Злобный вирус через Skype

Злобный вирус через Skype

За последние несколько дней Skype заполонила рассылка файла вида invoice_******.pdf.exe, который, понятное дело является вирусом. Естественно, что многие пользователи его открыли, естественно, что вирус запустился. Симптомы вируса следующие: пользователь начинает рассылать файл invoice_******.pdf.exe своим контактам в skype, скайп не показывает всплывающие уведомления о приходящих сообщениях, дублирует сообщения или же просто не отображает историю сообщений. Так же ко всему прочему не запускается Google Chrome.

То, что большинство антивирусов (Kaspersky, Microsoft Essential, ESET NOD32, AVZ и прочие троян-ремуверы) этот вирус не детектят, сюрпризом не стало. Удивительным стало то, что кроме нескольких тредов на community.skype.com и на virusinfo тема решения вопроса практически нигде не раскрыта, а описания работы вируса и шагов по его лечению спустя практически неделю после его массового распространения.

Сразу отмечу, что те меры, которые описываются в указанных тредах(прогнать полную проверку каким-то антивирусом, переустановить скайп, удалив все данные из \профиль пользователя\appdata\roaming\skype, а так же удалив из  \профиль пользователя\appdata\local\temp собственно файл invoice_******.pdf.exe) в полной мере не помогают. Пользователь перестает рассылать файл, но по-прежнему не запускается Google Chrome, и существует проблема с отображением сообщений в чате скайпа. Мой коллега дополнил картину симптоматики  - вирус отправляет какую-то информацию сюда:

https://8isd19h5s3pft.dmf.su/ping.html?r=1328019076 

https://b76eiq5x1jugnrtd

https://dmf.su/ping.html

https://dmf.su/ping.html 

https://gva.cc/ping.htm

https://gva.cc/ping.html

https://gva.cc/ping.html 

https://oul.su/ping.html

https://oul.su/ping.html 

https://pmr.cc/ping.html

https://pmr.cc/ping.html 

https://vng.su/ping.html

А так же блокирует запуск некоторых утилит, вроде различных просмотрщиков автозапуска и реестра. Одна из таких утилит - regshot, которая  позволяет сделать снимки реестра и отслеживать изменения его состояния. В процессе определения наличия вируса это весьма помогало.

По сути, вирус запускается в профиле пользователя, подхватившего зараженный файл, из ветки реестра  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, создавая там ключ с произвольным именем и путем к исполняемому файлу.  Но если зайти в редактор реестра, то ничего подобного заметить не получится, вирус отслеживает обращения к реестру и вовремя удаляет себя из автозагрузки, если обнаруживает запущенные средства мониторинга реестра.

Так же запускаемый из автозагрузки процесс быстро цепляет свой код к произвольному исполняемому файлу(чаще всего, к какой-нибудь виндовой консольной утилите), поэтому удалив подозрительный исполняемый файл из какой-нибудь папки в профиле пользователя, вы от вируса не избавитесь.

Поэтому достаточно вылогиниться, зайти под другим пользователем, запустить regedit, сделать "Файл - загрузить куст", в качестве куста выбрать файл ntuser.dat в профиле пользователя, который подхватил заразу и очистить ветку   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run от явно лишнего исполняемого файла. В случае, когда заражена административная учетная запись, помогло зайти под ней в безопасном режиме. Ну и удалить собственно, исполняемый файл.

Дальше лучше полностью переустановить скайп с очисткой %профиль пользователя%\appdata\roaming\skype, поскольку там могут остаться нежелательные .exe  файлы(пусть и не запускаемые из автозагрузки). Но особо нетерпеливым можно ограничиться удалением файла 

%профиль пользователя%\appdata\roaming\skype\%учетная запись skype%\main.db и перезапуском скайпа. Тогда начнут правильно отображаться сообщения в чате и уведомления о новых сообщениях.