус не детектят, сюрпризом не стало. Удивительным стало то, что кроме нескольких тредов на community.skype.com и на virusinfo тема решения вопроса практически нигде не раскрыта, а описания работы вируса и шагов по его лечению спустя практически неделю после его массового распространения.
Сразу отмечу, что те меры, которые описываются в указанных тредах(прогнать полную проверку каким-то антивирусом, переустановить скайп, удалив все данные из \профиль пользователя\appdata\roaming\skype, а так же удалив из \профиль пользователя\appdata\local\temp собственно файл invoice_******.pdf.exe) в полной мере не помогают. Пользователь перестает рассылать файл, но по-прежнему не запускается Google Chrome, и существует проблема с отображением сообщений в чате скайпа. Мой коллега дополнил картину симптоматики - вирус отправляет какую-то информацию сюда:
https://8isd19h5s3pft.dmf.su/ping.html?r=1328019076
https://b76eiq5x1jugnrtd
https://dmf.su/ping.html
https://dmf.su/ping.html
https://gva.cc/ping.htm
https://gva.cc/ping.html
https://gva.cc/ping.html
https://oul.su/ping.html
https://oul.su/ping.html
https://pmr.cc/ping.html
https://pmr.cc/ping.html
https://vng.su/ping.html
А так же блокирует запуск некоторых утилит, вроде различных просмотрщиков автозапуска и реестра. Одна из таких утилит -
regshot, которая позволяет сделать снимки реестра и отслеживать изменения его состояния. В процессе определения наличия вируса это весьма помогало.
По сути, вирус запускается в профиле пользователя, подхватившего зараженный файл, из ветки реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, создавая там ключ с произвольным именем и путем к исполняемому файлу. Но если зайти в редактор реестра, то ничего подобного заметить не получится, вирус отслеживает обращения к реестру и вовремя удаляет себя из автозагрузки, если обнаруживает запущенные средства мониторинга реестра.
Так же запускаемый из автозагрузки процесс быстро цепляет свой код к произвольному исполняемому файлу(чаще всего, к какой-нибудь виндовой консольной утилите), поэтому удалив подозрительный исполняемый файл из какой-нибудь папки в профиле пользователя, вы от вируса не избавитесь.
Поэтому достаточно вылогиниться, зайти под другим пользователем, запустить regedit, сделать "Файл - загрузить куст", в качестве куста выбрать файл ntuser.dat в профиле пользователя, который подхватил заразу и очистить ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run от явно лишнего исполняемого файла. В случае, когда заражена административная учетная запись, помогло зайти под ней в безопасном режиме. Ну и удалить собственно, исполняемый файл.
Дальше лучше полностью переустановить скайп с очисткой %профиль пользователя%\appdata\roaming\skype, поскольку там могут остаться нежелательные .exe файлы(пусть и не запускаемые из автозагрузки). Но особо нетерпеливым можно ограничиться удалением файла
%профиль пользователя%\appdata\roaming\skype\%учетная запись skype%\main.db и перезапуском скайпа. Тогда начнут правильно отображаться сообщения в чате и уведомления о новых сообщениях.
