Вирус Появился Совершенно Неожиданно

Эта история произошла со мной вчера вечером.

Время приближалось к полуночи, когда я лазил по просторам и глубинам Интернета в поисках текста одной прекрасной украинки.

песни .

Введя поисковый запрос в Яндекс, я открыл несколько вкладок с результатами поиска.

Винт немного хрустнул, а затем выскочило подряд несколько окон Антивируса Касперского с уведомлением о том, что некий «xBXJ.exe» и несколько подобных файлов перенесены в группу «Слабые ограничения».

После этого на долю секунды мелькнуло черное окно, такое, какое обычно выскакивает при запуске консольных программ.

Через долю секунды после этого я уже нырял (нет, не в глубины Интернета) под стол в тщетной попытке успеть вытащить патч-корд из сетевой карты компьютера.

Конфигурация системы: — Win XP со всеми патчами и обновлениями, брандмауэр Windows отключен.

— Включен Kaspersky Internet Security 2009 с обновлениями от 24 марта 2010 г.

— Opera 10.51 (последняя на данный момент версия) Для начала я поменял пароли на свои почтовые ящики и аську со второго компьютера (ноутбука).

Затем я посмотрел логи Касперского: 25.03.2010 23:53:24 xBXJ.exe Фильтрация активности Отнесен в группу Слабые ограничения Имеет высокий эвристически рассчитанный рейтинг опасности 25.03.2010 23:53:44 joSB.exe Фильтрация активности Отнесен в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности 25.03.2010 23:53:46 MjyD.exe Фильтрация активности Отнесен в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности 25.03.2010 23:53:53 del.bat Фильтрация активности Размещен в группе Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности Честно говоря, я был удивлён, что при настройках по умолчанию и высоком рейтинге опасности Касперский молча разрешает выполнение файлов.

Потом я общался с людьми в Интернете, пробовал искать имена файлов через Яндекс Гугл, но эти имена явно были сгенерированы, возможно, поэтому поиск не дал никаких результатов.

Было два часа ночи, я лег спать.

Когда я проснулся и включил компьютер (я так и не подключил к нему сетевой кабель), то увидел чудесную картинку: в центре экрана располагался программный порнобаннер, который нельзя было ни закрыть, ни свернуть; и который блокирует попытки открыть диспетчер задач.

И еще у меня есть новый файл: C:\Program Files\plugin.exe. Сообщение от мошенника выглядело так:



Отправьте SMS с текстом 1275131 на номер 8353. Введите полученный код: [______](удалить баннер) Если возникнут проблемы, вы всегда можете обратиться: ICQ 558812836 электронная почта: [email protected] … … Ок, картина ясна и понятна, думаю, всем.

я захожу на сайт freedrweb.com/cure-it и загрузите бесплатную утилиту сканирования.

Который, однако, не находит ничего подозрительного (что странно, ведь обычно в таких случаях помогает).

Замечу, что я сделал следующее: скачал на свой ноутбук программу, закинул на флэшку, перевел флешку в режим «только чтение» и только после этого воткнул ее в зараженный компьютер.

Дальше я сделал следующее: ищу в интернете, кому принадлежит этот короткий номер «8353», провайдером оказывается «1-й альтернативный провайдер» (через него чаще всего работают мошенники).

Захожу на сайт и звоню по указанному номеру.

Девушка из колл-центра переключает меня на 1-ю линию техподдержки (добавочный номер 555).

Далее меня переключают на 2-ю линию техподдержки (прямой телефон 663-71-14), где звучат короткие гудки.

я звоню второму один раз, и третий, и четырнадцатый раз.

Наконец, после пятнадцатого звонка, объясните ситуацию, сообщите текст, который требует троян, для отправки по СМС (1275131) на номер 8353. В ответ сотрудник сообщает мне код, который нужно ввести в этот самый порно баннер.

Код такой: 1968845971 .

Ввожу его, нажимаю кнопку «Удалить баннер», окно с порно исчезает. При этом Касперский, гад, так же спокойно разрешает запуск файла del.bat, который стирает его следы.

Работа над ошибками, или «Что я сделал не так» : Во-первых, если я выключал основной компьютер после обнаружения вируса, мне приходилось отключать винт, не включая его, и подключать его к ноуту через переходник (он у меня был), чтобы полностью проверить все файлы на наличие вирусов, или загрузиться с Live-CD с той же целью.

Во-вторых, мне нужно было загрузить и запустить Cure-IT _перед_ выключением/перезагрузкой компьютера.

Тогда, возможно, окно с порно не появилось бы.

Однако это маловероятно, поскольку запуск утилиты Cure-IT с загруженным на половину экрана программным порнобаннером не выявил никаких троянов.

В-третьих, мой стандартный брандмауэр Windows был отключен.

Я думал, что включенного KIS будет достаточно, но.

В-четвертых, при сканировании системы на уязвимости я обнаружил следующие устаревшие программы с «дырками»: winamp, Adobe Reader, QuickTime. Уязвимости в этих программах позволили злоумышленникам запустить вредоносный код. В-пятых.

вопрос к зрителям: что еще я сделал не так? (пожалуйста, не советуйте менять операционную систему, браузер, антивирус, цвет кожи, страну проживания и т.д. ;-) Что еще хотелось бы сказать: все подобные схемы мошенничества работают только при низком контроле ОПСОС и поставщиков услуг (в данном случае 1-го Альтернативного Провайдера), ведь при желании можно создать такие схемы работы, которые настолько усложнят задачу.

мошенникам зарабатывать деньги, которые они будут. С такими программами работать невыгодно.

Я думаю, что каждый может придумать такие способы - отсрочка выплаты денег, контрольные СМС и т.д. и т.п.

Как говорится, было бы желание у тех, от кого это зависит. В общем, относительно «счастливый» конец.

Другой вопрос, что непонятно, на каком сайте я подхватил вирус, и какие действия мне нужно предпринять, чтобы ситуация не повторилась.

При желании я могу выслать вам персональную ссылку на подозрительные страницы (вытянутые из истории браузера), которые я посещал перед загрузкой троянов.

Страницы все подозрительные — на каждой куча скрытых iframe с разной вложенностью и непонятные Java-скрипты.

Такие вот дела.

УПД.

В настоящее время KIS уже обнаруживает эту ошибку.

Те.

С обновлениями от 25 марта не поймал, а с обновлениями от 26 марта уже ловлю.

Теги: #вирус #КИС #лечение #смс #смс #а1агрегатор #информационная безопасность

• Конвертируйте Mts В Wmv, Чтобы Импортировать Mts В Программу Windows Movie Maker Для Редактирования.

  19 Oct, 24

• Очистите Диск, Чтобы Удалить Данные С Жесткого Диска

  19 Oct, 24

• Вице-Президент Lingualeo Артём Логинов Об Успехе Foursquare После Разделения Сервиса На Два Приложения

  19 Oct, 24

• Xiaomi Представила Самокат И Умный Телевизор Mi Tv 3

  19 Oct, 24

• 30 Лет Nintendo Nes

  19 Oct, 24

• Знакомство С Flex 3

  19 Oct, 24

• Каким Может Быть Бизнес По Подписке

  19 Oct, 24

• Новый Метод Работы В 37Signals: Итоги Двух Месяцев

  19 Oct, 24

• .Xlsx На Службе Оператора Базы Данных

  19 Oct, 24

• Конференция Dump-2017: Секция «Тестирование»

  19 Oct, 24