Mike

ВРАГИ (Часть Третья)

В этой теме 26 сообщений

Недавно мне попал в руки еще один комп.

На этот раз владелец компа был русскоязычный.

На мониторе треть десктопа занимала картинка с "информером".

достаточно убогая гадость, четыре порнокартинки

(я их заштриховал белым цветом чтобы порно не было видно)

два –три невнятных предложения, и главное обращение к жертве послать XMS для "удаления информера".

чтобы удалить информера , нужно послать XMS 195088083 на следущие номера

Russia, MTS 5537

Russia, Tele2 1171

Russia, ostalnie 9915

а также в другие страны начиная с украины и заканчивая таджикистаном и германией.

меня удивило, какой нужно обладать наглостью, чтобы открыто выкладывать номера мобильника.

неужели этот урод (или уроды) не боится милицию и кгб, ведь там вроде–бы созданы отделы по борьбе с киберпреступносью?

или у них нет возможности узнать у операторов , кому принадлежат эти номера ???

2.JPG

post-97-1228496977_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

зловред примитивный: экзешник с заархивированной либой, которая грузит и запускает десяток гифов.

кстати из трех ведущих российских антивирусов :):):) только доктор " палит" и екзешник и либу как Blackmailer.origin,

хотя зловред уже неделю лежит в закрытом разделе на форуме.

видимо товарищи из касперски–лаб и леты его и за вирус не считают.

http://www.virustotal.com/ru/analisis/53ec...9384ceab802280d

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
чтобы открыто выкладывать номера мобильника.

Это не номер мобильника. Это специальный платный сервис.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это не номер мобильника. Это специальный платный сервис.

а какая разница.

хозяин сервиса известен?

или этим мтс и теле2 сами занимаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На мониторе треть десктопа занимала картинка с "информером"... четыре порнокартинки

видимо товарищи из касперски–лаб и леты его и за вирус не считают

А стартовая страница на какую была изменена? У меня тоже подобные случаи нередки.

Установленный KAV7 не обращает внимания на картинки, наверное они не вирусоносные, или активный зловред ловится на излёте, а "галереи" остаются.

Один раз у меня хозяйка компа сказала: "Смотрите сами. Я не могу на это смотреть!" - и ушла на кухню. :)

Убрал вручную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А стартовая страница на какую была изменена?

а причем тут стартовая страница?

информер сверху экслорера ложится.

кстати, чистится элементарно: убивается dll и 3–4 записи в реестре.

меня другое прикалывает: куда милиция смотрит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а причем тут стартовая страница?

информер сверху экслорера ложится

Ааа, вон вы про какой - PopUp. У меня поприкольнее попался. :)

Заходит пользователь на Mail.ru - там справа всегда флеш-ролик крутится - это уже никого не мандрыжит.

Так вот? вместо этой флеш-картинки на заражённом компе аккурат крутится ролик про... "дырки-палки".

Вот его-то изрядно насмотревшись, так "боялась" моя клиентка - женщина в возрасте.

Тот же или похожий флеш-ролик крутился и на другом её любимом сайте - одноклассники.ру, только не сбоку, а внизу окна - полоской.

А стартовая страница у неё почему-то стояла двойная - "mail.ru odnoklassniki.ru" - именно так.

Вырезал заразу, а потом и стартовую страницу очистил. Проверил, показал ей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, забыл написать - номера телефонов и условия удаления флеш-картинок примерно такие же, как у вас в первом посте.

Скриншоты сделать не решился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здесь используется уязвимость в браузере, позволяющая делать скрытую установку надстроек.

Этого гада мы (Лаборатория Касперского) успешно детектируем. ;)

Поставьте в настройках "угрозы и исключения" галочку в чекбоксе "другие программы" (для КАВ/КИС 2009).

Руками убирается тоже просто: заходим в свойства браузера "управление надстройками" и отключаем ту надстройку, которая связана с библиотекой ***lib.dll (*** - разные, в зависимости от зловреда).

Перезагружаем компьютер. Информер убран.

