Перейти к содержанию
Mike

ВРАГИ (Часть Третья)

Recommended Posts

Mike

Недавно мне попал в руки еще один комп.

На этот раз владелец компа был русскоязычный.

На мониторе треть десктопа занимала картинка с "информером".

достаточно убогая гадость, четыре порнокартинки

(я их заштриховал белым цветом чтобы порно не было видно)

два –три невнятных предложения, и главное обращение к жертве послать XMS для "удаления информера".

чтобы удалить информера , нужно послать XMS 195088083 на следущие номера

Russia, MTS 5537

Russia, Tele2 1171

Russia, ostalnie 9915

а также в другие страны начиная с украины и заканчивая таджикистаном и германией.

меня удивило, какой нужно обладать наглостью, чтобы открыто выкладывать номера мобильника.

неужели этот урод (или уроды) не боится милицию и кгб, ведь там вроде–бы созданы отделы по борьбе с киберпреступносью?

или у них нет возможности узнать у операторов , кому принадлежат эти номера ???

2.JPG

post-97-1228496977_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

зловред примитивный: экзешник с заархивированной либой, которая грузит и запускает десяток гифов.

кстати из трех ведущих российских антивирусов :):):) только доктор " палит" и екзешник и либу как Blackmailer.origin,

хотя зловред уже неделю лежит в закрытом разделе на форуме.

видимо товарищи из касперски–лаб и леты его и за вирус не считают.

http://www.virustotal.com/ru/analisis/53ec...9384ceab802280d

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
чтобы открыто выкладывать номера мобильника.

Это не номер мобильника. Это специальный платный сервис.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Это не номер мобильника. Это специальный платный сервис.

а какая разница.

хозяин сервиса известен?

или этим мтс и теле2 сами занимаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
На мониторе треть десктопа занимала картинка с "информером"... четыре порнокартинки

видимо товарищи из касперски–лаб и леты его и за вирус не считают

А стартовая страница на какую была изменена? У меня тоже подобные случаи нередки.

Установленный KAV7 не обращает внимания на картинки, наверное они не вирусоносные, или активный зловред ловится на излёте, а "галереи" остаются.

Один раз у меня хозяйка компа сказала: "Смотрите сами. Я не могу на это смотреть!" - и ушла на кухню. :)

Убрал вручную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
А стартовая страница на какую была изменена?

а причем тут стартовая страница?

информер сверху экслорера ложится.

кстати, чистится элементарно: убивается dll и 3–4 записи в реестре.

меня другое прикалывает: куда милиция смотрит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
а причем тут стартовая страница?

информер сверху экслорера ложится

Ааа, вон вы про какой - PopUp. У меня поприкольнее попался. :)

Заходит пользователь на Mail.ru - там справа всегда флеш-ролик крутится - это уже никого не мандрыжит.

Так вот? вместо этой флеш-картинки на заражённом компе аккурат крутится ролик про... "дырки-палки".

Вот его-то изрядно насмотревшись, так "боялась" моя клиентка - женщина в возрасте.

Тот же или похожий флеш-ролик крутился и на другом её любимом сайте - одноклассники.ру, только не сбоку, а внизу окна - полоской.

А стартовая страница у неё почему-то стояла двойная - "mail.ru odnoklassniki.ru" - именно так.

Вырезал заразу, а потом и стартовую страницу очистил. Проверил, показал ей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Да, забыл написать - номера телефонов и условия удаления флеш-картинок примерно такие же, как у вас в первом посте.

Скриншоты сделать не решился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777

Здесь используется уязвимость в браузере, позволяющая делать скрытую установку надстроек.

Этого гада мы (Лаборатория Касперского) успешно детектируем. ;)

Поставьте в настройках "угрозы и исключения" галочку в чекбоксе "другие программы" (для КАВ/КИС 2009).

Руками убирается тоже просто: заходим в свойства браузера "управление надстройками" и отключаем ту надстройку, которая связана с библиотекой ***lib.dll (*** - разные, в зависимости от зловреда).

Перезагружаем компьютер. Информер убран.

