Ю.В. Елисина, А.М. Губарь
2
дит через
уязвимые места
браузеров при просмотре зараженных
сайтов, скачивании различного программного обеспечения с небла-
гонадежных ресурсов, на которых посредством дистрибутивов рас-
пространяются вирусы.
Рис. 1.
Баннер, созданный Trojan.Winlock.6011 (орфография и пунктуация
«авторов» баннеров сохранены)
1. Нейтрализация последствий Trojan.Winlock с помощью
специального программного обеспечения.
Модификаций данного
вируса огромное множество, причем визуально изображения «банне-
ров» могут и не отличаться (меняются только телефонные номера).
Эти модификации классифицируются как разные угрозы из-за меха-
низма воздействия, однако алгоритм решения единственный.
Проанализировав последствия внедрения вируса и его внутрен-
нюю структуру, предлагаем следующий
алгоритм нейтрализации по-
следствий этого вида троянов.
1.1.
Нейтрализация при существовании кода/способа разбло-
кировки.
Для большинства старых модификаций существуют так
называемые коды разблокировки по номеру телефона, указанному на
«баннере» (в настоящее время кодов почти нет). Они доступны,
например, в разделе «Разблокировка Windows (Trojan.Winlock)» на
официальном сайте компании «Доктор Веб». Имеются инструкции
для разблокировки, например: «для разблокировки кликнуть в об-
ласть, обозначенную розовым прямоугольником», «7 раз кликнуть по
строке с текстом "корпорации Microsoft", затем кликнуть по фразе
"Для активации системы необходимо"».
1.2.
Нейтрализация при частичной блокировке системы.
Воз-
можны два варианта частичной блокировки системы:
1) заблокирован «рабочий стол» только одной учетной записи;
