Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

ДДТ

Новый баннер, блокировщик Windows.

Рекомендуемые сообщения

Не могу не процитировать, очень уж злободневно. :)

мне приносили компы, я приходил к друзьям.. все в один голос утверждали - мы ничего не делали, совсем ничего.. работал-работал комп, а потом на весь икран вылез баннер и тяперя комп не работает ((((

потом выясняется - вылезла реклама "разгони интернет в 10 раз" или "прочти смс своей жены" , причем Каспер орал свиньёй, но хуле нам, суровым... Каспер выключается, грузится говно и занавес.. приди, Иван, убери песду с монитора, тёща ругается

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

S10

она показывает разницу в файлах двух жестких виртуальных. Грубо говоря: Создается виртуальный жесткий, потом копируется. На копии цепляется зараза, а потом сравнивается с оригиналом. И показываются изменения.

VB он намного удобнее, да вот только функции такой нет =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

S10

Фигня эти ваши 62 дня. Я на 10 лет вперед дату перегонял...

Я же не говорю, что этот вариант помогает во всех случаях. Я лишь сказал, что вчера убрал баннер этим методом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

niftiak

А зачем смотреть разницу в ФС, если будет известно имя образца? :) В system32 они пишутся обычно.

В VB слепки делать можно, сравнивать вот нельзя... Ну и удалять иногда проблемно. :)

 

Skif-7777

Ну а я о чем? :) Повезло, в следующий раз труднее будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ребят, дайте мне сайт, где можно поймать баннер!!!

Я уже заколебался! Я стабильно три раза в неделю гоняю по разным адресам, чтобы вычистить эти сраные порнобаннеры. А себе на виртуалку я так, никогда, и не смог словить для анализа. Подскажите сайт, где можно 100% поймать заразу =)

....поймали на днях при попытке открыть астраханскую газету ...через мазилу не получалось решили через експлорер...и тут же вылез банер на весь экран..так что и без порно сайтов можно словить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересную вещь обнаружил с баннерами при загрузке Windows 7,XP. И так, при нажатии любых клавиш соответственно ни чего не происходит, нажатие Ctrl+Alt+Del не чего ни происходит, хотя многие замечали, что то вроде подгрузилось (должен появиться диспетчер) в ХР многократное нажатие Ctrl+Alt+Del выводит выбор смены учетной записи, тоже ноль. В отчаянии нажал раз 20 Ctrl+Alt+Del и тоже случайно опустил курсор мыши в самый низ и заметил стрелочки вверх вниз, те что позволяют уменьшать размер окна. Уменьшил, до тонкой полоски и пред мной предстал диспетчер задач. Убив в приложениях процесс dect1, баннер исчез, но рабочий стол не загрузился от того что не было процесса explorer, (новая задача) запустил ну потом соответственно нашел в учетке эту дрянь и удалил. Потом чистка реестра, чтоб эксплорер грузился а не убитый процесс баннера. Ну или на худой конец создать новую админскую учетку а эту удалить или забыть про неё. Данный эксперимент испробовал на трёх баннерах, успешно. То есть нажав несколько раз Ctrl+Alt+Del стрелочек не появляется именно много раз нажать, ну не раз 20, хотя бы 5-6. Может кому и пригодится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
соответственно нашел в утечке эту дрянь и удалил.

Что за "утечка"?

 

создать новую админскую утечку

Здесь "учетка"? Вроде как у блокеров модно писаться в C:\WINDOWS\system32 и раздел реестра Winlogon, который все учетки обрабатывают при загрузке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я имел ввиду слово Учётка, арфограф почему то сам переправил так. А я и не заметил. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Компания «Доктор Веб» предупреждает о новом способе распространения троянцев, блокирующих Windows, — через комментарии в «Живом Журнале» (LiveJournal, LJ).

Жертва, нажимая на полученный комментарий, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где ей предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поздравляю ЖЖшку: видимо, нашли уязвимость. Еще бы одноглазников с вконтактотой травить начали...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поздравляю ЖЖшку: видимо, нашли уязвимость. Еще бы одноглазников с вконтактотой травить начали...

 

90% банеров приходит через социальные сети, по поводу mail.ru "мой мир" тоже социалка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
90% банеров приходит через социальные сети, по поводу mail.ru "мой мир" тоже социалка.

90% банеров приходит через социальную инженерию:

Жертва, нажимая на полученный комментарий, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где ей предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Компания «Доктор Веб» предупреждает о новом способе распространения троянцев, блокирующих Windows, — через комментарии в «Живом Журнале» (LiveJournal, LJ).

Жертва, нажимая на полученный комментарий, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где ей предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock.

Что то их Доктор плохо этих самых троянов видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
http://syperigra.ucoz.ru - каспер устал пищать про пачку гадостей. Вот так и происходит ЭТО. Правда орет только если захожу оперой. Если с осла - тишина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И даже появились странички, косящие под блокировщик винды. Сегодня перекинули на какую-то страничку с ВКонтакта, а там такая хрень. Опять же расчитано на лохов, которые вместо того, чтобы спокойно закрыть страничку, побегут ложить бабки на указанный номер. А если додумаются хотя бы тупо нажать на ресет, будут на всех углах трубить о том, как героически побороли зловреда :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Часть вредоносных комментариев, ведущих на ссылку с винлокером, легко распознать. Они содержат кликабельную картинку-демотиватор с изображением Сергея Мавроди и распространяются под одним из двух заголовков: «Немного насущного оффтопа» или «Немного о насущном в оффтоп».

http://www.cnews.ru/news/top/index.shtml?2011/02/03/425935

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Компания «Доктор Веб» предупреждает о новом способе распространения троянцев, блокирующих Windows, — через комментарии в «Живом Журнале» (LiveJournal, LJ).

