alexandra |
Date: Суббота, 16.01.2010, 05:37 | Message # 1 |
Майор
Group: Гос. Дума
Posts: 99
Reputation: 26
Status: Offline |
Наверно многие сталкивались с тем, что при загрузке windows всплывает баннер-вымогатель и просит отправить смс на номер, в противном случае он обещает висеть вечно или 30 дней. Собственно отправка смс ни к чему хорошему не приведет,это должно быть ясно) Когда мне принесли очередной ноут с письками и пиписьками на рабочем столе , я решил разобраться в проблеме сам. Скажу сразу, что во 1 это не вирус. и программа антивирус просто ничего не найдет.Злоумышленники постарались на славу.(По крайней мере ни 1)superantispyware 2)ad-aware 3)AVG,AVZ,Avast,KAV,KIS,nod32,dr.Web и еще несколько малоизвестных ничего не нашли. На сайтах антивирусных программ начали появлятся генераторы паролей для деактивации окон порнобаннеров. Сначала этим начали заниматься в dr.Web, потом подключилась Лаборатория Касперского. Зайдя на сайт dr.Web я увидел кучу скриншотов разных окон баннеров-вымогателей,с пометкой что это шпионские модули,backdoor, и др. Под каждым окошком подпись что это за разновидность трояна и как он называется. Далее предлагалось сравнить свое окно с ихним скриншотом. подобрать нужную версию трояна, и сгенерировать пароль. Проблема 1: При всплывающем баннере невозможно работать на данной машине. ctr+alt+del не срабатывает. т.е. сайт надо открыть с другой машины. Проблема 2: Я так и не нашел кода для своего порнобаннера. т.к. эти баннеры обновляются не хуже чем сами антивирусы, и генерация пароля просто не вышла по билду баннера (: На сайте лаборатории Касперского ситуевина еще хуже. Там генератор хз когда обновлялся. Очень удивило положение вещей,что антивирусы "прогнулись" под такой атакой,и что их больба с этими порнобаннерами ведется ... вернее не ведется. В общем я сразу положил большой порнобаннер на эти сайты и сделал следующее: Так как в безопасном режиме загрузится получится лишь в 10% случаев из ста, я загрузился с LiveCD. Когда стартовала загрузочая ОС, я зашел в поиск и сделал фильтр с маской .exe;.dll и добавил интервал по дате: за день на момент появления порнобаннера и + 1 день. Поиск нашел 3 файла: Можно сразу удалить. Если есть возможность можно посмотреть в интернете их назначение, и удалить еще яростнее (: Вот в принципе и все. Легко и просто. Надеюсь моя статья окажется полезной.
Attachment:
8891161.jpg
(9.2 Kb)
Николаевич
Post edited by alexandra - Суббота, 16.01.2010, 05:51 |
|
| |