что такое миссис мажор
Trojan.MrsMajor.exe
Это — хорошая статья Анти-Скримеры вики. Она неоднократно проверялась опытными участниками вики, следовательно, она подробно и хорошо рассказывает об описанном предмете.
Статья Trojan.MrsMajor.exe рекомендуется к защите от редактирования.
Russian-speaking Users, please pay attention!
This article provides the name and description of the virus-screamer of foreign origin. Concerned Users have already written its translation.
Hover your mouse cursor over non-Russian words and their secret will be revealed to you in half a second.
Trojan.MrsMajor.exe (также известен как BossDaMajor.exe) — троян для Microsoft Windows, созданный Elektro Berkay. Данный троян был создан в 2017 году в Турции и до сих пор иногда обновляется. Этот вирус был создан для проверки защиты системы.
Содержание
Первая версия трояна
При запуске фон рабочего стола меняется на изображения черепов, а значки файлов также заменяются на черепа. Как только система будет полностью загружена, на экране появляется мигающее и движущееся изображение девушки, названной госпожой Майор.
Вторая версия трояна
В отличии от первой версии, вторая версия имеет множество различий.
При запуске на экране высвечивается соглашение, что пользователь согласен на запуск трояна. Также там написано, что вирус нужно запускать «ТОЛЬКО на виртуальной машине», чтобы не навредить основному компьютеру. Если пользователь согласен на запуск трояна, окно с соглашением начинает глючить, после чего на экране начинает мигать изображение госпожи Майор. После этого компьютер перезапускается.
После запуска фон рабочего стола становится чёрным, а сам рабочий стол забивается файлами с названием « HUMANS ARE TASTY ». После появляется окно с изображением госпожи Майор, 5-минутным таймером и кнопкой «Показать правила», и начинает играть напряжённая музыка. Также курсор заменяется на глазное яблоко.
Иначе ваш компьютер не сможет больше запуститься.
При запуске диспетчера задач на экране последовательно высветятся 4 слова « THERE IS NO ESCAPE ».
Если пользователь нарушит правила, компьютер выдаст RSoD ( Red Screen of Death ). Код ошибки: « TROJANS_NEVER_JOKE_RESPECT_THE_TROJANS ».
Третья версия трояна
Совсем недавно создатель вируса выпустил новую версию трояна.
В отличие от первых двух версий, третья — координально отличается.
Для запуска разрушительного процесса «MrsMajor 3.0.exe», вам нужно ввести код авторизации в поле ввода в окне, которое высвечивается при первом запуске приложения.
После ввода кода, появляется окно, в котором говорится следующее:
Attention: Be patient while MrsMajor infects your system. This usually takes about 23 seconds. Your computer will be forced to restart afterwards. 😉 Do you want to view the screen of Rules?
Если нажать « Yeah sure. », появляется окно с правилами:
Searching keywords on google such as «antivirus download», «malwarebytes download», «do i have a virus» is not allowed. If you do, you’ll get prompted with a blue screen explaining you why your computer just ran into a crash. Using 3rd party tool is not allowed. You’ll get a BSoD again. Once the malware runs out of blood, you’ll get your LogonUI overwritten. If you fix your LogonUI, you’ll get your boot sector overwritten just like your System32 files. So don’t do that ig. This program can’t be ran on a real machine. (VM only) Have fun!
После этого обои рабочего стола изменяются на фото ночного леса и появляется уведомление о том, что Windows скоро выключится.
После перезапуска, почти все иконки в Windows заменятся на глазное яблоко. На рабочем столе нас приветствуют изображением куклы госпожи Майор и показателем оставшейся крови. Данный показатель в этой версии заменяет таймер из прошлой версии (причём новый таймер истекает в разы быстрее).
По рабочему столу начинают стекать капли крови. Чем меньше крови на показателе, тем больше на экране появится следов крови, уменьшая поле обзора на рабочем столе.
Музыка из прошлой версии была заменена на тему Бена-утопленника.
Если попробовать выполнить поиск по запрещённым ключевым словам в Google, появится синий экран смерти с кодом ошибки « CRITICAL_PROCESS_DIED ».
Если кровь на показателе кончится, файл «LogonUI.exe» будет переписан (на данный момент времени, это не работает так, как задумывал автор, но он сказал что исправит это в следующей версии) и компьютер «умрёт».
Если вы восстановите «LogonUI.exe» в прежнее состояние, то при следующем запуске системы появится 4 окна с ошибкой « You messed up. », после чего компьютер выдаст BSoD (« Blue Screen of Death »).
