Ответить на тему  [ Сообщений: 12 ]  На страницу 1, 2  След.
Вирус на ровном месте
Автор Сообщение
3,14сарь
3,14сарь
Аватара пользователя

Зарегистрирован:
23 мар 2010, 12:45
Сообщения: 852
Сообщение Вирус на ровном месте
материал взят с habrahabr.ru (http://habrahabr.ru/blogs/infosecurity/89016/)/


"а история произошла со мной прошедшей ночью.

Время близилось к полуночи, когда я лазал по просторам и глубинам интернета в поисках текста одной красивой украинской песни. Введя в Яндекс поисковый запрос, открыл несколько табов с результатами поиска. Винт немножко потрещал, а потом выскочило подряд несколько окошек «Антивируса Касперского», с уведомлением что некий «xBXJ.exe» и несколько подобных файлов перемещены в группу «Слабые ограничения». Вслед за этим мелькнуло на долю секунды черное окошко, какое обычно выскакивает при запуске консольных программ.

Через долю секунды после этого я уже нырял (нет, не в глубины интернета) под стол в тщетной попытке успеть выдернуть пачкорд из сетевой карты компьютера.



Конфигурация системы:
— Win XP со всеми патчами и апдейтами, виндовый фаервол отключён.
— Kaspersky Internet Security 2009 с обновлениями от 24-го марта 2010 г, включён.
— Opera 10.51 (последняя версия на текущий момент)

Для начала я со второго компа (ноутбука) сменил пароли на почтовых ящиках и аське. Затем посмотрел логи «касперского»:

25.03.2010 23:53:24 xBXJ.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
25.03.2010 23:53:44 joSB.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
25.03.2010 23:53:46 MjyD.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
25.03.2010 23:53:53 del.bat Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности

Честно говоря, меня удивило, что при дефолтных настройках и высоком значении рейтинга опасности «Касперский» молча пропустил файлы на исполнение.

Потом я пообщался в инете с народом, попробовал поискать имена файлов через гуглояндекс, но имена эти явно сгенерированные, видимо поэтому поиск результатов не дал. На часах было два часа ночи, я лёг спать.
Проснувшись, и включив комп (сетевой кабель так и не втыкал в него обратно), я увидел замечательную картинку: по центру экрана программный порнобаннер, который нельзя закрыть или свернуть; и который блокирует попытки открыть таскменеджер.

А ещё у меня появляется новый файл: C:\Program Files\plugin.exe

Сообщение от мошенника выглядело так:
Отправьте SMS с текстом 1275131 на номер 8353
Введите полученый код: [______](удалить банер)

При возникновении проблем, Вы всегда можете обратиться по адресу:
icq 558812836
email: lex-doroti@mail.ru




Ок, картина ясна и понятна, думаю, всем. Иду на сайт freedrweb.com/cure-it, и скачиваю бесплатную сканирующую утилиту. Которая, тем не менее, ничего не находит подозрительного (что странно, потому что обычно она помогает в таких случаях). Замечу, что поступал следующим образом: скачивал на ноутбук

программу, скидывал на флешку, флешку переключателем блокировал в read-only, и только после этого втыкал в заражённый компьютер.

Дальше я поступил следующим образом: пробиваю по интернету, кому принадлежит этот короткий номер «8353», провайдером оказывается «1-й Альтернативный провайдер» (через который чаще всего и работают мошенники). Захожу на сайт, звоню по указанному номеру. Девушка из call-центра переключает меня на 1-ю линию техподдержки (внутренний номер 555). Затем меня переключают на 2-ю линию техподдержки (прямой телефон 663-71-14), где звучат короткие гудки. Звоню второй

раз, и третий, и четырнадцатый. Наконец, раза с пятнадцатого дозваниваюсь, объясняю ситуацию, называю текст который троян требуют отправить по смс (1275131) на номер 8353. В ответ сотрудник называет мне код, который надо ввести в этот самый порнобаннер. Код вот этот: 1968845971. Я его ввожу, нажимаю кнопку «Удалить банер», окно с порнухой исчезает. При этом «касперский», сволочь, так же спокойно разрешает запуск файла del.bat, который подтирает за собой следы.