Запускаем проверку папки (системный диск)/windows/system32 и вычищаем библиотеку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Олег! Всё дело в том, что у 80% пользователей антивирус стоит с настройками "по умолчанию", соответственно ни о какой безопасности этих пользователей и защите их от "потенциально-опасного ПО" речи быть не может. Я за то, чтобы вообще убрали это разделение. Представьте себе пользователя, у которого установлен KIS и он закачал себе "Антивирус ХР". Он видит сообщение на рабочем столе о том, что его компьютер заражен. Логика простая - "у меня установлен KIS, я подцепил заразу, а мне так этот антивирус хвалили!". Нельзя пользователям давать даже повод подумать о том, что "Это ты облажался, вовремя не поставил галочку в нужном месте! Мы тут ваще не при чём!". По моему глубокому убеждению - программа либо вредная, либо нет, и значений посередине (на 50%) быть не должно!.

P.S. И ещё, уберите, наконец, из потенциально опасного ПО программу RAdmin, достал уже этот прикол. Всем админам и без сообщения антивируса ясно, что программа представляет угрозу безопасности компьютеру. А простой пользователь может поставить себе удалённое администрирование только если пользуется "зверскими" сбоками :) (казнить zver'я, нельзя помиловать! :D )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
хозяин сервиса известен?

Заявление на него было? Ну, раз не было, то и дело не заводится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Заявление на него было? Ну, раз не было, то и дело не заводится.

речь идет не о том было–ли заявление или нет, а о том, что хозяин сервиса видимо подобных заявлений не боится.

Этого гада мы (Лаборатория Касперского) успешно детектируем. ;)

Запускаем проверку папки (системный диск)/windows/system32 и вычищаем библиотеку.

во–первых, как раз вы–то, в отличие от доктора его и не "детектируете" :):):)

а во–вторых, чтобы вычистить библиотеку нужно знать ее имя, а найити ее в "(системный диск)/windows/system32 " достаточно непросто.

Файл cyelib.dll получен 2008.12.06 13:27:21 (CET):

DrWeb 4.44.0.09170 2008.12.06 Trojan.Blackmailer.origin

GData 19 2008.12.06 Win32:Hexzone-U

Ikarus T3.1.1.45.0 2008.12.06 Trojan-Ransom.Win32.Hexzone

Kaspersky 7.0.0.125 2008.12.06 -

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
речь идет не о том было–ли заявление или нет, а о том, что хозяин сервиса видимо подобных заявлений не боится.

Речь как раз об этом. "Безнаказанность рождает безответственность".

Олег777

Тебя послушать, так либа одна прямо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ранее см. мои предыдущие посты #5,7,9.

Сегодня вырезал аналогичную заразу. В данном случае пострадала юная любительница сайта vkontakte.ru.

Прилагаю аналогичный скриншот. Неприличное прикрыл сердечками.

Free_PV.zip

***

Забавно, что отправить смс на предложенный там номер не удаётся - в ответ: Нет такого номера.

Фрипорновское заражение произошло опять на ПК, где стоял лицензионный KAV7. Программа ежедневно обновлялась, а пользователь слыхом не слыхивал о том, что можно скачать и установить KAV8 на ту же лицензию.

Пока ни одного случая фрипорновского заражения у пользователей KAV8 я не видел.

***

Легко удалить внедрённый BHO-модуль и его запись можно при помощи утилиты HiJackFree (от a-squared Anti-Malware).

Пофиксить запись можно и при помощи всеми любимого Trend Micro HijackThis, но тогда удалять pnblib.dll придётся вручную. Наверное AVZ тоже справится с ней без проблем, проверю в следующий раз.

pnblib.dll.JPG

Скриншот отчёта HijackThis - всё налицо.