При повторной попытке запустить систему, вместо экрана запуска появятся следующие надписи: « You are not very smart. Are you? », « Situation of your disk is even worse now ».
Скример
Безопасная версия госпожи Майор
Сама госпожа Майор является куклой с серой кожей, изуродованным лицом и пустыми глазницами. Кукла не сопровождается криком, а просто висит на рабочем столе.
В 3.0 её внешний вид был немного изменён. Теперь вместо двух пустых глазниц на её лице находятся множество дыр, из которых сочится кровь.
MrsMajor 2.0.exe (BossDaMajor) – страшный вирус-троян с красным экраном
Сегодня мы поговорим по поводу одного интересного вируса, который называется MrsMajor2.0.exe (BossDaMajor). Однако есть тут одна отсылка к фильму Аннабель. Тут и кукла такого же рода, и музыка подходящая.
Протестируем это дело на виртуальной машине. Распаковываем из архива данный вирус и посмотрим на иконку.
Здесь у нас нарисован некий бес под названием MrsMajor2.0.exe. Во-первых, не ясно почему миссис, к тому же изображение с чёртом уже говорит о том, что возможно Мистер. А во-вторых «Мажор» в чём?
Для начала мы просто посмотрим, что вирус делает. А затем попытаемся как-нибудь ликвидировать.
Запускаем «Миссис Мажор». У нас появляется системное сообщение, в котором говорится, что «Данная программа может причинить вред Вашему ПК. Нету возможности восстановить Ваш ПК после заражения. Не используйте на реальном ПК. И если Вы не хотите заразить свой ПК, то нажмите отмена».
Но зачем нам отмена, если мы хотим его протестировать?
Нажимаем Install. После этого окно поплыло, исчезло, и появилось множество пустых файлов, где написано «Humans Are Tasty». И по всему экрану мелькает картинка с Аннабель. После чего происходит завершение работы.
После перезагрузки заходим снова в систему. И тут уже вместо иконок появились какие-то бесы (это те самые с главной иконки). И также имеется активное окно с куклой Аннабель, где в низу окна идёт таймер. Пишут, что у нас осталось 4 минуты и компьютеру будет плохо.
Слева от строки времени есть кнопка «Show Rules». Это так называемые правила, которые нам написали. Откроем их и почитаем. Естественно там написано всё на английском.
«Ваш ПК был заражён вирусом MRSMAJOR. Если не следовать правилам Ваш компьютер умрёт.»
Ну собственно вот такие вот правила.
Попробуем поменять дату на нашем ПК…
…Но после открытия любого окна, понимаем, что вирус довольно быстро закрывает все приложения, однако Мой Компьютер открывается…
Закрепить через панель задач «Дату и время» также не выходит…
…Так как Диспетчером задач мы пользоваться не можем, в таком случае воспользуемся программой Process Hacker. Однако он тоже будет закрываться и даже после того как Вы его закрепите в панели задач.
Напомню, что время идёт…
Судя по всему, вирус просто заменяет иконки, и он не является вирусом шифровальщиком.
Попробуем просто на просто перезагрузить компьютер, поскольку ничего не было сказано по поводу этого.
И вот система перезагрузилась, процесс загрузки прошёл успешно, у нас появился глаз вместо курсора… в таких вещах главное, чтобы не было «скримера» после загрузки Windows.
Но нет, в итоге после перезагрузки у нас таймер обнулился и показывает 5 минут, что есть плюс…
CTRL + Shift + Escape (вызывает диспетчер задач с вкладкой процессы). Однако Вирус пишет, что это тоже не выход.
Надо как-то быстро успеть заморозить данный процесс через Process Hacker… но быстро это сделать безуспешно.
Кстати стоит обратить внимание что те программы что мы использовали, к примеру, Process Hacker, она приобрела ту же иконку с бесом. Однако открыть программу всё также можно.
В общем, в данной программе можно найти и заблокировать процесс кнопкой Suspend. В принципе это удаётся сделать, но вирус остаётся быть активным и закрывать приложения. Однако потыкав Process Hacker на различные другие сомнительные процессы, таймер остановить всё-таки удаётся.
В итоге и удалось найти и заморозить процесс скрытия приложений. А значит дальше уже проще…
Вообще многие вирусы можно перетерпеть при помощи программы Process Hacker.
А пока мы можем посмотреть какие здесь есть дочерние процессы, которые отвечают за деятельность данного вируса.
Пока у нас на таймере отображается ещё несколько минут. И таймер хоть и стоит на месте, но мало ли он всё же ещё не до конца заморозился.
