При входе на страницу Вконтакте появляется вот это:
Та же страница появляется, если выбрать закладку Mail.ru, Yandex.ru, Одноклассники или Рамблер (обратите внимание на адресную строку браузера).
Сдуру послал СМС, подумал может и правда так защищаются... Содрали 300 руб. Суки! Позор на мою седую голову 😞
Сейчас трудится Касперский...
Пока нашел Worm.Win32.Feebs.gen и Trojan.BAT.Agent.pk Это может быть из-за них?
прикольна 😊
Весёлый вирус.
Уже не первый вирус, который вытягивает деньги через SMS. А всего-то надо - выйти через провайдера или ОпСоСа на лицо, на которое зарегистрированы эти короткие номера. Он же не может быть анонимным!
Пару дней назад лечил машину соседа. Всё тоже самое -- после окна приветствия Винды появляется троянское окошко на весь экран с текстом:
"Внимание:Ваша версия Windows заблокирована! Срок лицензии истёк. Для того чтобы продолжитиь работать с Вашей версией windows, вам необходимо ввести лицензионный код. Получить лицензионный код вы сможете при помощи смс. Для этого вам нужно отправить смс на короткий номер.
После того как вы отправите смс сообщение, вам автоматически будет сгенерирован и отправлен лицензионный код, на продление лицензии на 3 года."
Далее следовали текст смски и номера для разных стран. В конце, после строки ввода кода, мелким-мелким шрифтом было написано:"стоимость отправки сообщения не превышает 8$".
Никакие сочетания клавиш не работали. В БР загрузится было невозможно. Фокус с экранной лупой тоже не прокатывал.
Свеженький LiveCD от DrWEB нашёл и поубивал много разных троянов. Но этого Винлокера он не знал и, соответственно, ничего с ним не мог сделать. Правда после прогона докторского LiveCD Винда смогла загрузится в БР.
После этого я обратился за помощью к спецу с форума VirusInfo. С помощью AVZ и мозгов этого эксперта гадский троян был вычислен сразу. И просто и незатейлево прихлопнут. После чего комп стал загружаться нормально. После этого было потрачено ещё немного времени и усилий, чтобы подчистить реестр от "хвостов" этого и других троянчиков.
Кстати, на больной машине стоял гордо молчащий NOD32 со свежими базами. С его точки зрения с машиной было всё в порядке.
AVZ закарантинила этого Винлокера и я "показал" его копию KAV8, который стоял на моём компе (обратился через Оперу к этому файлу). KAV отреагировал мгновенно и безошибочно -- распылил этого трояна на биты. В статистике KAV появилась скромная запись:
04.06.2009 16:18:33 J:\Обследование и лечение\avz4\Quarantine\2009-06-04\avz00001.dta Opera Internet Browser Удалено: Trojan-Ransom.Win32.SMSer.cj
Я тоже недоумеваю... Как смогли эти злоумышленники так зашифроваться и спрятаться, что их не возможно вычислить через ОПСОСа и привлечь в соответствии с действующим законодательством?...
ну да.. кто бы прятался..
это так фапсишники подрабатывают..
у них курсовые такие- написать вирус, чтобы его не ловила антивирусная прога.
как-то по телеку показывали сюжетик..
Угу... угу... А врачи Скорой помощи сами дубасят людей на улицах бейсбольными битами. И они же подсыпают потихоньку в стаканы доверчивых граждан сильнодействующие препараты, вызывающие сердечные приступы.
Кроме того, Сергей Кожугетович вместе со своими сотрудниками устраивает землетрясения, наводнения, смерчи и прочие стихийные бедствия.
Snark711, Вы действительно безоговорочно верите всему, что говорят и показывают в телеящике?
Палыч, ну не тупи...
сюжет был о бауманке, там есть закрытый факультет информатики.
ребята учатся первый курс, а потом подписывают контракт с фапси и уже работают... и учатся дальше по спецпрограмме...
об этом-то и был сюжет.
и там же сказали, что одно из заданий - написать вирус. который бы не определялся антивирусниками...
вспомни сталкера:
-неужели выв верите во все эти сказки?
-в добрые - нет, а в страшные - сколько угодно.
Почти любой "свеженаписанный" вирус не будет определяться антивирусами. Можете сами попробовать и убедиться. Антивирус ещё не знает, что это ему предъявили, у него нет сигнатуры. В лучшем случае сработает эвристика. Поэтому то, что вирус не палится - гарантия того, что он написан самостоятельно, а не срисован с известных. Тут прямая аналогия со скачиванием рефератов из Интернета.
Вопрос не в этом, это лишь техническая сторона. У вируса можно условно выделить "носитель" и "боеголовку". "Носитель" можно сделать сколь угодно изощрённым, но вот навешивать опасные "боеголовки" - это дурной тон. Это вроде как вместо ворон начать стрелять снегирей и соловьёв. А вымогательство денег я бы сравнил со стрельбой по автомобилям или по людям.