Работа над ошибками, или «что я сделал неправильно»:

Во-первых, если уж я выключил основной компьютер после обнаружения вируса, надо было не включая его отсоеденить винт, и через переходник (он у меня был) подключить к ноуту для полной проверки всех файлов на вирусы, или загрузиться с Live-CD с этой же целью.

Во-вторых, мне надо было скачать и запустить Cure-IT _до_ выключения/перезагрузки компьютера. Тогда, может быть, окно с порнухой не вылезло бы. Впрочем, это маловероятно, т.к. запуск утилиты Cure-IT при загруженном на пол-экрана программном порнобаннере не выявил никаких троянов.

В третьих, у меня был отключен виндовый стандартный фаервол. Я полагал, что включенного KIS хватит, но — …

В четвертых, при скане системы на уязвимые места, нашел следующие устаревшие программы с «дырками»: winamp, adobe reader, quicktime. Уязвимости в этих программах позволяли злоумышлинникам запускать вредоносный код.

В пятых,… вопрос к залу: что я ещё сделал не так? (просьба не советовать сменить операционку, браузер, антивирус, цвет кожи, страну проживания, etc. ;-)

Что мне ещё хочется сказать: все подобные схемы мошенничества работают только при низком контроле ОПСОСов и сервис-провайдеров (в данном случае — 1-го Альтернативного провайдера), ибо при желании можно создать такие схемы работы, которые настолько затруднят заработок мошенникам, что им будет невыгодно работать с подобными программами. Думаю, каждый может таких способов придумать — и отсрочки выплат денег, и контрольные смс-ки, и т.д. и т.п. Как говорится, было бы желание у тех, от кого это зависит.

В общем, относительно «happy» end. Другой вопрос, что непонятно, на каком сайте я словил вирус, и какие действия для недопущения повторения ситуации мне нужно предпринять. Желающим могу в личку скинуть ссылки на подозрительные страницы (выдернул из истории браузера), на которые я заходил перед загрузкой троянов. Страницы все подозрительные — на каждой куча скрытых ифреймов с разной вложенностью, и непонятные жава-скрипты.

Такие дела." (С)


26 мар 2010, 19:31
Профиль
-
Аватара пользователя

Зарегистрирован:
05 мар 2010, 09:23
Сообщения: 433
Сообщение Re: Вирус на ровном месте
Это достаточно старый вирус. Но он, собака, имеет множество модификаций.
Первые версии этого вируса лично я успешно мочил голыми руками.
Но на Новый Год мне попалась такая модификация что без переустановки системы не обошлось.

Блокировщик не давал запустить исполняемые файлы - сразу уходил в перезагрузку.
В безопасном режиме повторялось то же самое.
При загрузке с Winternals прошелся по реестру, по выключал все что можно.
Блокиратор не ушел. Снял диск, прошелся на другом компе - CureIT,Nod, Каспер, AVZ ничего в упор не видели.
Коды с сайтов не подходили.
Звонить ОПСОС-у как написано в статье я не стал и прибил систему.

На том же хабре было несколько постов, где довольно убедительно в распространении блокировщиков обвиняли ТОЛЬКО ОПСОС-ов.
Так как деньги идут через СМС.
В остальном мире блокираторы не распространены - только в РФ. В этом виновато наше дырявое законодательство, которое позволяет ОПСОС-у безнаказанно стричь бабло.


27 мар 2010, 10:37
Профиль
по100ялец
по100ялец
Аватара пользователя

Зарегистрирован:
17 мар 2010, 23:44
Сообщения: 194
Сообщение Re: Вирус на ровном месте
Читала всё это как зачарованная: ни хрена не поняла, но так красиво...


