Архив

Публикации с меткой ‘virus’

Поздравляем! Вы установили ПорноТВ. Отправьте СМС.

Сегодня попался очередной малварь, который просит отправить СМС, для того чтобы удалить ПорноТВ канал. Канал и вправду веселый, настолько, что блокирует Диспетчер Задач, но видимо не знает, что существует Process Explorer из пакета Sysinternals. Все остальное вполне типично — файл прописывается в автозагрузку в реестре, обзывает себя MediaCodec.exe, переименовывает regedit.exe в reg.exe и запускает дочерним процессом, судя по всему для поддержки записи в разделе автозагрузки и маячит при запуске на рабочем столе.

Удаляется так же просто: снимаем процесс, удаляем файл, удаляем запуск из автозагрузки в реестре. Читать далее…

Убираем баннер СМС с текстом 5862710 на номер 9800

11 Март 2010 14 comments

Сегодня встретил очередного вымогателя денежных средств через СМС. Он стартует при запуске операционной системы и вылазит на четверть экрана при запуске браузера Opera или Internet Explorer. Баннер предлагает отправить СМС с текстом 5862710 на номер 9800. За неимением достаточного количества времени не смог понять, как технически происходит запуск. Понятно было лишь одно, что при снятии задачи с explorer.exe и последующим запуском — баннер исчезал, но при перезагрузке операционной системы снова появлялся.

Тут cforum.ru удалось найти самое быстрое решение для снятия баннера: сначала вводим код 4479927959, затем появляется второй баннер с уведомлением, что Вам +18 лет, вводим код 8694287294.

Если кто-то изучил способ загрузки и место жительства этого зверя, пишите в камменты :)

Очередной вымогатель денег через СМС.

15 Декабрь 2009 1 комментарий

ВирусВ прошлый раз я уже описывал лечение малваря, вируса, трояна, кому как угодно, который вымогает деньги — просит отправить СМС, чтобы компьютер разблокировался. Об этом можно почитать тут. На этот раз, мне попался очередной, похожий малварь. Каким-то образом он заседает в каталог профиля юзера: C:\Users\имя_юзера\Local Settings\Temp\ в виде файлов dasA23.bin, dasA23.rtk, dasA23.tmp. Причем dasA23.tmp — основной, на самом деле — это exe’шник. Хэш MD5 для этих файлов:

6c957d5b884f838cc1c0807efc01192e *dasA23.bin
6c0d28f127149a8840ee960e1c6e7cb9 *dasA23.rtk
053c58b588e5a8beab327ad7bd9d5ba1 *dasA23.tmp

Читать далее…

Поддержка бедных робенгудов или Malware – вымогатель денег через СМС

MalwareИтак, буквально сегодня мне довелось встретиться с компьютером, у которого после загрузки операционной системы Windows XP и логирования пользователя на экране блестала замечательная надпись:

Alert System
Atation!
Обнаружено нелегальное программное обеспечение.
Необходимо произвести полную проверку системы (стоимость $5)
По средствам с.м.с сообщения произведите активацию.
и т.д. Читать далее…

DSL-модемы и роутеры подвержены вирусным атакам

SecurityLab сообщили вчера о том, что DSL-модемы и роутеры под управлением Linux подвергаются вирусным атакам. Цель атак прежняя — создание бот-сети. Вирус не использует пока никаких уязвимостей, а тупо подбирает пароль к HTTP-области администрирования. В случае успеха он модифицирует прошивку и закрывает доступ в панель управления. Первый признак наличия вируса — отсутствие доступа в HTTP-консоль управления.

Добавлю, что роутеры российского проиводства (например, D-Link) вряд ли могут бояться таких атак, ибо в них по умолчанию закрыт доступ на управление извне. А так как вирус пока не заражает компьютеры, работая только по роутерам и модемам, бояться нечего. Но это только пока.

Будьте бдительны!

Вирусная атака через уязвимость в Windows

15 Январь 2009 1 комментарий

Сегодня съездил в ИрГТУ на прежнее место работы и посмотрел на работу нового вируса. Это просто потрясающе! Зараза распространяется через внешний autorun-модуль, который выполняет функции только распространения и первоначального запуска. В работе участие не принимает. После внедрения вирус сканирует локальную сеть и через уязвимость, используя специально сформированный RPC-запрос, выполняет свой модуль на удалённой машине. Другими словами, за очень короткое время этой заразой поражается вся локальная сеть.

Под WinXP основной действующий модуль устанавливается службой и полностью маскируется под svchost. В системных папках фигурирует в виде самых разных файлов. Я видел модификацию в виде файла с именем «x» без расширения, находящегося в папке system32.

Уязвимость имеется во всех ОС семейства WIndows NT от Windows 2000 до Windows 2008.

Рекомендуется устранить её заплаткой от Microsoft.