Bibigool » 18 янв 2010 12:37, Пн
Во второй половине сентября 2009 г. активизировался еще один троян – sms-вымогатель, требующий отправить sms с текстом 7728 на номер 4125 (при этом клятвенно заверяется, что «точная стоимость» sms для России составляет 150 рублей без НДС). Вирус распространяется от имени компании AdRiver – так называемой системы управления интернет-рекламой (кстати, AdRiver именут себя «Компанией профессионалов»: «Мы создали и развиваем самую современную технологию, способную серьезно конкурировать на мировом рынке»).
Распространением вируса занимаются варезные, халявные и порно-ресурсы (самые активные из них – http://sexshopextra.ru/ и http://www.sms-referati.ru/).
Зачастую заражение происходит при посещении ресурсов, вполне безобидных с виду.
Например, на поисковый запрос «Подготовка к экзамену по физике» Google – в числе прочего – выдал веб-страницу Скачать электронную книгу "Физика. Интенсивный курс подготовки к экзамену: основные методы решения задач". При попытке скачать эту книгу по прямой ссылке с указанной веб-страницы скачивается файл Book_8377.exe (2,7МБ). При запуске файла появляется окно BooksClient с сообщением, что данный клиент позволяет вам получить доступ к базе и скачать книгу (реферат, справочник, курсовую), которую вы выбрали на сайте. При нажатии на кнопку Скачать выбранную книгу начинается установка вредоносной программы на ПК пользователя, при этом появляется сообщение Соединение с сервером… Идет скачивание книги…
Всё – вирус – с вашей помощью! – успешно установлен в систему.
Симптомы заражения:
На зараженном ПК через определенные промежутки времени появляется – поверх всех открытых окон – непотопляемое окно с заголовком «Появились новые товары (для постоянных клиентов магазина)», в котором рекламируются товары порно-индустрии. Окно нельзя ни закрыть, ни переместить, оно закрывается само через 60 секунд. Через некоторое время порно-баннер появляется снова…
При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:
Лечение:
-
Перезагружаемся в безопасном режиме под тем же пользователем (либо придется сделать исправление в bat-файле - вместо %userprofile% пишем полный путь до папки Application data зараженного пользователя)
-
Выполняем reg-файл:
Код: Выделить всё
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\CMedia]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CMedia]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{6B830884-20E3-4AB6-B672-2629F0F72071}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"FieryAds v2.0.2"=-
[HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\InprocServer32]
@=""
[HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\ProgID]
@=""
[HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\VersionIndependentProgID]
@=""
-
Запускаем bat-файл:
Код: Выделить всё
rd /S /Q "%userprofile%\Application data\CMedia"
rd /S /Q "%userprofile%\Application data\FieryAds"
del /f /q "%userprofile%\Application data\fieryads.dat"
regsvr32 /i shell32.dll
-
Сканируем систему свежим антивирусом
Оригинал статьи
Во второй половине сентября 2009 г. активизировался еще один троян – sms-вымогатель, требующий отправить sms с текстом 7728 на номер 4125 (при этом клятвенно заверяется, что «точная стоимость» sms для России составляет 150 рублей без НДС). Вирус распространяется от имени компании AdRiver – так называемой системы управления интернет-рекламой (кстати, AdRiver именут себя «Компанией профессионалов»: «Мы создали и развиваем самую современную технологию, способную серьезно конкурировать на мировом рынке»).
Распространением вируса занимаются варезные, халявные и порно-ресурсы (самые активные из них – http://sexshopextra.ru/ и http://www.sms-referati.ru/).
Зачастую заражение происходит при посещении ресурсов, вполне безобидных с виду.
Например, на поисковый запрос «Подготовка к экзамену по физике» Google – в числе прочего – выдал веб-страницу Скачать электронную книгу "Физика. Интенсивный курс подготовки к экзамену: основные методы решения задач". При попытке скачать эту книгу по прямой ссылке с указанной веб-страницы скачивается файл Book_8377.exe (2,7МБ). При запуске файла появляется окно BooksClient с сообщением, что данный клиент позволяет вам получить доступ к базе и скачать книгу (реферат, справочник, курсовую), которую вы выбрали на сайте. При нажатии на кнопку Скачать выбранную книгу начинается установка вредоносной программы на ПК пользователя, при этом появляется сообщение Соединение с сервером… Идет скачивание книги…
Всё – вирус – с вашей помощью! – успешно установлен в систему.
[b]Симптомы заражения:[/b]
На зараженном ПК через определенные промежутки времени появляется – поверх всех открытых окон – непотопляемое окно с заголовком «Появились новые товары (для постоянных клиентов магазина)», в котором рекламируются товары порно-индустрии. Окно нельзя ни закрыть, ни переместить, оно закрывается само через 60 секунд. Через некоторое время порно-баннер появляется снова…
При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:
[b]Лечение:[/b][list=1][*] Перезагружаемся в безопасном режиме [b]под тем же пользователем[/b] (либо придется сделать исправление в bat-файле - вместо [i]%userprofile%[/i] пишем полный путь до папки [i]Application data[/i] зараженного пользователя)[*] Выполняем reg-файл:[code]Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\CMedia]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CMedia]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{6B830884-20E3-4AB6-B672-2629F0F72071}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"FieryAds v2.0.2"=-
[HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\InprocServer32]
@=""
[HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\ProgID]
@=""
[HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\VersionIndependentProgID]
@=""
[/code][*] Запускаем bat-файл:[code]rd /S /Q "%userprofile%\Application data\CMedia"
rd /S /Q "%userprofile%\Application data\FieryAds"
del /f /q "%userprofile%\Application data\fieryads.dat"
regsvr32 /i shell32.dll [/code][*] Сканируем систему свежим антивирусом[/list][url=http://netler.ru/ikt/cmedia-fieryads.htm]Оригинал статьи[/url]