Вирусы-локеры и как от них защититься
 

Всем доброго времени суток.
В связи с просто таки пандемией вирусов-локеров назрела следующая тема.
Поскольку антивирусные программы импортного производства ни с ном ни духом не подозревают, какие вирусы ходят по русскоязычным сайтам, а пара антивирусников местного производства тоже, бывает, пропускает. И на эвристику толком нельзя полагаться.
Возникла идея каким-нибудь образом защитить ветвь реестра отвечающую за загрузку пользовательского интерфейса.

История идеи:
После посещения какого-то безобидного торрент-трекера AVP начал выдавать сообщения о том, что Программа входа в систему Windows NT пытается загрузить с нескольких сайтов файл login.php.
Казалось-бы - антивирусник чего-то заблокировал, радоваться надо. Но почуяв неладное я решил глянуть ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Так и есть - параметр UserInit кроме стандартного "C:\WINDOWS\system32\userinit.exe," содержал маленькое дополнение в виде ссылки на файл itnqimw.exe о котором не знает ни всезнающий Гугл ни Яндекс.
Этот файл вместе с несколькими dll'ками лежит в папке c:\WINDOWS\AppPatch\ и никак оттуда не удаляется. Вернее удаляется, но возвращается обратно.

Хочу заметить, что несколько недель назад выкорчевывал подобную дрянь с этого компа и точно помню, что после "userinit.exe," быть ничего не должно.)

Теперь возникают некоторые вопросы.
1) Как вирусу удалось заставить Winlogon что-то загружать? И как этого не допустить в дальнейшем. При этом в ProcessExplorer видно, что цепочка процессов не изменялась. Winlogon не перезапускался и не подменялся. Рабочий стол не перезагружался.

2) Неизвестно, какой процесс восстанавливает файл itnqimw.exe, система или вирус в памяти. Среди процессов ничего постороннего не наблюдаю. Знаю только, что процессы можно скрыть программным способом от стандартного диспетчера задач. Надеюсь, ProcessExplorer "видит" всё.

3) Попытка изменить права доступа на "только чтение" вышеупомянутой ветки реестра привела к BSOD'у при перезагрузке.
Почему нельзя запретить изменение этой ветки или хотя-бы ключа UserInit для всех. Неужели всем поголовно нужно каждые 5 минут менять Shell системы.

Мне кажется, решив хотя-бы вопрос №3 можно избавиться от большей части проблем.
Остается еще разновидность локеров, помещающих себя в обычную автозагрузку. Но они перехватывают фокус ввода и разворачиваются на весь экран тем самым закрывают рабочий стол и диспетчер задач и не дают завершить свой процесс.

Уффф. Много написал... Но может кто-то подскажет интересную идею или даже все вместе придумаем, как с этой заразой эффективно бороться. Тем более, что такую защита очень нужна обычным людям.

Имена могут генерироваться совершенно произвольно. Смотреть надо было на online-службах проверки, начиная с VirusTotal и т.д.
Прописав сие в реестр, как Вы и указали.
Не ходить по «безобидным торрент-трекерам» и прочей порнографии, а если ходить — то представлять себе возможные последствия.
Служба или библиотека в памяти какого-либо процесса.
Не видел такого ни разу.
Можно. Но толку не будет. Что можно запретить — можно и снять. Используйте UAC или хотя бы файерволл/антивирус, контролирующий доступ в критичные разделы реестра, запуск процессов и внедрение библиотек в исполняемый код.
Идея простая: если не лазить по разным свинарникам и соблюдать известные и многократно описанные простейшие меры предосторожности — не потребуется менять грязное бельё.

Файлы, которые прописываются в параметр userinit и располагаются в папке c:\WINDOWS\AppPatch\, никогда не были замечены в качестве блокировщиков системы. Большинство из них просто блокирует доступ к сайтам антивирусных компаний, а также блокирует работу антивирусных утилит

thyrex, то Вам сопутствовало везение )) http://virus-free.ru/virus-prosit-po...n-89091614662/ - классический пример
А вот кстати, Вирус тотал и доктор веб онлайн ничего и не нашли. Файл упорно создавался, пока я не выкорчевал его, winlogon, userinit и запись в реестре с помощью live-cd.

Да, быть может я его на второй стадии обнаружил... Загадка, короче.

Бывает. Там какая-то бага есть в диспетчере задач, что позволяет этот процесс не отображать.

А никакого толку от этих мер. Вирусы просачиваются через разные дыры в системе, браузерах. Антивирусники тоже пропускают.
Отказаться от интернета тоже не выход.)
Например, я отправил на сайт Касперского вирус порно-баннер, который он пропустил. И после очередного обновления баз он таки его научился распознавать.

Суть в том, чтобы сделать систему менее уязвимой. По принципу анти-AutoRun'в (когда на дисках создается специальная папка Autorun.inf)
Хорошая программа Anvir Task Manager, отслеживает автозагрузку. Но, кажется, ветку реестра с UserInit она не отслеживает...

Хорошие новости!
Автор программы Anvir обещал добавить контроль данной ветки реестра. http://www.anvir.net/forum/viewtopic.php?f=4&t=777