Перейти к содержанию
AlexxSun

Интересно, откуда берётся z-connect ?

Recommended Posts

Андрей-001

AlexxSun

Ситуация с этим Zетом более чем глобальна.

Обзор КитайНета указывает на наиболее частое одновременное присутствие совместно с ним DrsCh.exe в c:\windows\system32\drivers\

Один из примеров тут.

После его насильного удаления и очистки Автозагрузки от пары-тройки z-помощников самое соединение z-connect уже более не появляется.

Сами найденные зловреды у меня были в упаковке, но удалил не так давно.

DrsCh.exe конкретно удаляется Prevx 3.0 (но не бесплатно). См. также тут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Вирусов каждый день приходит в вирусные лаборатории уже больше, чем эти лаборатории в состоянии качественно обработать (детект не в счёт, лечим систему).

Ну иногда такие мысли будоражат народ, особенно после того, как кто-то из вендоров начинает первым или эксклюзивно детектить зловред ;)

ПыСы. У меня таких мыслей нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CTAC-Ko

Превед!

У меня знакомые знакомых поимели в комплетке z-connect и x-connect. Попали на звонки в Австрию на моб. тел., вобщем дето на 30 бакинских... Вроде понты, но это за прошлый июнь-месяц, а за текущий месяц картина еще не ясна, я тока сени им помог.

Так я по поводу как на этом деньги подымают - я начал рыть по номеру (его сейчас набрать невозможно, срабатывает автоотвечтик - "вызывайте телефонистку"). Так вот, этот номер (438209-хххххх), оказалось, принадлежит в одной фирме к категории Premium Rate Numbers. Что это за х я не знаю, но фирма предлагает их арендовать для всяких телелохотронов и тп. И у них на сайте написано, что номера можно брать по схеме, например, 7/2, что означает 7 суток он пашет, а через 2 суток фирме, которая арендовала этот номер, отстегивают за пришедший на него него за эти 7 суток трафик. Таким образом живет тел. от недели до двух и прикрываеццо. Возможно о новых номерах вирь узнает на своей "базе", а может и нет - тупо перестает пахать, хотя это и невыгодно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116
Так я по поводу как на этом деньги подымают - я начал рыть по номеру (его сейчас набрать невозможно, срабатывает автоотвечтик - "вызывайте телефонистку"). Так вот, этот номер (438209-хххххх), оказалось, принадлежит в одной фирме к категории Premium Rate Numbers. Что это за х я не знаю, но фирма предлагает их арендовать для всяких телелохотронов и тп. И у них на сайте написано, что номера можно брать по схеме, например, 7/2, что означает 7 суток он пашет, а через 2 суток фирме, которая арендовала этот номер, отстегивают за пришедший на него него за эти 7 суток трафик. Таким образом живет тел. от недели до двух и прикрываеццо. Возможно о новых номерах вирь узнает на своей "базе", а может и нет - тупо перестает пахать, хотя это и невыгодно.

Что значит обрывается связь?Конечно это дело Z-Connect и X-Connect.

Компании конечно не выгодно терять прилив денег,а если юзер ещё чайник,тогда они спокойны,если тот не догадается.

Я предполагаю,что апдейты там всё-таки есть.Допустим есть у Z-Connect и X-Connect реально живой номер и эта звонилка спокойно звонит.Номер уничтожается.Z-Connect и X-Connect перестаёт звонить и связь обрывается.Заводится новый номер за апдейтом которого Z-Connect и X-Connect обращаются и так дальше по той же схеме.

Вполне стандартная схема апдейтов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Вот такой небольшой прикол - намедни попался мне в руки компьютер пользователя с Z-Connect'om. В компе конечно всё как обычно, заразы через край. Интересно другое - хозяин компьютера пользуется скоростным интернетом. Этот вирус, естественно, разъединял ему подключение через бридж, при помощи которого осуществлялся выход в интернет.

Человек настолько был уверен в виновности провайдера в некачественно поданном ему инете, что отключил ADSL - модем, и подключил обычный диалапный :) Что собственно вирусу и было нужно. Естественно, что пользователь сразу же соединился с интернетом, вот правда не с тем, каким было нужно и не за такие деньги, как ему хотелось. :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kotyara

Есть подозрение, что Z-Connect появляется с флешки (autorun.inf).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CTAC-Ko

по этому поводу я на местном сайте выложил небольшую статейку, которую просто копипастану сюда, мб кому и поможет?

Превед!

.....В данный момент в инете, можно сказать, эпидемия чрезвычайно опасного для Вас, диалапщеги, вируса. Причем это касается абсолютно всех диалапщиков по всему миру, т.е. НЕ в границах даже СНГ! Соотв. не важно кто провайдер или чья карточка доступа у Вас.

.....Суть работы вируса заключается в том, что он, незаметно для Вас, разрывает соединение с вашим провайдером и звонит в дальние страны, а там предоставляются услуги... провайдера :) Соотв. жертва не замечает подвоха - сидит спокойно дальше в инете, но уже за "от отрёх до пяти"(с) баксов в минуту, если не дороже.

.....Кроме того что звонит он в далёкое зарубежье, так еще и стоимость связи с такими номерами может быть выше простого международного звонка. Т.е., например, если в Австрию минута стоит 2у.е., то в ту же Австрию, но на такой вот спецномер, будет уже, например, 5у.е.

.....Что это за номера?

