Перейти к содержанию
Mike

ВРАГИ (Часть Третья)

Recommended Posts

Mike

Недавно мне попал в руки еще один комп.

На этот раз владелец компа был русскоязычный.

На мониторе треть десктопа занимала картинка с "информером".

достаточно убогая гадость, четыре порнокартинки

(я их заштриховал белым цветом чтобы порно не было видно)

два –три невнятных предложения, и главное обращение к жертве послать XMS для "удаления информера".

чтобы удалить информера , нужно послать XMS 195088083 на следущие номера

Russia, MTS 5537

Russia, Tele2 1171

Russia, ostalnie 9915

а также в другие страны начиная с украины и заканчивая таджикистаном и германией.

меня удивило, какой нужно обладать наглостью, чтобы открыто выкладывать номера мобильника.

неужели этот урод (или уроды) не боится милицию и кгб, ведь там вроде–бы созданы отделы по борьбе с киберпреступносью?

или у них нет возможности узнать у операторов , кому принадлежат эти номера ???

2.JPG

post-97-1228496977_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

зловред примитивный: экзешник с заархивированной либой, которая грузит и запускает десяток гифов.

кстати из трех ведущих российских антивирусов :):):) только доктор " палит" и екзешник и либу как Blackmailer.origin,

хотя зловред уже неделю лежит в закрытом разделе на форуме.

видимо товарищи из касперски–лаб и леты его и за вирус не считают.

http://www.virustotal.com/ru/analisis/53ec...9384ceab802280d

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
чтобы открыто выкладывать номера мобильника.

Это не номер мобильника. Это специальный платный сервис.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Это не номер мобильника. Это специальный платный сервис.

а какая разница.

хозяин сервиса известен?

или этим мтс и теле2 сами занимаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
На мониторе треть десктопа занимала картинка с "информером"... четыре порнокартинки

видимо товарищи из касперски–лаб и леты его и за вирус не считают

А стартовая страница на какую была изменена? У меня тоже подобные случаи нередки.

Установленный KAV7 не обращает внимания на картинки, наверное они не вирусоносные, или активный зловред ловится на излёте, а "галереи" остаются.

Один раз у меня хозяйка компа сказала: "Смотрите сами. Я не могу на это смотреть!" - и ушла на кухню. :)

Убрал вручную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
А стартовая страница на какую была изменена?

а причем тут стартовая страница?

информер сверху экслорера ложится.

кстати, чистится элементарно: убивается dll и 3–4 записи в реестре.

меня другое прикалывает: куда милиция смотрит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
а причем тут стартовая страница?

информер сверху экслорера ложится

Ааа, вон вы про какой - PopUp. У меня поприкольнее попался. :)

Заходит пользователь на Mail.ru - там справа всегда флеш-ролик крутится - это уже никого не мандрыжит.

Так вот? вместо этой флеш-картинки на заражённом компе аккурат крутится ролик про... "дырки-палки".

Вот его-то изрядно насмотревшись, так "боялась" моя клиентка - женщина в возрасте.

Тот же или похожий флеш-ролик крутился и на другом её любимом сайте - одноклассники.ру, только не сбоку, а внизу окна - полоской.

А стартовая страница у неё почему-то стояла двойная - "mail.ru odnoklassniki.ru" - именно так.

Вырезал заразу, а потом и стартовую страницу очистил. Проверил, показал ей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

один из гифов:

29887DDE_00B9_4011_9CF7_59511F1ECC1B.gif

post-97-1228516574_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Да, забыл написать - номера телефонов и условия удаления флеш-картинок примерно такие же, как у вас в первом посте.

Скриншоты сделать не решился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777

Здесь используется уязвимость в браузере, позволяющая делать скрытую установку надстроек.

Этого гада мы (Лаборатория Касперского) успешно детектируем. ;)

Поставьте в настройках "угрозы и исключения" галочку в чекбоксе "другие программы" (для КАВ/КИС 2009).

Руками убирается тоже просто: заходим в свойства браузера "управление надстройками" и отключаем ту надстройку, которая связана с библиотекой ***lib.dll (*** - разные, в зависимости от зловреда).

Перезагружаем компьютер. Информер убран.