Для начала зайдём в популярную программу CCleaner в раздел Автозагрузка. В разделе Автозагрузка у нас файл Major находится по пути:
Но по переходу внутрь выяснилось, что вирус сделал себя админом и изменять реестр конечно же нельзя. Но можно попытаться найти файл по пути выше вручную.
Удаление Вируса!
Из автозагрузки CCleaner мы разумеется вирус удаляем. Во вкладке «Запланированные задачи» там вроде бы всё чисто и нет ничего такого что может связать MrsMajor с автозапуском. Интересно есть ли вирус в установленных файлах или нет?
Также обратите внимание на bat файлы в папке Temp и вложенных в неё папках. В частности папка «1», «2». На файл с названием ADFA.bat. Если открыть этот файл через блокнот, можно понять, что корень вируса скрывается в папке Program Files – MicrosoftWindowsServicesEtc. Эта папка является неким фейком, проверьте её на наличие вирусов и там.
Как выяснилось внутри этой папки можно найти и иконки тех самых файлов exe которые создавались на рабочем столе с размером 0 байт.
Забавно то, что при удалении файлов из этой папки, снова откроется окно с Аннабелью и пойдёт таймер!
Повторюсь, при заморозке главного процесса окна, почему-то таймер продолжает идти, что странно… так как он должен замораживать другие подпроцессы. Но приходится всё это делать вручную.
Также есть там один интересный системный файл, который отвечает за запуск Windows. И вирус MrsMajor заменяет данный файл на свой файл. Поэтому запуск Windows становится невозможным.
Чистим дальше… папку temp, корзину
Единственное что не хочется делать так это завершать данный вирус, поскольку произойдёт то чего нам не нужно… наша система будет уничтожена. Поэтому мы пойдём по пути, который мы изначально и выбрали.
Мы создадим пустые файлы с теми же именами файлов из папки Program Files – MicrosoftWindowsServicesEtc. Мы это делаем для того чтобы после того как мы быстро завершим эти процессы, мы успели переименовать данные файлы и поставить на них атрибут только чтение.
Итак, завершаем процессы через ProcessHacker. Удаляем оригинальные файлы, а клонам ставим атрибут «только чтение», на всякий случай если вдруг там остались какие-либо другие резервные копии.
И пробуем перезагрузить систему.
Если же кстати таймер доходит до конца, или же Вы попытаетесь удалить вирус как-то неправильно, то нас ожидает красный экран смерти. В нём говорится, что ничего у Вас не вышло и почта-мейл разработчика.
Единственная проблема, которая осталась на ПК, это как вернуть нормальный вид всем иконкам? также придётся немного посидеть и исправить права на изменение реестра.
Новая статья о новой версии вируса:
MrsMajor.exe
Возможно, многие слышали о вирусе под названием «MrsMajor» (он же «BossDaMajor»). Вирус был создан 9 июля 2017 года пользователем видеохостинга YouTube, под псевдонимом «Elektro Berkay».
После того, как пользователь запустил вирус, создается новый текстовый документ со следующим текстом:
После окончания ну очень страшного скримера, на экране появилась ошибка с текстом:
Подождав пару секунд, я смог лицезреть существо, похожее на девочку лет 4-5, которая, судя по всему, и является «MrsMajor».
рус. MRS MAJOR ПОЗАДИ ТЕБЯ!, и начинает играть мелодия, вперемешку с которой мы слышим пение девочки. К сожалению, из-за моего плохого знания английского языка я не разобрал ни слова. Любые попытки что-либо предпринять против вируса не увенчались успехом. Однако, спустя время автор вируса выпустил утилиту, помогающую избавиться от вируса.
Вирус сам по себе не такой уж и страшный, но напугать неподготовленного пользователя и причинить вред системе он способен.
ВНИМАНИЕ! Я НЕ НЕСУ АБСОЛЮТНО НИКАКОЙ ОТВЕТСТВЕННОСТИ ЗА ПРИЧИНЕННЫЙ ВИРУСОМ ВРЕД! ЗАПУСКАЙТЕ ЕГО ТОЛЬКО НА ВИРТУАЛЬНОЙ МАШИНЕ.
MrsMajor 3.0 – Страшный вирус, новая версия. Как его удалить?
Статья о страшном вирусе MrsMajor2.0, второй версии, которая была написана еще в 2018 году, как ни странно была и остаётся популярной. Не так давно, появилась уже третья версия этого файла, а также запросы, которые поступают в Метрику дают об этом понять, насколько многих это интересует.