.....Телефонные номера, которые набирает вирус бывают действительны от недели до месяца - т.е. когда Вы спохватитесь, а это будет в начале следующего месяца, когда Вам выставят счет, дозвониццо с целью проверить чезанах на те номера уже будет невозможно - они автоматом прикроются и будет автоответчег "вызывайте телефонистку". Такие номера предоставляют многие фирмы, услуга называется Premium Rate Numbers (номера с премиум-тарифом), т.е. некоей фирме для орагнизации лохотрона, секаса по телефону и прочего стрёма дают в аренду номер, например, на 14 суток по программе 7/2, то за каждые 7 суток через 2 дня фирме, которая брала в аренду тот номер выплачивается вознаграждение за входящий трафик (входящие звонки). Эта система является основой заработка на вирусе. Аренда заканчиваеццо, подставная фирма собирает бабло и исчезает. Появляется следующая.

.....Проверить наличие сего вируса у себя в системе очень просто - в списке сетевых подключений он создает подключени(е)(я) с именем ?-connect, где вместо ? - какая-то англ. буква (i,z,x), т.е., например: z-connect или x-connect или i-connect. Если таковое в наличии + имеются какие-то непонятки с доступом в инет, или 2х часовая карта доступа в интернет давно должна была закончиться, но все еще работает - не радуйтесь "халяве" - Вы гарантированно попали, соболезную. :(

.....Внимание - если не разбираетесь - не пытайтесь лечиться сами! Позовите кого-то, кто разбирается. Сейчас в инете невероятное количество кривых способов излечения от этого вируса, воспользовавшись таким можно вообще угробить виндовс и придется все переустанавливать! Также обращаю Ваше внимание на то, что система восстановления, которая входит в состав WinXP - не поможет, т.к. все "откаты" вирус так же заражает! Лучше всего подойдет AVZ, но по простоте использования лучше будет DrWeb CureIT. Однако вирус может блокировать посещение антивирусных сайтов!

.....Я лично ходил избавлять людей от этого виря. Они попали в 06 месяце на ~40$ + 60$ в 07 месяце. Кроме того мне уже известен случай попадания на ~3к/$. В обоих случаях у клиентов стояли антивири. В первом случае это была авира, но проблема подавляющего большинства ламеров в том, что они думают поставил антивирус и все, забыл - "защита есть", и тупо не обновляют его. Причиной мб конечно и истечение срока лицензии и т.п., но по диалапу апдейты загружаются мучительно долго, особенно для ламера, который не понимает важности апдейта! Так вот, а/в, канешна, тупо не видел виря, аж пока я не залил ему обнову. Кроме того, многие используют NOD32 триальную версию, время триала которого растянуто до бесконечности, но этот а/в несколько урезан по функционалу и кроме того обновление баз происходит не так быстро и активно как у коммерческой версии. Так что имейте это в виду. Если Вы - не специалист - не рискуйте, попросите знакомого спеца чтобы он проверил все ли у Вас в порядке!

.....Антивирусная безопасность - дело юзера. Когда попадете на крупную сумму - ничего не докажете, придется платить вплоть до через суд, который решит в пользу телефонной компании, потому что Ваша вина посредством распечаток доказывается за 1 минуту. Т.е. там будет видно звонок от Вас провайдеру (не важно какому) и через минуту-две звонок в дальние страны.

.....Внимание! Вирус-звонилка - это не та звонилка, что устанавливается на всяких недецких сайтах. Это вирус! Он инфицирует систему, которая просто вышла в интернет, не важно что юзер дальше делает и какие сайты посещает!!!

.....В группу риска попадают те, у кого WinXP SP1-2 (SP3 вроде закрывает дорогу этому вирю, но не гарантирую), и у кого при этом 1я категория на телефоне, через который диалапят, т.е. возможен выход на международные номера и тоновый режим набора номера, т.к. импульсный заметен практически сразу же из-за долговременного набора, хотя ламера опять же может и это не насторожить.

.....ЗЫ. Как известно любящие дешевое фсихда попадают. Это я к тому что ADSL и другие технологии высокоскоростного интернета являются, по мнению многих ламеров, более дорогостоящей услугой, хотя реально, особенно по соотношению качество/цена - это уже давно не так. Так что рекомендую спрыгивать с диалапа! Кроме того НЕ-диалпщики на безлиме вообще не рискуют, т.к. для них не существует способа подобного попадалова.

Для спецов:

мне, возможно случайно, но удалось избавиццо от этого виря "голыми руками" :) Загрузившись в режиме сейфа я просто удалил все ехешники в профиле юзера, убил все левые скрытые папки (там было еще 5 вирусов для флешек и с ними случилась комедия: когда я сунул ф писюк свою флеху - все пятеро ломанулись на нее, но в авторане на флехе прописался только 1, остальные-то получились кастрированными :), ну прям вирусные войны), обнаружил что слава Богу, афтар вируса оставил бэкап модуля net.exe, переименованного в net1.exe, поэтому я поставил его на место (скорее всего это другой вирь отличилсо, но фсеравно). Ну а дальше удалось загрузиццо в обычном режиме и нормально выйти в интернет и в частности загрузить обнову для авиры, которая там стояла год без обнов. Как тока она их установила, то по ребуту уже словила всех гадов, там было около 15 их разновидностей, это кроме снесённых вручную!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

А на 3G- модемы эта беда распространяется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NOSS

В первом случае это была авира, но проблема подавляющего большинства ламеров в том, что они думают поставил антивирус и все, забыл - "защита есть", и тупо не обновляют его.
У Avira по умолчанию автоматическое обновление каждые 2 часа :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

это не поможет если лицензии нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×