Запускаем проверку папки (системный диск)/windows/system32 и вычищаем библиотеку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Олег! Всё дело в том, что у 80% пользователей антивирус стоит с настройками "по умолчанию", соответственно ни о какой безопасности этих пользователей и защите их от "потенциально-опасного ПО" речи быть не может. Я за то, чтобы вообще убрали это разделение. Представьте себе пользователя, у которого установлен KIS и он закачал себе "Антивирус ХР". Он видит сообщение на рабочем столе о том, что его компьютер заражен. Логика простая - "у меня установлен KIS, я подцепил заразу, а мне так этот антивирус хвалили!". Нельзя пользователям давать даже повод подумать о том, что "Это ты облажался, вовремя не поставил галочку в нужном месте! Мы тут ваще не при чём!". По моему глубокому убеждению - программа либо вредная, либо нет, и значений посередине (на 50%) быть не должно!.

P.S. И ещё, уберите, наконец, из потенциально опасного ПО программу RAdmin, достал уже этот прикол. Всем админам и без сообщения антивируса ясно, что программа представляет угрозу безопасности компьютеру. А простой пользователь может поставить себе удалённое администрирование только если пользуется "зверскими" сбоками :) (казнить zver'я, нельзя помиловать! :D )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
хозяин сервиса известен?

Заявление на него было? Ну, раз не было, то и дело не заводится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Заявление на него было? Ну, раз не было, то и дело не заводится.

речь идет не о том было–ли заявление или нет, а о том, что хозяин сервиса видимо подобных заявлений не боится.

Этого гада мы (Лаборатория Касперского) успешно детектируем. ;)

Запускаем проверку папки (системный диск)/windows/system32 и вычищаем библиотеку.

во–первых, как раз вы–то, в отличие от доктора его и не "детектируете" :):):)

а во–вторых, чтобы вычистить библиотеку нужно знать ее имя, а найити ее в "(системный диск)/windows/system32 " достаточно непросто.

Файл cyelib.dll получен 2008.12.06 13:27:21 (CET):

DrWeb 4.44.0.09170 2008.12.06 Trojan.Blackmailer.origin

GData 19 2008.12.06 Win32:Hexzone-U

Ikarus T3.1.1.45.0 2008.12.06 Trojan-Ransom.Win32.Hexzone

Kaspersky 7.0.0.125 2008.12.06 -

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
речь идет не о том было–ли заявление или нет, а о том, что хозяин сервиса видимо подобных заявлений не боится.

Речь как раз об этом. "Безнаказанность рождает безответственность".

Олег777

Тебя послушать, так либа одна прямо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ранее см. мои предыдущие посты #5,7,9.

Сегодня вырезал аналогичную заразу. В данном случае пострадала юная любительница сайта vkontakte.ru.

Прилагаю аналогичный скриншот. Неприличное прикрыл сердечками.

Free_PV.zip

***

Забавно, что отправить смс на предложенный там номер не удаётся - в ответ: Нет такого номера.

Фрипорновское заражение произошло опять на ПК, где стоял лицензионный KAV7. Программа ежедневно обновлялась, а пользователь слыхом не слыхивал о том, что можно скачать и установить KAV8 на ту же лицензию.

Пока ни одного случая фрипорновского заражения у пользователей KAV8 я не видел.

***

Легко удалить внедрённый BHO-модуль и его запись можно при помощи утилиты HiJackFree (от a-squared Anti-Malware).

Пофиксить запись можно и при помощи всеми любимого Trend Micro HijackThis, но тогда удалять pnblib.dll придётся вручную. Наверное AVZ тоже справится с ней без проблем, проверю в следующий раз.

pnblib.dll.JPG

Скриншот отчёта HijackThis - всё налицо.

Free_PV.zip

post-3999-1228600016_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
Американский суд запретил рекламировать в интернете ложные антивирусы

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Американский суд запретил рекламировать в интернете ложные антивирусы

Я, конечно, дико извиняюсь, но Вы не там запостили. :)

Вам нужно было во "Враги, часть вторая":

http://www.anti-malware.ru/forum/index.php...13&hl=враги

А Вы, случайно в третьей части оказались. :)

Кстати у меня инфа и для первой части "Врагов" появилась. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Mike

Так запостите и перепостите! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Сегодня вырезал аналогичную заразу. В данном случае пострадала юная любительница сайта vkontakte.ru.

кстати юные любительныцы vkontakte.ru, у которых установлены, касперский, авира, и прочие супер–пуперские ноды

страдали, страдают и будут страдать дальше.

:):):)

http://www.virustotal.com/ru/analisis/f36c...ec9794e0203b838

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Не видел ранее, писали ли тут о появившемся в конце лета другом монстре вконтакного общения - вштате.ру?

«Вштате.ру» — дочерне-сыновьий проект социальной сети «В контакте». Авторы проекта ожидают, что в 2009 г. vshtate.ru заработает 5-10 млн. долларов.

Зарегистрироваться на новом сайте могут как представители компаний, так и соискатели - те, кто рассчитывает, разместив своё резюме, найти работу. Зарегистрироваться можно через ВКонтакте.ру - на специальной странице: в этом случае данные из аккаунта ВКонтакте плавно перетекут на новый сайт. Доступна регистрация и с главной страницы ВШтате.ру.

Интерфейс для соискателей прост и понятен: можно указать свои контактные данные, места работы, образование, знание языков. Других стандартных полей не предусмотрено: пользователю предлагается самостоятельно создать и заполнить их.

В составлении некоторых списков явно не обошлось без user-generated content: поле ”сфера должности” представляет обширное поле для фантазии.

После заполнения резюме оно уходит на проверку модераторам. Заполненное менее чем на 60% резюме неактивно, т.е. не будет выводиться в результатах поиска по соискателям.

Не дожидаясь отклика от работодателей, можно поискать опубликованные на сайте вакансии. При желании можно настроить оповещения на email о новых вакансиях, соответствующих определённым критериям.

На данный момент ВШтате.ру имеет максимально простой и достаточно удобный интерфейс, чем явно отличается от множества аналогичных сайтов для поиска работы.

Он, к счастью, не претендует на звание социальной сети, однако в сочетании с огромной аудиторией ВКонтакте.ру наверняка даст работодателям отличную базу для подбора персонала.

И потом обитающие на Вконтакте.Ру malware плавно перекочуют на Вштате.Ру за... премией и закуской. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
кстати юные любительныцы vkontakte.ru, у которых установлены, касперский, авира, и прочие супер–пуперские ноды страдали, страдают и будут страдать дальше.

http://www.virustotal.com/ru/analisis/f36c...ec9794e0203b838

Не факт, конечно. Бывает достаточно часто, что дома что-то определяется, а на VT нет, и наоборот. :)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Не факт, конечно. Бывает достаточно часто, что дома что-то определяется, а на VT нет, и наоборот. :)

посмотри первые посты.

как раз дома–то и не определяется.

и авира (в моем случае) и касперский (у андрея) успешно этот "информер" и пропустили.

и до сих пор не внесли в базы.

ну авире простить можно – она на русскоязычные (именно русскоязычные, а не российские) не заточена.

а вот российским – касперу и ноду , это непростительно. :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

сегодня на одном русскоязычном форуме обнаружил крик о помощи.

короче, сразу после запуска винды, на мониторе появляется первая картинка.

если на нее ткнуть, появляется втораяи виндовс переходит в ожидание кода активации.

есть еще умельцы на руси и телефон службы поддержки у них: 495– 3631–427

894923b63d94.jpg

5e7aaf8b39fd.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
сразу после запуска винды

А Винда-то какая упоминается?

Ааа, вот, увидел - XP...

495 - Москва?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Mike

Словил сегодня зверушку: вот она какая!

Влетела в директорию Windows на полном скаку. Установилась как у себя дома, не удалялась, ни отключалась, но зато прописалась в Автозагрузку. Отключил насильно и удалил. Экземпляр для опытов сохранил.

А порнушные BHO для IE до сих пор попадаются... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×