MrsMajor 3.0 это вирус с графическим интерфейсом, который одновременно и жуткий и интересный. Сегодня, как раз рассмотрим 3 версию этого вируса, которая может удивить не меньше, чем предыдущая. И как итог, попробуем запустить на виртуальной машине данный вирус, и понять, как он работает, и как от него мы сможем защититься.
Запуск
На нашем рабочем столе находится архив под названием MrsMajor_3.0.rar, который мы разархивируем. Внутри имеем всего один файл MrsMajor 3.0.exe, весом в 382 КБ. В этот раз нас встречает ярлык в виде необычной матрёшки, с привычными вирусу цветами красный и чёрный.
После запуска встречаем окно авторизации с надписью MrsMajor 3.0 Dropper, с текстом «Type your authorization code bellow to continute:». Вводим ключ для авторизации и нажимаем кнопку «Decrypt».
Выскакивает красное окно с надписью «Attention», с текстом «Be patient while MrsMajor infects your system. This usually takes about 23 seconds. Your computer will be forced to restart afterwards».
Это говорит о том, что мы должны подождать 23 секунды, дабы вирус заразил нашу систему.
Ниже вопрос «Do you want to view the screen of Rules?», спрашивает хотим ли мы посмотреть экран правил. По нажатию кнопки «Nah, wait here» выкидывает те самые правила.
«Searching keywords on google such as “antivirus download”, “malwarebytes download”, “do I have a virus” is not allowed. If you do, you’ll get prompted with a blue screen explaining you why your computer just ran into a crash.
Using 3 rd party tools is not allowed. You’ll get a BSoD again.
Once the malware runs out of blood, you’ll get your LogonUI overwritten. If you fix your LogonUI, you’ll get your boot sector overwritten just like your System32 files. So don’t do that ig.
This program can’t be ran on a real machine. (VM Only). Have fun!»
Здесь простая информация о том, чтобы мы в поиске Google не искали связанное с антивирусами, и о том, что если загуглить у Вас появится синий экран смерти.
В целом эти правила можно не успеть дочитать, так как Ваш ПК начнёт перезагрузку. Кстати перед перезагрузкой было заметно создание файла ReadMe (MrsMajor 3.0).txt на рабочем столе с ярлыком глаза, и весом в 606 байт.
После перезагрузки
После перезагрузки ПК, нас встречает та самая криповая девочка Аннабель, рядом с ней уровень крови «Blood Left», фоновая музыка, и через пару мгновений кровавый экран. Все остальные иконки, которые располагались на рабочем столе также применили вид жуткого глаза.
Откроем тот самый файл ReadMe (MrsMajor 3.0).txt, хотя читать конечно уже не так легко, через кровавый экран. При этом мы пока не будем пытаться избавиться от этого вируса, и посмотрим, что будет дальше.
В файле ReadMe написано, о том, что мы запустили вирус Миссис Мажор 3.0, и наша система сейчас инфицирована. И если мы запустим какое-либо ПО для отладки, например, «Process Hacker», «Fiddler» и т.д., то это приведёт к синему экрану смерти. Поиск таких слов как «Антивирус», также не разрешен. Нужно следить за уровнем крови, после того как этот уровень закончится, нашей системе будет конец.
Прошло 2 минуты, и в целом забавно то, что данная версия вируса заливает весь экран красными красками, в итоге использовать какое-то ПО становится сложнее.
Через «Пуск» мы можем открыть «Мой компьютер».
Комбинация клавиш Ctrl+Shift+Esc, диспетчер задач не вызывает.
Клавишами Ctrl+Alt+Delete, диспетчер задач также не вызывает, хотя это логичная блокировка.
Win+R и Win+X, у нас также не работают.
Открытие командной строки (cmd.exe) из папки Windows, также работать не будет.
Кстати, подождав пока уровень крови закончится нам выскакивает синий экран смерти. И даже если система выполнила восстановление, то всё равно уходит в синий экран.
Ну а после перезагрузки наконец всплыло на весь экран окно о том, что мы не очень умны. А ситуация с диском ещё более хуже. («You are not very smart. Are you? Situation of your disk is even worse now»). И это правда, так как дело даже не доходит до загрузки Windows, и данная заставка находится в загрузочном секторе жёсткого диска. Все разделы у нас сейчас удалены, а данные потеряны. И глядя уже на эту картинку становится ясно, что вирус действительно серьёзный.
Но раз уж мы находимся на виртуальной машине, то нас это дело не очень пугает. Откатываемся назад, нажав кнопку «Revert this virtual machine to snapshot» на нашей виртуальной машине. И восстанавливаемся к последней рабочей копии системы.
Лечение MrsMajor 3.0
Ну а теперь попробуем ликвидировать уже данный вирус стандартными средствами Windows. Попробуем не использовать программы «Process Hacker», «CCleaner» и антивирусы.
Кстати, при попытке поиска антивируса в браузере, если ввести «antivirus download», то система действительно зависает, однако синего экрана не было.
Копирование файла cmd.exe (командной строки) на рабочий стол, не помогло открыть приложение. Зато помогло, плюс к этому, переименование файла! Допустим «123.exe», и таким образом её получается уже открыть!
Если проделать тоже самое с taskmgr.exe (диспетчером задач), переместить на рабочий стол и переименовать, то выдаёт ошибку.
Попробуем вытащить powershell.exe (это та же командная строка, только с гораздо большим функционалом, чем стандартная cmd.exe). Находим его, перемещаем и переименовываем. Открываем и вводим команду «ps». Смотрим список процессов. При этом имейте ввиду, что экран понемногу наполняется красными красками, что мешает работе, время идёт и действовать нужно быстрее.
Пробуем открыть msconfig.exe (конфигурацию системы).
Вводим команду «msconfig» через PowerShell, и приложение открывается, но в автозагрузке и службах мы ничего плохого не наблюдаем.
Ищем в стандартном поиске по файлам, приложение tobi0a0c.exe в папке Windows.
Находится он по пути: C:\Windows\winbase_base_procid_none\secureloc0x65
Размер: 5,06 МБ
Ну а как только мы переходим в папку winbase_base_procid_none, то система подвисает и в итоге снова срабатывает Blue screen – синий экран.
Перезагружаем, ищем еще раз этот файл в поиске, и пробуем открыть его уже через «Расположение файла». И попадаем прямо туда куда нам и нужно.
В этой папке находятся 4 приложения, 2 звуковых Wav файла, vbs-файл скрипт запуска, указатель и иконка глаза. Это как раз всё то, что связано с этим вирусом. Возможно, как раз файл bsector3.exe затирает загрузочный сектор.
Список файлов MrsMajor 3.0, в папке secureloc0x65 :
Попробуем удалить файлы из этой папки. Удалить получается всё кроме файла tobi0a0c.exe, который на данный момент запущен. Но в любом случае мы удалили часть важных файлов, среди которых был запускаемый скрипт-файл.
Перезагружаем теперь нашу виртуальную машину, и смотрим что из этого вышло.
Результат отличный! При загрузке выходит окно с надписью Windows Script Host и текстом о том, что «Файл сценария не удаётся найти», по пути на файл WinRapistI386.vbs.
Как итог, после удаления данных файлов вируса, заметно сразу, что потрепались иконки наших ярлыков, звуковые файлы мы удалили, также графическая часть восстановлена.
Проверим работает ли диспетчер задач.
Открываем PowerShell, и вводим команду taskmgr, и нам выводит окно, о том, что диспетчер задач отключен администратором.
Также если ввести команду regedit, выводит окно «Редактирование реестра запрещено администратором системы».
Чтобы решить эти проблемы, вводим некую команду gpedit.msc (Редактор групповой локальной политики).
Проходим по пути «Конфигурация пользователя» – «Административные шаблоны» – «Система» – «Запретить доступ к средствам редактирования реестра». И ставим «Отключить».
Проходим также по пути «Конфигурация пользователя» – «Административные шаблоны» – «Система» – «Варианты действий после нажатия Ctrl+Alt+Del» – «Удалить диспетчер задач». И ставим «Отключить».
Как итог комбинация клавиш Ctrl+Shift+Esc теперь будет работать и запускать диспетчер задач. Редактор реестра также будет работать.
Теперь удалим из автозагрузки оставшееся событие от скрипта который мы удалили, что бы оно не выскакивало, при следующей загрузке системы. При этом, мы не найдём это событие в Автозагрузке, через msconfig, его там нет! Его нет не в списке автозагрузки, не в планировщике задач, при этом событие каждый раз срабатывает при включении ПК! Это странно.
Поэтому ищем WinRapistI386.vbs по поиску в редакторе реестра.
Как оказалось это событие скрипта vbs прописалось к запуску рабочего стола (Shell).
Поэтому, редактируем значение этого параметра Shell, оставив только explorer.exe
После этих действий, событие исчезнет, и не будет появляться при перезагрузке.
Ну а иконки я думаю Вы и сами легко сможете исправить через «Свойства». На этом всё!