MrsMajor 2.0.exe (BossDaMajor) – страшный вирус-троян с красным экраном

Сегодня мы поговорим по поводу одного интересного вируса, который называется MrsMajor2.0.exe (BossDaMajor). Однако есть тут одна отсылка к фильму Аннабель. Тут и кукла такого же рода, и музыка подходящая.

Ну а теперь посмотрим на него и заценим весь его функционал. Почему я решил написать именно об этом вирусе? Поскольку он имеет свой графический интерфейс, это выделяет его среди других вирусов. Ну и как факт этот вирус был создан для того чтобы исследователи в области IT, могли протестировать свой продукт, либо свою ОС на проникновение данного вируса. Сможет ли он убить Вашу чудо настроенную систему или нет?..

Протестируем это дело на виртуальной машине. Распаковываем из архива данный вирус и посмотрим на иконку.

Здесь у нас нарисован некий бес под названием MrsMajor2.0.exe. Во-первых, не ясно почему миссис, к тому же изображение с чёртом уже говорит о том, что возможно Мистер?.. А во-вторых «Мажор» в чём?

Для начала мы просто посмотрим, что вирус делает. А затем попытаемся как-нибудь ликвидировать.

Запускаем «Миссис Мажор». У нас появляется системное сообщение, в котором говорится, что «Данная программа может причинить вред Вашему ПК. Нету возможности восстановить Ваш ПК после заражения. Не используйте на реальном ПК. И если Вы не хотите заразить свой ПК, то нажмите отмена».

Но зачем нам отмена, если мы хотим его протестировать?

Нажимаем Install. После этого окно поплыло, исчезло, и появилось множество пустых файлов, где написано «Humans Are Tasty». И по всему экрану мелькает картинка с Аннабель. После чего происходит завершение работы.

После перезагрузки заходим снова в систему. И тут уже вместо иконок появились какие-то бесы (это те самые с главной иконки). И также имеется активное окно с куклой Аннабель, где в низу окна идёт таймер. Пишут, что у нас осталось 4 минуты и компьютеру будет плохо.

Слева от строки времени есть кнопка «Show Rules». Это так называемые правила, которые нам написали. Откроем их и почитаем. Естественно там написано всё на английском.

«Ваш ПК был заражён вирусом MRSMAJOR. Если не следовать правилам Ваш компьютер умрёт.»

• Если таймер дойдёт до конца, то ПК будет плохо.
• Тоже самое будет если Вы попытаетесь закрыть какие-либо процессы.
• Не удалять никакие вирусные файлы.
• Удалите Ваш антивирус, поскольку он будет мешать работе данного вируса.
• Не использовать диспетчер задач и командную строку.
• Не использовать безопасный режим…
• Или же Ваш компьютер превратиться в кирпич.

Ну собственно вот такие вот правила.

Попробуем поменять дату на нашем ПК…

…Но после открытия любого окна, понимаем, что вирус довольно быстро закрывает все приложения, однако Мой Компьютер открывается…

Закрепить через панель задач «Дату и время» также не выходит…

…Так как Диспетчером задач мы пользоваться не можем, в таком случае воспользуемся программой Process Hacker. Однако он тоже будет закрываться и даже после того как Вы его закрепите в панели задач.

Напомню, что время идёт…

Судя по всему, вирус просто заменяет иконки, и он не является вирусом шифровальщиком.

Попробуем просто на просто перезагрузить компьютер, поскольку ничего не было сказано по поводу этого.

И вот система перезагрузилась, процесс загрузки прошёл успешно, у нас появился глаз вместо курсора… в таких вещах главное, чтобы не было «скримера» после загрузки Windows.

Но нет, в итоге после перезагрузки у нас таймер обнулился и показывает 5 минут, что есть плюс…

Проделаем следующее…

CTRL + Shift + Escape (вызывает диспетчер задач с вкладкой процессы). Однако Вирус пишет, что это тоже не выход.