Кстати, а по какому признаку сабжевый микроорганизм отнесли к троянам? Он что, помимо блокировки Винды, ещё какую-то инфу хозяину отсылал?
я так понимаю, троян - это скрытый от юзера.
Сабжевый это случай Irvin'а. Но в его случае Винда не блокировалась. Блокировалась в моём случае. Но он не сабжевый.
Объединяет их тот признак, что в обоих случаях для пересылки денег мошенники используют СМС.
Я эти вредоносные "микроорганизмы" делю по следующему признаку: если вредоносный код проникает внутрь нормального файла и этот вредоносный код способен к саморазмножению, то это вирус; а если вредоносный код существует в виде своего собственного файла и к размножению не способен, то это троян.
Разумеется, это деление грубое и несовершенное. Но в первом приближении такой классификации вполне хватает, чтобы понять, чем чревато заражение машины и какие действия по спасению информации и лечению машины надо предпринимать.
c00xerНе исключено, что и отсылал. Трояны разные бывают, с разным набором вредоносного функционала. Конкретно про эти экземпляры смогут сказать только антивирусные аналитики, которые ковыряли их код.
Он что, помимо блокировки Винды, ещё какую-то инфу хозяину отсылал?
KIS7 с последними базами, нихрена не нашел, кроме того, что я написал во втором посте.
Вирус изничтожил методом, описанным здесь: http://blog.abatap.net/не-можете-зайти-вконтакт-пишет-что-нуж/
Пароли почты и на социальных сетях поменял. Каспера снес к чертям собачьим и поставил Dr. Web.
IrwinКак это "не нашёл"? Очень даже нашёл. Скорее всего Trojan.BAT.Agent.pk и модифицировал тебе файл hosts. А Worm.Win32.Feebs.gen отрубил тебе антивирус и фаерволл. А заполучил ты эту "радость" с электронной почты либо по файлообменным сетям.
KIS7 с последними базами, нихрена не нашел
Конечно, было бы замечательно, если бы KAV сам исправил файл hosts. Но и ручками это сделать недолго и несложно.
Dr. Web хорощий антивирус.
А интересно, какой антивирус у тебя стоял до заражения машины?
Хех... некоторое время назад появился кейген для трояна который блочит операционку ))
Палыч1
Конечно, было бы замечательно, если бы KAV сам исправил файл hosts. Но и ручками это сделать недолго и несложно.
В том то и дело, что Каспер эти вирусы нашел не в hosts, а в других файлах.
Палыч1
А интересно, какой антивирус у тебя стоял до заражения машины?
KIS7 и стоял. Базы обновлял систематически и проверка трафика тоже была включена.
Палыч1
Кстати, на больной машине стоял гордо молчащий NOD32 со свежими базами. С его точки зрения с машиной было всё в порядке.
Поганый этот НОД
У меня спам с компа рассылался из-за червя, а он делал вид, что типа все ок.
Тьфу, гадость!
IrwinВ файле hosts вирусов не может быть в принципе. Троянские файлы были другими -- всё правильно. Но когда троян отработал, то он изменил тебе файл hosts (дописал в него строки с неправильными айпишниками).
В том то и дело, что Каспер эти вирусы нашел не в hosts, а в других файлах.
Kасперский нашёл и поубивал самих троянов. Но изменения, которые трояны дописали в файл hosts, остались. И поэтому Firefox продолжал бегать на "левые" адреса и подгружать оттуда страничку с этой самой СМС-активацией.
Потом ты стёр в hosts "левые" строчки и Firefox начал, как и положено, обращаться к DNS-серверу и получать от него правильные айпишники.
IrwinНу, вот это, пожалуй, и есть ответ на вопрос "как произошло заражение". Актуальная версия у ЛК не седьмая, а восьмая. Называется она KIS2009. Надо было вовремя обновить версию.
KIS7 и стоял.
Палыч1
Актуальная версия у ЛК не седьмая, а восьмая. Называется она KIS2009.
Да, я знаю. KIS2009 у меня стоял одно время, но в отличии от KIS7 мне не удавалось получать на него ежемесячно пробный ключ, путем правки 2-х строчек в реестре 😛 Поэтому я и вернулся к KIS7.
Зато теперь, перейдя на Dr.WEB можно похвастаться полной легитимностью продукта. Сама прога скачана с оф. сайта, а ключ от журнала Hard'n'Soft, действителен до 20.10.2009. Кстати, журнальные ключи выкладываются здесь: http://beletsky.od.ua/drweb/ 😛
Надеюсь Dr.WEB не будет меня подводить.
З.Ы. Спасибо за подробное объяснение механизма заражения. Буду знать 😊