Перейти к содержанию

Recommended Posts

amid525

Своим навязчивым, непрошенным проникновением в домашние страницы браузеров пользователей, webalta сама себе сослужила дурную службу, получив вместо роста популярности - черную, отталкивающую репутацию "вируса - троянца". Удалить, тоже не так просто. В интернете, практически ни одного положительного отзыва от пользователей .

Интересно, будут-ли, ее когда-нибудь, наконец, детектить антивирусы? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

как она попадает на пк? дайте живую ссылку на дистрибутив, который тащит ее:) а то приходилось много раз ее вычищать, но никто толком не мог сказать откуда ее взяли :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mcomodo
как она попадает на пк? дайте живую ссылку на дистрибутив, который тащит ее:) а то приходилось много раз ее вычищать, но никто толком не мог сказать откуда ее взяли :)

http://toolbar.webalta.ru/ наверное это ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Вбей в гугле "repack Webalta" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mcomodo
этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Ну вот тогда ссылка на файлик ) http://foireufluxin.pochta.ru/webalta-opera.html . Успешно "заразил" семёрку на виртуалке. Причём сам файлик запароленный, но если его запустить то успевает установить Webalta и ASK тулбар.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mcomodo
Своим навязчивым, непрошенным проникновением в домашние страницы браузеров пользователей, webalta сама себе сослужила дурную службу, получив вместо роста популярности - черную, отталкивающую репутацию "вируса - троянца". Удалить, тоже не так просто. В интернете, практически ни одного положительного отзыва от пользователей .

Интересно, будут-ли, ее когда-нибудь, наконец, детектить антивирусы? :rolleyes:

Помогла вот эта прога http://webaltakiller.ru/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

На Вирусинфо вроде при помощи скрипов AVZ хелперы помогают вычищать. Можно самостоятельно почистить реестр ручками, правда долго. К тому же создатели этой дряни тоже не лыком шиты, они постоянно изменяют ключи в реестре и имена сайтов, на которые редиректит этот так называемый поисковик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Jeremy

Вычитал, что программа Malwarebytes Anti-Malware (MBAM), удаляет Webalta со всеми хвостами.

http://www.malwarebytes.org/ (При установке или первом запуске надо отказаться от пробного периода - останется только сканер).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig

Пути распространения этой штуковины и правда очень агрессивны. Стандартными средствами не удаляется. Давно пора внести в сигнатуры антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Получается, пока один Malwarebytes Anti-Malware, с этим трояном борется.. ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Получается, пока один Malwarebytes Anti-Malware, с этим трояном борется.. ^_^

Ололо?

https://www.virustotal.com/ru/file/97d43e7d...sis/1365101426/

https://www.virustotal.com/ru/file/160e3254...sis/1365101507/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Гм.. Жаль свою удалил. Не детектилась она.., неделю назад. Или, их разновидности имеются. :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
azambuja

Не знаю,как другие программы,но Malwarebytes Anti-Malware реально вычищает эту Vebalta,с месяц назад где-то выцепил в Интернете это чудо (в это время MBAM не был установлен на компьютере) пытался удалить этот "подарок" 3 дня самостоятельно-никак.Потом стал сканировать при помощи MBAM-и этот сканер вычистил этот "подарочек" и из регистра и из файлов программ (всего 8 "хвостов" было).С тех пор MBAM-Pro не убираю с компа и детект не отключаю,хоть MBAM порой блокирует вроде как благонадежные сайты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

ещё webalta часто дописывается в ярлыки для запуска браузеров. Оттуда её надо вычищать вручную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Сегодня немного побеседовал с очередной знакомой, которая поставила себе на компьютер эту поделку. Итак:

Пути распространения

1) искала медиаплеер, воспользовалась поиском от Mail.ru (ведь правда, ничего удивительного? :lol: )

2) в поисковой строке ввела "скачать виндовос медео плауер12 бесплатно" ))

3) первая же ссылка привела её на сайт _wmp-free.ru

4) по всем предложенным ссылкам лежит перепакованный медиаплеер, установщик которого не предлагает никаких пунктов, но предлагает проверить систему на подлинность, при щелчке на кнопке "Отмена" как раз и устанавливается всеми нами так горячо "любимый" поисковик (видимо при продолжении установки вебальта тоже интегрируется в систему, но это я не проверял).

Куда прописывается

Анализировал изменения файлов программой Ashampoo UnInstaller Platinum 2, есть изменения как в файлах, так и в реестре. Потом могу написать более подробно, если это интересно.

P.S. Со своего сайта они инсталлятор удалили, но видимо по партнёрской программе продолжают впаривать его доверчивым клиентам. Антивирус Касперского не детектирует эту гадость даже с установленной галкой в пункте "другие" перечня детектируемых угроз. А зря. Могли бы и добавить в список. Ведь поведение не совсем безобидное.

webalta001.jpg

post-3858-1367434801_thumb.jpg

  • Upvote 5
  • Downvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Антивирус Касперского не детектирует эту гадость даже с установленной галкой в пункте "другие" перечня детектируемых угроз. А зря. Могли бы и добавить в список. Ведь поведение не совсем безобидное.
Или слеп, или.. партнеры... ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Скачал по данному запросу с сайта wmp-free.ru, Комодо уведомил о "левой" попытке загрузки тулбара. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Проверил, сейчас у тулбара есть свой удалятор, после удаления остаются записи в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

и не только в реестре ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
сейчас у тулбара есть свой удалятор,

так он вроде всегда был, только после него всё равно подчищать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Сегодня почувствовал улучшения на этом фронте :)

HOAX002.png

post-3858-1367605864_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Вчера, заметил, ЕК читал этот топик, когда писал не очень "удобные" сообщения. )

Ожидал такой реакции, чес слова :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Классификацию только поставили странную — обычно таким именем маркируются архивы, которые вымогают денежки за свою распаковку через SMS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Ну да, непонятно, причём тут смс)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
×