Жертва, нажимая на полученный комментарий, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где ей предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock.

Компания "Доктор Веб", российский разработчик средств информационной безопасности, сообщила о новом способе распространения троянов, блокирующих Windows - через комментарии в "Живом Журнале", популярном у русскоязычных пользователей сервисе блогов.

 

Так, в конце января 2011 г. российские пользователи этого сервиса блогов начали получать комментарии (с темой "Немного насущного оффтопа" или "Немного о насущном в оффтоп", содержащие картинку, при клике на которую попадали на сайт фотохостинга, с которого уже отправлялись на интернет-ресурс с порнографическим контентом, говорится в сообщении "Доктор Веб". Именно там им предлагалось скачать exe-файл, за которым скрывался печально известный Trojan.Winlock. Если пользователь попадал в эту ловушку и загружал предлагаемый объект, Trojan.Winlock блокировал его компьютер, выдавая сообщение с требованием перевести на специальный номер определенную сумму денег (как правило, 300-400 российских рублей).

 

Социальные сети всегда были лакомым кусочком для вирусописателей. Тем не менее, до недавнего времени модификации Trojan.Winlock через них активно не распространялись. По мнению специалистов "Доктор Веб", объясняется это, в частности, тем, что активно использовались другие каналы: сайты для взрослых, файлообменники и другие интернет-ресурсы с сомнительным контентом.

 

В последние месяцы финансовая схема, которой пользуются авторы Trojan.Winlock¸ претерпела некоторые изменения. Прежде всего, это связано с трудностями использования злоумышленниками в тех же объемах коротких номеров, на которые жертвы должны были присылать платные SMS-сообщения, пояснили в "Доктор Веб". Кроме того, вирусописатели начали активно искать новые каналы распространения, одним из которых с недавнего времени стал "Живой Журнал".

 

На сегодняшний день порядка половины всех обращений в службу технической поддержки "Доктор Веб" связано с проблемой заражения Trojan.Winlock. При заражении Trojan.Winlock в компании рекомендуют посетить специальный сайт "Доктор Веб" - drweb.com/unlocker, созданный для помощи пользователям в разблокировке компьютеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А у меня недавно случай тресковый был..На висте! Оказывается кглюки Висты бывают полезными...Принесли мне недавно ноут с порнобаннером, открываю крышку начинает восстановление Висты, захожу под учёткой выскакивает порнобаннер его начинает кантузить в итоге выскакивает ошибка "работа программы ххх...... будет завершена и бла бла бла" и чёрный экран...Хлоп диспетчер задач - работает, выполнить explorer -показался рабочий стол всё работает всё пучком...Полез в реестр в ветке винлогана ничего подозрительного, по названию через поиск отыскал ключик..Удалил ключик, удали файлик на который ключик ссылался и вуаля ))) Самая моя лёгкая победа на порнобанером (ну не считая того что раньше я их убирал дешифратором от дрвеба)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня разбирался с подобной хнёй. Подходит сотрудник, говорит: "Блин хотел клип посмотреть, скачал flas-player и писец, комп перезагрузился и требует 400р положить на баланс." "Чё порнушкой балуемся да? Ну иди и клади, раз руки из Ж" "Нее, клип правда " Прихожу, загружаюсь в безопасном режиме с командной строкой. Реестр благо оказался не заблокирован, далее: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon в shell был прописан C:\Users\Администратор\Downloads\Install_Flash_Player.exe - исправляю на explorer.exe, в usernit без изменений.

Перезагружаюсь всё нормуль и поверяю браузер, название сайта зловреда повеселило drochem.ch.cc :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А у меня недавно случай тресковый был..На висте! Оказывается кглюки Висты бывают полезными...Принесли мне недавно ноут с порнобаннером, открываю крышку начинает восстановление Висты, захожу под учёткой выскакивает порнобаннер его начинает кантузить в итоге выскакивает ошибка "работа программы ххх...... будет завершена и бла бла бла" и чёрный экран...Хлоп диспетчер задач - работает, выполнить explorer -показался рабочий стол всё работает всё пучком...Полез в реестр в ветке винлогана ничего подозрительного, по названию через поиск отыскал ключик..Удалил ключик, удали файлик на который ключик ссылался и вуаля ))) Самая моя лёгкая победа на порнобанером (ну не считая того что раньше я их убирал дешифратором от дрвеба)

Подскажи, пожалуйста, дейсвтя, если Winlogon девственно чист (explorer.exe), антивирь файл xxx_video_номерки.exe удалил, но картинка порнобаннера при загрузке системы всё равно грузится. 2 раза сталкивался с этим на ноутах (насистемниках всё чичтится на ура).

 

П.С. Один раз столкнулся с порнобаннером, отключающим английский язык в безопасном режиме с поддержкой ком. строки (то есть regedit не наберёшь). Ничего, обошёл)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Подскажи, пожалуйста, дейсвтя, если Winlogon девственно чист (explorer.exe), антивирь файл xxx_video_номерки.exe удалил, но картинка порнобаннера при загрузке системы всё равно грузится. 2 раза сталкивался с этим на ноутах (насистемниках всё чичтится на ура).

 

П.С. Один раз столкнулся с порнобаннером, отключающим английский язык в безопасном режиме с поддержкой ком. строки (то есть regedit не наберёшь). Ничего, обошёл)

Тут надо рыть в папке настроек пользователя обычно в темпах эта зараза трётся..Можно также удалить папки с настройками браузера (опера мозила ИЕ)..Также если знаешь точное название файла то через поиск в редакторе реестра поищи ключики на него...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты