Главная > Информационная безопасность. Хакерство > Поздравляем! Вы установили ПорноТВ. Отправьте СМС.

Поздравляем! Вы установили ПорноТВ. Отправьте СМС.

Сегодня попался очередной малварь, который просит отправить СМС, для того чтобы удалить ПорноТВ канал. Канал и вправду веселый, настолько, что блокирует Диспетчер Задач, но видимо не знает, что существует Process Explorer из пакета Sysinternals. Все остальное вполне типично — файл прописывается в автозагрузку в реестре, обзывает себя MediaCodec.exe, переименовывает regedit.exe в reg.exe и запускает дочерним процессом, судя по всему для поддержки записи в разделе автозагрузки и маячит при запуске на рабочем столе.

Удаляется так же просто: снимаем процесс, удаляем файл, удаляем запуск из автозагрузки в реестре.

Файл MediaCodec.exe был отправлен на virustotal.com

File size: 180224 bytes
MD5…: 3938522465c6972d6b717958204af6ad
SHA1..: d742b98c28f0002fcf58ef1fdb980602257ac234
SHA256: dd068928d404146bedcca296f2ea83f3dc7829c006037b35f3aaf16b26f4ab53

Ну и самое интересное — пара скриншотов (картинки кликабельны):

Сам ПорноТВ канал. Мне лично понравился,  если бы меня подключили к такому, даже удалять бы не стал :)

Текст:

Поздравляем!
Вы установили ПорноТВ для просмотра секс видео.
Если Вы хотите удалить наш сервис с вашего компьютера сделайте следующее:
1. Выберите страну из списка.
2. Отправьте смс с текстом 51228676 на номер 3353
3. Введите полученный код.

Что видно в Process Explorer:

Всего доброго. Предохраняйтесь :)

  1. 17 Май 2011 в 11:47 | #1

    ппц, в первый раз такое вижу 0_о
    раньше просто были заставки эротического характера на винде с требованием отправить смс, теперь эта ерунда… но пока не попадался, лазяю в инете с отключенным java-scriptом :)

  1. Пока что нет уведомлений.