Перейти к содержанию

Recommended Posts

amid525

Своим навязчивым, непрошенным проникновением в домашние страницы браузеров пользователей, webalta сама себе сослужила дурную службу, получив вместо роста популярности - черную, отталкивающую репутацию "вируса - троянца". Удалить, тоже не так просто. В интернете, практически ни одного положительного отзыва от пользователей .

Интересно, будут-ли, ее когда-нибудь, наконец, детектить антивирусы? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

как она попадает на пк? дайте живую ссылку на дистрибутив, который тащит ее:) а то приходилось много раз ее вычищать, но никто толком не мог сказать откуда ее взяли :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mcomodo
как она попадает на пк? дайте живую ссылку на дистрибутив, который тащит ее:) а то приходилось много раз ее вычищать, но никто толком не мог сказать откуда ее взяли :)

http://toolbar.webalta.ru/ наверное это ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Вбей в гугле "repack Webalta" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mcomodo
этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Ну вот тогда ссылка на файлик ) http://foireufluxin.pochta.ru/webalta-opera.html . Успешно "заразил" семёрку на виртуалке. Причём сам файлик запароленный, но если его запустить то успевает установить Webalta и ASK тулбар.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mcomodo
Своим навязчивым, непрошенным проникновением в домашние страницы браузеров пользователей, webalta сама себе сослужила дурную службу, получив вместо роста популярности - черную, отталкивающую репутацию "вируса - троянца". Удалить, тоже не так просто. В интернете, практически ни одного положительного отзыва от пользователей .

Интересно, будут-ли, ее когда-нибудь, наконец, детектить антивирусы? :rolleyes:

Помогла вот эта прога http://webaltakiller.ru/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

На Вирусинфо вроде при помощи скрипов AVZ хелперы помогают вычищать. Можно самостоятельно почистить реестр ручками, правда долго. К тому же создатели этой дряни тоже не лыком шиты, они постоянно изменяют ключи в реестре и имена сайтов, на которые редиректит этот так называемый поисковик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Jeremy

Вычитал, что программа Malwarebytes Anti-Malware (MBAM), удаляет Webalta со всеми хвостами.

http://www.malwarebytes.org/ (При установке или первом запуске надо отказаться от пробного периода - останется только сканер).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig

Пути распространения этой штуковины и правда очень агрессивны. Стандартными средствами не удаляется. Давно пора внести в сигнатуры антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Получается, пока один Malwarebytes Anti-Malware, с этим трояном борется.. ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Получается, пока один Malwarebytes Anti-Malware, с этим трояном борется.. ^_^

Ололо?

https://www.virustotal.com/ru/file/97d43e7d...sis/1365101426/

https://www.virustotal.com/ru/file/160e3254...sis/1365101507/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Гм.. Жаль свою удалил. Не детектилась она.., неделю назад. Или, их разновидности имеются. :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
azambuja

Не знаю,как другие программы,но Malwarebytes Anti-Malware реально вычищает эту Vebalta,с месяц назад где-то выцепил в Интернете это чудо (в это время MBAM не был установлен на компьютере) пытался удалить этот "подарок" 3 дня самостоятельно-никак.Потом стал сканировать при помощи MBAM-и этот сканер вычистил этот "подарочек" и из регистра и из файлов программ (всего 8 "хвостов" было).С тех пор MBAM-Pro не убираю с компа и детект не отключаю,хоть MBAM порой блокирует вроде как благонадежные сайты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

ещё webalta часто дописывается в ярлыки для запуска браузеров. Оттуда её надо вычищать вручную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Сегодня немного побеседовал с очередной знакомой, которая поставила себе на компьютер эту поделку. Итак:

Пути распространения

1) искала медиаплеер, воспользовалась поиском от Mail.ru (ведь правда, ничего удивительного? :lol: )

2) в поисковой строке ввела "скачать виндовос медео плауер12 бесплатно" ))

3) первая же ссылка привела её на сайт _wmp-free.ru

4) по всем предложенным ссылкам лежит перепакованный медиаплеер, установщик которого не предлагает никаких пунктов, но предлагает проверить систему на подлинность, при щелчке на кнопке "Отмена" как раз и устанавливается всеми нами так горячо "любимый" поисковик (видимо при продолжении установки вебальта тоже интегрируется в систему, но это я не проверял).

Куда прописывается

Анализировал изменения файлов программой Ashampoo UnInstaller Platinum 2, есть изменения как в файлах, так и в реестре. Потом могу написать более подробно, если это интересно.

P.S. Со своего сайта они инсталлятор удалили, но видимо по партнёрской программе продолжают впаривать его доверчивым клиентам. Антивирус Касперского не детектирует эту гадость даже с установленной галкой в пункте "другие" перечня детектируемых угроз. А зря. Могли бы и добавить в список. Ведь поведение не совсем безобидное.

webalta001.jpg

post-3858-1367434801_thumb.jpg

  • Upvote 5
  • Downvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Антивирус Касперского не детектирует эту гадость даже с установленной галкой в пункте "другие" перечня детектируемых угроз. А зря. Могли бы и добавить в список. Ведь поведение не совсем безобидное.
Или слеп, или.. партнеры... ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Скачал по данному запросу с сайта wmp-free.ru, Комодо уведомил о "левой" попытке загрузки тулбара. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Проверил, сейчас у тулбара есть свой удалятор, после удаления остаются записи в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

и не только в реестре ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
сейчас у тулбара есть свой удалятор,

так он вроде всегда был, только после него всё равно подчищать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Сегодня почувствовал улучшения на этом фронте :)

HOAX002.png

post-3858-1367605864_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Вчера, заметил, ЕК читал этот топик, когда писал не очень "удобные" сообщения. )

Ожидал такой реакции, чес слова :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Классификацию только поставили странную — обычно таким именем маркируются архивы, которые вымогают денежки за свою распаковку через SMS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Ну да, непонятно, причём тут смс)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×