Запускаем проверку папки (системный диск)/windows/system32 и вычищаем библиотеку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Олег! Всё дело в том, что у 80% пользователей антивирус стоит с настройками "по умолчанию", соответственно ни о какой безопасности этих пользователей и защите их от "потенциально-опасного ПО" речи быть не может. Я за то, чтобы вообще убрали это разделение. Представьте себе пользователя, у которого установлен KIS и он закачал себе "Антивирус ХР". Он видит сообщение на рабочем столе о том, что его компьютер заражен. Логика простая - "у меня установлен KIS, я подцепил заразу, а мне так этот антивирус хвалили!". Нельзя пользователям давать даже повод подумать о том, что "Это ты облажался, вовремя не поставил галочку в нужном месте! Мы тут ваще не при чём!". По моему глубокому убеждению - программа либо вредная, либо нет, и значений посередине (на 50%) быть не должно!.

P.S. И ещё, уберите, наконец, из потенциально опасного ПО программу RAdmin, достал уже этот прикол. Всем админам и без сообщения антивируса ясно, что программа представляет угрозу безопасности компьютеру. А простой пользователь может поставить себе удалённое администрирование только если пользуется "зверскими" сбоками :) (казнить zver'я, нельзя помиловать! :D )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
хозяин сервиса известен?

Заявление на него было? Ну, раз не было, то и дело не заводится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Заявление на него было? Ну, раз не было, то и дело не заводится.

речь идет не о том было–ли заявление или нет, а о том, что хозяин сервиса видимо подобных заявлений не боится.

Этого гада мы (Лаборатория Касперского) успешно детектируем. ;)

Запускаем проверку папки (системный диск)/windows/system32 и вычищаем библиотеку.

во–первых, как раз вы–то, в отличие от доктора его и не "детектируете" :):):)

а во–вторых, чтобы вычистить библиотеку нужно знать ее имя, а найити ее в "(системный диск)/windows/system32 " достаточно непросто.

Файл cyelib.dll получен 2008.12.06 13:27:21 (CET):

DrWeb 4.44.0.09170 2008.12.06 Trojan.Blackmailer.origin

GData 19 2008.12.06 Win32:Hexzone-U

Ikarus T3.1.1.45.0 2008.12.06 Trojan-Ransom.Win32.Hexzone

Kaspersky 7.0.0.125 2008.12.06 -

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
речь идет не о том было–ли заявление или нет, а о том, что хозяин сервиса видимо подобных заявлений не боится.

Речь как раз об этом. "Безнаказанность рождает безответственность".

Олег777

Тебя послушать, так либа одна прямо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ранее см. мои предыдущие посты #5,7,9.

Сегодня вырезал аналогичную заразу. В данном случае пострадала юная любительница сайта vkontakte.ru.

Прилагаю аналогичный скриншот. Неприличное прикрыл сердечками.

Free_PV.zip

***

Забавно, что отправить смс на предложенный там номер не удаётся - в ответ: Нет такого номера.

Фрипорновское заражение произошло опять на ПК, где стоял лицензионный KAV7. Программа ежедневно обновлялась, а пользователь слыхом не слыхивал о том, что можно скачать и установить KAV8 на ту же лицензию.

Пока ни одного случая фрипорновского заражения у пользователей KAV8 я не видел.

***

Легко удалить внедрённый BHO-модуль и его запись можно при помощи утилиты HiJackFree (от a-squared Anti-Malware).

Пофиксить запись можно и при помощи всеми любимого Trend Micro HijackThis, но тогда удалять pnblib.dll придётся вручную. Наверное AVZ тоже справится с ней без проблем, проверю в следующий раз.

pnblib.dll.JPG

Скриншот отчёта HijackThis - всё налицо.

Free_PV.zip

post-3999-1228600016_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
Американский суд запретил рекламировать в интернете ложные антивирусы

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Американский суд запретил рекламировать в интернете ложные антивирусы

Я, конечно, дико извиняюсь, но Вы не там запостили. :)

Вам нужно было во "Враги, часть вторая":

http://www.anti-malware.ru/forum/index.php...13&hl=враги

А Вы, случайно в третьей части оказались. :)

Кстати у меня инфа и для первой части "Врагов" появилась. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Mike

Так запостите и перепостите! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Сегодня вырезал аналогичную заразу. В данном случае пострадала юная любительница сайта vkontakte.ru.

кстати юные любительныцы vkontakte.ru, у которых установлены, касперский, авира, и прочие супер–пуперские ноды

страдали, страдают и будут страдать дальше.

:):):)

http://www.virustotal.com/ru/analisis/f36c...ec9794e0203b838

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Не видел ранее, писали ли тут о появившемся в конце лета другом монстре вконтакного общения - вштате.ру?

«Вштате.ру» — дочерне-сыновьий проект социальной сети «В контакте». Авторы проекта ожидают, что в 2009 г. vshtate.ru заработает 5-10 млн. долларов.

Зарегистрироваться на новом сайте могут как представители компаний, так и соискатели - те, кто рассчитывает, разместив своё резюме, найти работу. Зарегистрироваться можно через ВКонтакте.ру - на специальной странице: в этом случае данные из аккаунта ВКонтакте плавно перетекут на новый сайт. Доступна регистрация и с главной страницы ВШтате.ру.

Интерфейс для соискателей прост и понятен: можно указать свои контактные данные, места работы, образование, знание языков. Других стандартных полей не предусмотрено: пользователю предлагается самостоятельно создать и заполнить их.

В составлении некоторых списков явно не обошлось без user-generated content: поле ”сфера должности” представляет обширное поле для фантазии.

После заполнения резюме оно уходит на проверку модераторам. Заполненное менее чем на 60% резюме неактивно, т.е. не будет выводиться в результатах поиска по соискателям.

Не дожидаясь отклика от работодателей, можно поискать опубликованные на сайте вакансии. При желании можно настроить оповещения на email о новых вакансиях, соответствующих определённым критериям.

На данный момент ВШтате.ру имеет максимально простой и достаточно удобный интерфейс, чем явно отличается от множества аналогичных сайтов для поиска работы.

Он, к счастью, не претендует на звание социальной сети, однако в сочетании с огромной аудиторией ВКонтакте.ру наверняка даст работодателям отличную базу для подбора персонала.

И потом обитающие на Вконтакте.Ру malware плавно перекочуют на Вштате.Ру за... премией и закуской. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
кстати юные любительныцы vkontakte.ru, у которых установлены, касперский, авира, и прочие супер–пуперские ноды страдали, страдают и будут страдать дальше.

http://www.virustotal.com/ru/analisis/f36c...ec9794e0203b838

Не факт, конечно. Бывает достаточно часто, что дома что-то определяется, а на VT нет, и наоборот. :)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Не факт, конечно. Бывает достаточно часто, что дома что-то определяется, а на VT нет, и наоборот. :)

посмотри первые посты.

как раз дома–то и не определяется.

и авира (в моем случае) и касперский (у андрея) успешно этот "информер" и пропустили.

и до сих пор не внесли в базы.

ну авире простить можно – она на русскоязычные (именно русскоязычные, а не российские) не заточена.

а вот российским – касперу и ноду , это непростительно. :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

сегодня на одном русскоязычном форуме обнаружил крик о помощи.

короче, сразу после запуска винды, на мониторе появляется первая картинка.

если на нее ткнуть, появляется втораяи виндовс переходит в ожидание кода активации.

есть еще умельцы на руси и телефон службы поддержки у них: 495– 3631–427

894923b63d94.jpg

5e7aaf8b39fd.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
сразу после запуска винды

А Винда-то какая упоминается?

Ааа, вот, увидел - XP...

495 - Москва?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Mike

Словил сегодня зверушку: вот она какая!

Влетела в директорию Windows на полном скаку. Установилась как у себя дома, не удалялась, ни отключалась, но зато прописалась в Автозагрузку. Отключил насильно и удалил. Экземпляр для опытов сохранил.

А порнушные BHO для IE до сих пор попадаются... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В категории установленные программы необходимо добавить распределение по типу программ. ( актуальных для темы лечения ) Браузеры Антивирусы VPN - Сервисы Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...  
    • demkd
      ничего нового ---------------------------------------------------------
       4.99.5
      ---------------------------------------------------------
       o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
         Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
         запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.

         Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
         Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
         после появления меню выберите:
         Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS

         В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
         поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
         не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
         В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
         При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
         для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".

       o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
         если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
         автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
         следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
         (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
         (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
         (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
         (!) с отрисовкой окон и без удаленного доступа.
         (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
         (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.

       o Добавлены новые модули:
         o файл rein/rein.x64 отвечает за запуск uVS из меню.
         o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
         o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.

       o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
         запуску uVS и файлового менеджера.

       o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
         (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
         (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)

       o Улучшена функция создания загрузочных дисков.
         ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
         т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
         Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
         Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
         (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
         (!) флешки теперь мультизагрузочные.

       o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.

       o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.

       o Теперь окно лога передачи файла можно свернуть вместе с основным окном.

       o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.

       o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
         всегда имеет фиксированное имя "uvsrdp".
         Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.

       o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
         системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
         при этом исходный файл хотя бы частично попал в файловый кэш.

       o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
         Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.

       o uVS теперь совместим со штатной средой восстановления Windows 8.

       o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
         задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).

       o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.

       o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
         если был выбран режим захвата экрана GDI или DDA1.

       o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
         в удаленную систему.

       o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
         к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.

       o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.

       o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.

       o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").

       o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.

       
    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
×