30 мар 2010, 20:56
Профиль
нови4ок
нови4ок
Аватара пользователя

Зарегистрирован:
12 мар 2010, 02:00
Сообщения: 79
Сообщение Re: Вирус на ровном месте
много же у вас свободного времени, мадам ;)


30 мар 2010, 22:25
Профиль
нови4ок
нови4ок
Аватара пользователя

Зарегистрирован:
12 мар 2010, 02:00
Сообщения: 79
Сообщение Re: Вирус на ровном месте
А слово ОПСОС - вы правы, завораживает.. :roll:


30 мар 2010, 22:26
Профиль
-
Аватара пользователя

Зарегистрирован:
05 мар 2010, 09:23
Сообщения: 433
Сообщение Re: Вирус на ровном месте
ОПСОС - оператор сотовой связи.
Например Пчелайн, Яйцо, Мудафон, Алтайгрязь, и т.д.


03 апр 2010, 01:47
Профиль

Зарегистрирован:
02 июн 2010, 19:51
Сообщения: 2
Сообщение Re: Вирус на ровном месте
Мне доводилось воевать с этой гадой, зашел на сайт Dr Web, там предлагаются коды (там же как избавиться от остатков заразы тоже имеется), короче через час, другой осталось только неприятное воспоминание. Поймать это зверье можно где угодно, любит оно сайты с голыми тетками или бесплатными услугами (товарами), прячется за ссылками и рекламными баннерами. Щелкнул по такому месту, и поймал занятие на неопределенное время.


02 июн 2010, 20:48
Профиль
нови4ок
нови4ок
Аватара пользователя

Зарегистрирован:
12 фев 2014, 06:36
Сообщения: 32
Сообщение Re: Вирус на ровном месте
Ох, уж эти вирусы бесят. Можно на ровном месте схватить. Програмисты говорят что они могут быть даже между строк присланого тебе файла в ворде. И на работе и дома антивирусники стоят, разные. Дома пускает на определенный сайт, на работе не пускает на тот же сайт и сточностью до наоборот с друними сайтами. Дома - не хочет, на работе - милости просим. Кто вообще хороший антивирусник посоветует?


25 сен 2014, 11:26
Профиль WWW
по100ялец
по100ялец
Аватара пользователя

Зарегистрирован:
08 окт 2011, 19:44
Сообщения: 147
Сообщение Re: Вирус на ровном месте
Мудафон особенно улыбнул из обсосов) Насчет же антивируса - нет лучшего. Хотя на рынке лидер касперский, а по расшифровке файлов доктор веб, но пользователи все равно умудряются ловить вирусы с любым антивирусом. Только осторожность, обучение основам компьютерной грамотности и немного мозгов помогут практически с любым антивирусом чувствовать себя спокойно.

Zerea писал(а):
Ох, уж эти вирусы бесят. Можно на ровном месте схватить. Програмисты говорят что они могут быть даже между строк присланого тебе файла в ворде. И на работе и дома антивирусники стоят, разные. Дома пускает на определенный сайт, на работе не пускает на тот же сайт и сточностью до наоборот с друними сайтами. Дома - не хочет, на работе - милости просим. Кто вообще хороший антивирусник посоветует?


04 авг 2015, 01:25
Профиль ICQ
по100ялец
по100ялец
Аватара пользователя

Зарегистрирован:
08 окт 2011, 19:44
Сообщения: 147
Сообщение Re: Вирус на ровном месте
Количество проблем пользователя обратно пропорционально радиусу кривизны его рук


06 окт 2015, 14:03
Профиль ICQ
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 12 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения

Найти:
Перейти:  
cron

Контакты | Обратная связь | Реклама на сайте

При полном или частичном использовании любой информации с сайта ссылка на zarinsk.ru обязательна.

Яндекс.Метрика Рейтинг@Mail.ru