Free_PV.zip

post-3999-1228600016_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Американский суд запретил рекламировать в интернете ложные антивирусы

Я, конечно, дико извиняюсь, но Вы не там запостили. :)

Вам нужно было во "Враги, часть вторая":

http://www.anti-malware.ru/forum/index.php...13&hl=враги

А Вы, случайно в третьей части оказались. :)

Кстати у меня инфа и для первой части "Врагов" появилась. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Mike

Так запостите и перепостите! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сегодня вырезал аналогичную заразу. В данном случае пострадала юная любительница сайта vkontakte.ru.

кстати юные любительныцы vkontakte.ru, у которых установлены, касперский, авира, и прочие супер–пуперские ноды

страдали, страдают и будут страдать дальше.

:):):)

http://www.virustotal.com/ru/analisis/f36c...ec9794e0203b838

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не видел ранее, писали ли тут о появившемся в конце лета другом монстре вконтакного общения - вштате.ру?

«Вштате.ру» — дочерне-сыновьий проект социальной сети «В контакте». Авторы проекта ожидают, что в 2009 г. vshtate.ru заработает 5-10 млн. долларов.

Зарегистрироваться на новом сайте могут как представители компаний, так и соискатели - те, кто рассчитывает, разместив своё резюме, найти работу. Зарегистрироваться можно через ВКонтакте.ру - на специальной странице: в этом случае данные из аккаунта ВКонтакте плавно перетекут на новый сайт. Доступна регистрация и с главной страницы ВШтате.ру.

Интерфейс для соискателей прост и понятен: можно указать свои контактные данные, места работы, образование, знание языков. Других стандартных полей не предусмотрено: пользователю предлагается самостоятельно создать и заполнить их.

В составлении некоторых списков явно не обошлось без user-generated content: поле ”сфера должности” представляет обширное поле для фантазии.

После заполнения резюме оно уходит на проверку модераторам. Заполненное менее чем на 60% резюме неактивно, т.е. не будет выводиться в результатах поиска по соискателям.

Не дожидаясь отклика от работодателей, можно поискать опубликованные на сайте вакансии. При желании можно настроить оповещения на email о новых вакансиях, соответствующих определённым критериям.

На данный момент ВШтате.ру имеет максимально простой и достаточно удобный интерфейс, чем явно отличается от множества аналогичных сайтов для поиска работы.

Он, к счастью, не претендует на звание социальной сети, однако в сочетании с огромной аудиторией ВКонтакте.ру наверняка даст работодателям отличную базу для подбора персонала.

И потом обитающие на Вконтакте.Ру malware плавно перекочуют на Вштате.Ру за... премией и закуской. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
кстати юные любительныцы vkontakte.ru, у которых установлены, касперский, авира, и прочие супер–пуперские ноды страдали, страдают и будут страдать дальше.

http://www.virustotal.com/ru/analisis/f36c...ec9794e0203b838

Не факт, конечно. Бывает достаточно часто, что дома что-то определяется, а на VT нет, и наоборот. :)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не факт, конечно. Бывает достаточно часто, что дома что-то определяется, а на VT нет, и наоборот. :)

посмотри первые посты.

как раз дома–то и не определяется.

и авира (в моем случае) и касперский (у андрея) успешно этот "информер" и пропустили.

и до сих пор не внесли в базы.

ну авире простить можно – она на русскоязычные (именно русскоязычные, а не российские) не заточена.

а вот российским – касперу и ноду , это непростительно. :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

сегодня на одном русскоязычном форуме обнаружил крик о помощи.

короче, сразу после запуска винды, на мониторе появляется первая картинка.

если на нее ткнуть, появляется втораяи виндовс переходит в ожидание кода активации.

есть еще умельцы на руси и телефон службы поддержки у них: 495– 3631–427

894923b63d94.jpg

5e7aaf8b39fd.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
сразу после запуска винды

А Винда-то какая упоминается?

Ааа, вот, увидел - XP...

495 - Москва?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Mike

Словил сегодня зверушку: вот она какая!

Влетела в директорию Windows на полном скаку. Установилась как у себя дома, не удалялась, ни отключалась, но зато прописалась в Автозагрузку. Отключил насильно и удалил. Экземпляр для опытов сохранил.

А порнушные BHO для IE до сих пор попадаются... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...