| alexandra |
Date: Суббота, 16.01.2010, 05:37 | Message # 1 |
 Майор
Group: Гос. Дума
Posts: 99
Reputation: 26
Status: Offline |
Наверно многие сталкивались с тем, что при загрузке windows всплывает баннер-вымогатель и просит отправить смс на номер, в противном случае он обещает висеть вечно или 30 дней.
Собственно отправка смс ни к чему хорошему не приведет,это должно быть ясно)
Когда мне принесли очередной ноут с письками и пиписьками на рабочем столе , я решил разобраться в проблеме сам.
Скажу сразу, что во 1 это не вирус. и программа антивирус просто ничего не найдет.Злоумышленники постарались на славу.(По крайней мере ни
1)superantispyware
2)ad-aware
3)AVG,AVZ,Avast,KAV,KIS,nod32,dr.Web и еще несколько малоизвестных ничего не нашли.
На сайтах антивирусных программ начали появлятся генераторы паролей для деактивации окон порнобаннеров.
Сначала этим начали заниматься в dr.Web, потом подключилась Лаборатория Касперского.
Зайдя на сайт dr.Web я увидел кучу скриншотов разных окон баннеров-вымогателей,с пометкой что это шпионские модули,backdoor, и др. Под каждым окошком подпись что это за разновидность трояна и как он называется.
Далее предлагалось сравнить свое окно с ихним скриншотом. подобрать нужную версию трояна, и сгенерировать пароль.
Проблема 1: При всплывающем баннере невозможно работать на данной машине. ctr+alt+del не срабатывает. т.е. сайт надо открыть с другой машины.
Проблема 2: Я так и не нашел кода для своего порнобаннера. т.к. эти баннеры обновляются не хуже чем сами антивирусы, и генерация пароля просто не вышла по билду баннера (:
На сайте лаборатории Касперского ситуевина еще хуже. Там генератор хз когда обновлялся.
Очень удивило положение вещей,что антивирусы "прогнулись" под такой атакой,и что их больба с этими порнобаннерами ведется ... вернее не ведется.
В общем я сразу положил большой порнобаннер на эти сайты и сделал следующее:
Так как в безопасном режиме загрузится получится лишь в 10% случаев из ста, я загрузился с LiveCD.
Когда стартовала загрузочая ОС, я зашел в поиск и сделал фильтр с маской .exe;.dll и добавил интервал по дате: за день на момент появления порнобаннера и + 1 день.
Поиск нашел 3 файла:
Можно сразу удалить. Если есть возможность можно посмотреть в интернете их назначение, и удалить еще яростнее (:
Вот в принципе и все. Легко и просто.
Надеюсь моя статья окажется полезной.
Attachment:
8891161.jpg
(9.2 Kb)
Николаевич
Post edited by alexandra - Суббота, 16.01.2010, 05:51 |
| |
| |
