VirusHunter предупреждает всех пользователей ПК о распространении троянской программы Trojan.LameJPG.B (aka Win32.Perrun.A), блокирующей работу внутренних средств Windows для открытия и просмотра изображений в формате "JPG" и "JPEG", а также пытающейся "заражать" JPG-файлы...


1. Источники попадания троянца Trojan.LameJPG.B в компьютер.

Возможно, троянец устанавливается в компьютер через сеть Интернет какими-то др. вредоносными программами. Однако наиболее вероятным источником попадания в компьютер пользователя являются, на мой взгляд, файло-обменные сети, откуда "зловред" может быть скачан в машину под видом "полезного" файла.


2. Инсталляция в систему.

Этот раздел практически полностью идентичен приведенному в описании варианта Trojan.LameJPG.A (aka Win32.Perrun.A). Единственным отличием является то, что вспомогательный компонент extrk.exe в данном варианте вируса пытается открыть запрашиваемый пользователем файл-картинку не через приложение "Блокнот" (NotePad), а путем вызова системного средства "Программа просмотра изображений и факсов". Однако тут автор троянца снова лопухнулся: его детище пытается определить данную программу как C:\WINDOWS\SYSTEM\shimgvw.dll, хотя в Windows 9X/ME данное средство вообще отсутствует, а в Windows 2K/XP оно реально существует, но не как \System\shimgvw.dll, а \System32\shimgvw.dll, не говоря уже о том, что системный каталог может располагаться вовсе не как C:\WINDOWS, а, например, как D:\WINDOWS. С учетом этого файлы-картинки с расширениями "JPG" и "JPEG" не могут быть просмотрены - при попытке их открытия система выдает на экран сообщения об ошибке следующего вида:

в Windows 9X/ME:



в Windows 2K/XP:




3. "Заражение" JPG-файлов.

Этот раздел практически полностью идентичен приведенному в описании варианта Trojan.LameJPG.A и отличается лишь способом показа содержимого JPG/JPEG-файлов (см. картинки выше).


4. Прочее.

Этот раздел практически полностью идентичен приведенному в описании варианта Trojan.LameJPG.A и отличается от него весьма незначительными деталями - например тем, что компиляция исходника троянского компонента extrk.exe производилась его автором в каталоге

C:\jpgvir.vbp

5. Детектирование и удаление троянца из машины.

На момент создания данного описания Trojan.LameJPG.B и создаваемые им вспомогательные компоненты антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
Основной файл: Virus.Win32.Perrun.a
файл extrk.exe: Virus.Win32.Perrun.a

Антивирус DrWeb:
Основной файл: Win32.HLLP.Perrun
файл extrk.exe: Win32.HLLP.Perrun

Антивирус BitDefender Professional:
Основной файл: Win32.Perrun.A
файл extrk.exe: Win32.Perrun.A

Вся информация касательно методов лечения "зараженных" файлов, удаления троянца из машины и восстановления системного реестра для нормального просмотра JPG/JPEG-файлов изложена в описании варианта Trojan.LameJPG.A.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 09.04.2007
Дата внесения последних изменений: 09.10.2007
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00257301330566