Надо как-то быстро успеть заморозить данный процесс через Process Hacker… но быстро это сделать безуспешно.

Кстати стоит обратить внимание что те программы что мы использовали, к примеру, Process Hacker, она приобрела ту же иконку с бесом. Однако открыть программу всё также можно.

В общем, в данной программе можно найти и заблокировать процесс кнопкой Suspend. В принципе это удаётся сделать, но вирус остаётся быть активным и закрывать приложения. Однако потыкав Process Hacker на различные другие сомнительные процессы, таймер остановить всё-таки удаётся.

В итоге и удалось найти и заморозить процесс скрытия приложений. А значит дальше уже проще…

Вообще многие вирусы можно перетерпеть при помощи программы Process Hacker.

А пока мы можем посмотреть какие здесь есть дочерние процессы, которые отвечают за деятельность данного вируса.

Пока у нас на таймере отображается ещё несколько минут. И таймер хоть и стоит на месте, но мало ли он всё же ещё не до конца заморозился.

Для начала зайдём в популярную программу CCleaner в раздел Автозагрузка. В разделе Автозагрузка у нас файл Major находится по пути:

wscript.exe “C:\Users\8360~1\AppData\Local\Temp\xRun.vbs”.

Но по переходу внутрь выяснилось, что вирус сделал себя админом и изменять реестр конечно же нельзя. Но можно попытаться найти файл по пути выше вручную.

Удаление Вируса!

Из автозагрузки CCleaner мы разумеется вирус удаляем. Во вкладке «Запланированные задачи» там вроде бы всё чисто и нет ничего такого что может связать MrsMajor с автозапуском. Интересно есть ли вирус в установленных файлах или нет?

Также обратите внимание на bat файлы в папке Temp и вложенных в неё папках. В частности папка «1», «2». На файл с названием ADFA.bat. Если открыть этот файл через блокнот, можно понять, что корень вируса скрывается в папке Program Files – MicrosoftWindowsServicesEtc. Эта папка является неким фейком, проверьте её на наличие вирусов и там.

Как выяснилось внутри этой папки можно найти и иконки тех самых файлов exe которые создавались на рабочем столе с размером 0 байт.

Забавно то, что при удалении файлов из этой папки, снова откроется окно с Аннабелью и пойдёт таймер!

Повторюсь, при заморозке главного процесса окна, почему-то таймер продолжает идти, что странно…  так как он должен замораживать другие подпроцессы. Но приходится всё это делать вручную.

Также есть там один интересный системный файл, который отвечает за запуск Windows. И вирус MrsMajor заменяет данный файл на свой файл. Поэтому запуск Windows становится невозможным.

Чистим дальше… папку temp, корзину

Единственное что не хочется делать так это завершать данный вирус, поскольку произойдёт то чего нам не нужно… наша система будет уничтожена. Поэтому мы пойдём по пути, который мы изначально и выбрали.

Мы создадим пустые файлы с теми же именами файлов из папки Program Files – MicrosoftWindowsServicesEtc. Мы это делаем для того чтобы после того как мы быстро завершим эти процессы, мы успели переименовать данные файлы и поставить на них атрибут только чтение.

Итак, завершаем процессы через ProcessHacker. Удаляем оригинальные файлы, а клонам ставим атрибут «только чтение», на всякий случай если вдруг там остались какие-либо другие резервные копии.

И пробуем перезагрузить систему.

В итоге система после загрузки может выдать пару ошибок якобы «не удаётся найти файл сценария в папке MicrosoftWindowsServicesEtc». Но всё-таки нам удаётся не убить систему и оставить её целой и невредимой.

Если же кстати таймер доходит до конца, или же Вы попытаетесь удалить вирус как-то неправильно, то нас ожидает красный экран смерти. В нём говорится, что ничего у Вас не вышло и почта-мейл разработчика.

Единственная проблема, которая осталась на ПК, это как вернуть нормальный вид всем иконкам? также придётся немного посидеть и исправить права на изменение реестра.

Новая статья о новой версии вируса: