IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в эту темуОткрыть новую тему
> Новая эпидемия Троянов...
Popovich
сообщение 25.1.2010, 15:50
Сообщение #1


Живу на форуме
***********

Группа: Главные администраторы
Сообщений: 12 387
Регистрация: 1.2.2007
Из: Москва
Пользователь №: 7



В России набирает обороты эпидемия компьютерных вирусов семейства Trojan.Winlock. «В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов», — сообщает российский разработчик средств информационной безопасности компания «Доктор Веб». Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы

Слышал я, что Шаман попался...
Есть еще пострадавшие? Если да, то чем лечились?
Учитывая, что стоимость смс - 300...600 руб (по данным из Инета) попасть бы не хотелось smile.gif


--------------------
Настоящий мужчина всегда готов забить гвоздь в нужное место с нужной силой!
Главное после этого - вовремя остановить его и отобрать гвозди...
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Anechka
сообщение 25.1.2010, 16:10
Сообщение #2


Опытный болтолог
*****

Группа: Бобры-Тусоваторы
Сообщений: 1 993
Регистрация: 2.2.2007
Из: г. Москва
Пользователь №: 8



Цитата(Попович @ 25.1.2010, 15:48) *

Слышал я, что Шаман попался...
Есть еще пострадавшие? Если да, то чем лечились?
Учитывая, что стоимость смс - 300...600 руб (по данным из Инета) попасть бы не хотелось smile.gif

Это мои родители попались mad.gif
SMS-ку отправлять не стали, вызвали дельца, который переустановил всю систему за 1200р., предварительно долго копался и ничего не смог поделать sad.gif

Интересно, а м.б. между ремонтниками и трояно-рассылателями корыстная связь?... glare.gif diablo.gif


--------------------
Мужик сказал - мужик сделал! Женщина сказала - женщина сделала!
Если женщина не сделала, значит женщина ПО-ШУ-ТИ-ЛА!
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Popovich
сообщение 25.1.2010, 16:23
Сообщение #3


Живу на форуме
***********

Группа: Главные администраторы
Сообщений: 12 387
Регистрация: 1.2.2007
Из: Москва
Пользователь №: 7



смс-ку дешевле было послать smile.gif


--------------------
Настоящий мужчина всегда готов забить гвоздь в нужное место с нужной силой!
Главное после этого - вовремя остановить его и отобрать гвозди...
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Anechka
сообщение 25.1.2010, 16:28
Сообщение #4


Опытный болтолог
*****

Группа: Бобры-Тусоваторы
Сообщений: 1 993
Регистрация: 2.2.2007
Из: г. Москва
Пользователь №: 8



Цитата(Попович @ 25.1.2010, 16:21) *

смс-ку дешевле было послать smile.gif

Ага, Джим посылал 300р. сняли, картинку не убрали tongue.gif


--------------------
Мужик сказал - мужик сделал! Женщина сказала - женщина сделала!
Если женщина не сделала, значит женщина ПО-ШУ-ТИ-ЛА!
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Shaman
сообщение 25.1.2010, 17:00
Сообщение #5


Разрушитель Мозга
**********

Группа: Бобры-Тусоваторы
Сообщений: 6 535
Регистрация: 1.2.2007
Из: г. Москва
Пользователь №: 6



Цитата(Попович @ 25.1.2010, 16:21) *

смс-ку дешевле было послать smile.gif

Да, дешевле, но ты будешь занесен в базу лохов, и через несколько месяцев эта атака повториться...


--------------------
Любимый Вождь!

"Серебряный Сезон-2010"
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Crushik
сообщение 25.1.2010, 17:31
Сообщение #6


Уже освоился
***

Группа: ТПК "TRAYANA-IV"
Сообщений: 273
Регистрация: 23.9.2008
Из: Москва
Пользователь №: 101



подцепил похожий троян у меня знакомый, пришлось повозиться с реестром, вроде выличил, а потом и сам попался... реестром дело не закончилось, пришлось переставлять систему.

Зато точно знаю откуда попалось эта штука... в обоих случаях предлагалось для просмотра ролика установить adobe flash player причем на сайтах НИКАК не связаных с индустрией для взрослых blush.gif

Так что если где-то что-то у вас не проигрывается и пишет что нужна установка какого-то кодека или программы, не спешите устанавливать.

З.Ы. Adobe Flash Player абсолютно бесплатно можно скачать на официальном сайте Adobe.


--------------------
Никто не может упрекнуть меня в доброте....

"Он лежит на своих сокровищах, и в сердце его зависть и злоба. Не верь, что голова его склонилась во сне, если глаза его закрыты. Дракон не спит никогда."© Кез Маэфель.

"...не разбегайтесь, мне так сложнее в Вас попадать" © Догма.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Petrovitch
сообщение 25.1.2010, 20:35
Сообщение #7


Гигант слова
******

Группа: Бобры-Тусоваторы
Сообщений: 2 144
Регистрация: 26.3.2007
Из: Москва, Зюзино
Пользователь №: 19



smile_16.png к крашику
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Fyr
сообщение 25.1.2010, 22:38
Сообщение #8


Активно Тусоваторю
****

Группа: ТПК "TRAYANA-IV"
Сообщений: 528
Регистрация: 9.4.2007
Пользователь №: 23



Б-г-ггг!
Подумал было, что речь пойдёт про Сумрака и Со wink.gif
А тут это...
Что я тут слышу?! СМС по запросу слать??? Да вы офигели идти на поводу у этих ох... невших барыг!!!
Лучше уж реально заплатить лицам сторонним и не связанным непосредственно с этими деятелями, если уж сами разобраться не можете.

По мимо локскрина(в полный экран) сейчас еще идёт волна АД-"рекламы" не позволяющей ее убрать с экрана.
Цитата
Вредоносное ПО предлагает пользователю отправить SMS-сообщение с определенным текстом на короткий номер ****

Вредоносное ПО также выполняет следующие действия:

1) препятствует запуску Диспетчера задач и Редактора реестра
2) навязчиво отображает баннер или перезагружает ОС при попытке запуска каких-либо приложений
3) препятствует загрузке ОС в безопасном режиме
4) противодействует запуску антивирусных инструментов
5) дезактивирует Восстановление системы Windows
Если ваш ПК заражен вредоносным ПО, то ни в коем случае не следуйте указаниям мошенников и не отправляйте никаких SMS-сообщений на указанный ими номер.


На сайтах и Каспера, Вэба и иже с ими есть масса рекомендаций по удалению.

Мой опыт.
Знакомый словил оное - я посмеялся дескать - неча по порносайтам лазить, но вскоре и сам словил. Причем в трезвом уме и твёрдой памяти я НИЧЕГО не устанавливал (хотя доступ к компьютеру не только у меня). Судя по всему червь инсталлировался в систему через явовский движок, используя скрипты с получением админовских прав (не работайте в инете под аккаунтом суперюзера).
Все как описано - блокировал диспетчер, редактор, пытался ребутить систему при попытках его выцепить. Накрутка таймера вперёд не помогла (рекламный баннер типа месяц демонстрируется), введёные кода с сайта Вэба тоже не помогли. Пришлось вырубать его руками.
Помог FAR manager (Rulez4erevr!=) Используя через него внешний модуль списка процесов вычислил, что относится к червю, и пути откуда он стартовал. Активный процесс прибить себя не давал (разумеется) - пришлось прибивать джаву, и прочие дочерние процессы. Выяснив местонахождение тела червя я его прибил (сохранив для дальнейшей вивисекции) и почистил нагенерённые им скрипты и всякий мусор во всех темповых директориях (в том числе и ССМ кэш). Он похоже написан на попсовом вижуале, и собирал себя, докачивая компоненты в несколько сеансов.
После проверка авторана в msconfig'е, чистка реестра RegEdit'ом по ключевым компонентам (основное - CurrentVersion\run, ну и там еще кое где) проверка перезагрузкой. Кстати спецом натравил Симантек на папочку с частями червя - результат 0. Следов вредоносного кода не обнаружено, хе хе. На всякий случай подложил обманку - по оригинальным путям создал пустые файлы с исходными названиями и атрибутами RO.
Локально я этого червя победил, но чувствую, что дыра не закрыта. Барузер использовался Google Chrome, но видимо это не сильно влияет на результат - знакомый юзал Мозилу.

Вобщем, никому верить нельзя!
Даже себе wink.gif

з.ы.
Попович а ты случаем не из этих? Если предлагаешь идти на поводу у шантажистов и слать смс wink.gif


upd (26.1.2010, 0:34):
буквально сейчас решил загнать на онлайновую проверку с сайта ВЭБа сохранённые кусочки тела червя - и оппа! Их схавал в карантин Симантек wink.gif Они наконец-то занесли в вирлист сигнатуру этой заразы и обновили базы. Не прошло и недели! wink.gif

upd#2:
глубокое сканирование выявило еще одну часть червя - файлик sdra64.exe
по пути %WINDIR%\system32\sdra64.exe
объявлен трояном, удалён.

Сообщение отредактировал ФЫР - 29.1.2010, 9:49


--------------------
Tempora mutantur et nos mutantur in illis (lat.)
- времена меняются и мы меняемся вместе с ними
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Popovich
сообщение 26.1.2010, 0:12
Сообщение #9


Живу на форуме
***********

Группа: Главные администраторы
Сообщений: 12 387
Регистрация: 1.2.2007
Из: Москва
Пользователь №: 7



Цитата(Crushik @ 25.1.2010, 17:29) *

Зато точно знаю откуда попалось эта штука... в обоих случаях предлагалось для просмотра ролика установить adobe flash player причем на сайтах НИКАК не связаных с индустрией для взрослых blush.gif

Ага, у меня было такое на днях: нажал посмотреть ролик и появилось окошко с предложением установить adobe flash player, причем сообщение появилось "внутри окошка для просмотра ролика". Учитывая то, что я на днях с сайта adobe скачал последнюю версию плеера - оно не должно было появиться smile.gif
Подозрительно.... Поэтому качать ничего не стал и ушел с этого сайта smile.gif

Как благоразумно я сделал smile.gif

ФЫР, а ты с кем сейчас разговаривал? smile.gif
Где такой травы нарыл? Похоже, Эгиль, перед отъездом, с тобой поделился smile.gif


--------------------
Настоящий мужчина всегда готов забить гвоздь в нужное место с нужной силой!
Главное после этого - вовремя остановить его и отобрать гвозди...
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
CyMpak
сообщение 26.1.2010, 16:28
Сообщение #10


ВСЕХ НЕНАВИЖУ !!!
*****

Группа: ТПК "TRAYANA-IV"
Сообщений: 1 394
Регистрация: 18.6.2007
Пользователь №: 37



Услышал про такую хрень - стал искать (ноутбук то корпоративный biggrin.gif ), пошел на сайты для взрослых- нашел, предложили установить- установил good.gif Был в сознании действовал намеренно.
Появился баннер - предложили послать смску, в результате номерок к сожалению оказался не наш. Вирус стал неинтересен - удалил. НИКАОЙ переустановки системы и смс!!

1. Диспетчер задач запустить не позволяет.
2. Открываем вордовый файл и пишем там "хрен вам а не смс"
3. Пуск - завершение работы - ок
4. Все процессы завершаются, баннер пропадает, появляется сообщение с предложением сохранить изменения в документе.
5. Соглашаемся.
6. Запускаем что хотим чистим что хотим. (я ничего не сохранял запускал сразу, поэтому все было во временных папках, поэтому ограничился чисткой темпов)

7. Если кто то из знакомых попадется просите записывать номер и передавать его тому оператору которому он принадлежит, через абонентскую или через знакомых.


--------------------
Дракон не спит никогда.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 28.3.2024, 11:55