порнобаннер

[8888]

За деньги? Жмот ты.

[Fist007]

А ты видишь, что я цены указал? Но от бутылочки пива не откажусь :unknw:

[HiMiK]

Эх вы! Кто ж сейчас от порнобаннеров отказывается?

[Fist007]

Если есть вопросы или предложения. А так же "крики о помощи"
http://vkontakte.ru/club18139604

[John_Williams]

Блокировщики Windows больше не требуют SMS
4 июня 2010 года, 22:32
// IT, Безопасность, Интернет, связь
Печатать
Вставить в блог
Размер шрифта:

Компания «Доктор Веб» опубликовала очередной отчет о вирусных угрозах в Сети, в котором сообщила о новой волне блокировщиков Windows.

Такие блокировщики и их классические модификации определяются антивирусными продуктами «Доктор Веб» как Trojan.Winlock. Начиная с середины мая компания зафиксировала повышение активности блокировщиков Windows. В первые дни количество сообщений об обнаружении троянов превышало ежесуточную норму последних месяцев в несколько раз. 18 мая было зафиксировано 215 тысяч сообщений об обнаружении Trojan.Winlock и Trojan.AdultBan при норме 1,5 тысячи в сутки.

По сообщению компании, значительную долю обнаруженных блокировщиков составили модификации, не требующие отправки SMS-сообщений. Вместо этого вида вымогательства, ставшего уже привычным для пользователей, новый вид троянов сообщает о необходимости перевести деньги через платежные терминалы. В мае в качестве транзита для получения наличных денег злоумышленники опробовали множество электронных денежных систем, в том числе, WebMoney, RBKMoney, Wallet One.

К концу месяца тактика злоумышленников изменилась, и вредоносные программы стали чаще предлагать пользователям перевести деньги на счет мобильного телефона, зарегистрированного у одного из российских сотовых операторов.

Схема мошенничества довольно проста: блокировщик выдает сообщение о том, что код разблокировки якобы будет находиться на чеке, который выдает терминал после перечисления денег. Суммы, которые киберпреступники требовали отправить через терминалы в случае заражения, колеблются в диапазоне от 250 до 500 рублей, что приблизительно соответствуют запросам «классических» блокировщиков.

Как отмечает «Доктор Веб», противодействие таким операциям затруднено, так как злоумышленники постоянно меняют номера телефонов, тем самым снижая вероятность их обнаружения.

Будьте осторожны!!!
Этот баннер возможно удалить только через ERD Commander или сторонний софт, подгрузившись с диска или флешки, прописывается тело вируса в
HKLM\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Winlogon--->Shell, отключается диспетчер задач, вес около 124 килобайт (вирус делает принт скрин экрана), находится обычно в папке \Documents and settings\.....\Мои Документы.
Грузится и в безопасном режиме или выдает синий экран. KAV 2010 его не обнаруживает.

[Fist007]

Удаляется с помощью Starter или ввода кода ( код могу узнать в течении 5 минут и до 24 часов) :good:

[Graf Mur]

Так и не понял, чего весь сыр-бор с этими порно-баннерами. Тупая хрень, рассчитанная на юзверей, испуганных и забитых ;)

Сегодня коллега упросил посмотреть и что-нибудь сделать (в прошлый раз он решил, что проще и лучше переустановить систему :D). Решил сходить посмотреть, чтоже это такое страшное, чем детей пугают :crazy:

WinXP, при загрузки вылезает баннер. Удалось запустить имевшийся в системе Process Explorer, но воспользоваться не получилось - всё оказалось застопорившимся - антивирь, меню Пуск, "три кнопки" и т.п. - ощущение, что скриншот натянули на экран (может так и есть, разбираться не стал).
Далее - перезагрузка - загрузка ALKID LiveCD - запуск Autoruns - зачистка автозагрузки. Экзешник баннера сидел в TEMPе (что-то нечленораздельное с преобладанием букв "b" и "j"). Удалил из автозагрузки запись, потом в ТоталКоммандере удалил сам экзешник. Всё. Перезагрузка, установка AnVir Task Manager, объяснение чего можно, а чего нельзя. 15 минут работы (ALKID долго грузится).
Судя по времени и журналу FireFox вирус пришел из ВКонтакте (либо вконтаковская онлайн-игрушка "Денди", либо что-то такое с названием "Раскрась звезду" (вроде так,точно не помню)). Хотя, может быть он сидел где-то "в засаде", а потом по таймеру материализовался во временной папке. Я просто сопоставил время появления экзешника и журнал браузера. Т.ч. не считайте это поклепом на Вконтакт - простое предположение. А вы уж дальше сами решайте, доверять этой шарашкиной конторе или нет

[region]

Graf Mur, ну дык, приложения разрабатывают сторонние люди, а не вконтакте) поэтому вполне возможно что там вирь )есть просто странички открыл ничего как бы не нажимал а вирь поймал )

[BORNDEAD]

Graf Mur, дык весь сыр-бор в том, что большинство юзверей как раз и "испуганные и забитые". на это как бы и рассчитано

[Graf Mur]

region, мне по барабану - во Вконтакте не состою и не собираюсь, т.ч. я сообщил что видел, а как этой информацией распоряжаться - дело прочитавших.
Ты вообще правильно понял, что я написал? Я указал посещавшиеся страницы тырнета, с которых мог прийти порно-баннер. А чье там приложение стоит, какие ..(ч)удаки их разрабатывали - мне глубоко пофигу. Если ты глубокий спец по таким вопросам, можешь подробно всё здесь разъяснить, а не высказывать очередную банальность.

BORNDEAD, ну дык понятно, просто люди начинают паниковать и "заламывать себе руки", хотя решается вопрос быстро и просто.

[ksaver]

Вчера принесли бук с 4-мя очаровательными лесбиянками. Ничего его не брало, ибо, сцуко, блокировал запуск всего. Спас звонок на 8-800-100-7337, вежливый юноша сходу назвал оба кода.

[region]

ну вот ещё добавлю )

скрин не мой друг прислал )))

Причём чей это номер их не накажут ))) т.е могут но не будут )

[BORNDEAD]

region, недавно что то подобное друг подхватил... в хостс ип какой то из нидерландов

[R717]

А антивирусы проверяют хостс? У меня там кое-что заблокированно и CureIt каждый раз при запуске ругается на на него.

[BORNDEAD]

R717, ну обычно там кроме 127.0.0.1 localhost ничего нету... но есть варианты обхода защиты активации винды через него. так что если у вас лицуха смело восстанавливайте.

[Graf Mur]

R717, по-моему, это глюк ДокторВеба. Сегодня ставил на чистую, свежайшую "семерку" DrWeb 6.0, так он такое же окошко выкатил.

[BORNDEAD]

Graf Mur, ну давайте поглядим ваш хостс тогда

[R717]

R717, ну обычно там кроме 127.0.0.1 localhost ничего нету... но есть варианты обхода защиты активации винды через него. так что если у вас лицуха смело восстанавливайте.

Не низя восстанавливать, я сам туда и писал =) Я говорю просто хорошо когда антивирус кроме вирусов может выискивать всякие подставы типа того же хостс.

[Graf Mur]

Graf Mur, ну давайте поглядим ваш хостс тогда

Не себе ставил, т.ч. посмотреть не могу. Но очень сильно сомневаться, чтобы в "семерка" с включенным UAC, без интернета и с минимальным набором софта можно было незаметно внести изменения в hosts :)

Посмотрел на свой хостс - никаких отклонений с момента установки системы (с октября прошлого года).
И сразу возникает вопрос, каким образом УСТАНАВЛИВАЮЩИЙСЯ Доктор определяет, что hosts был модифицирован? Я так понимаю, что здесь единственный критерий сравнения - с заложенным в самом Докторе образцом. Образец хрен знает какой, отсюда и "вопль" доктора о модификации системного hosts.

Я говорю просто хорошо когда антивирус кроме вирусов может выискивать всякие подставы типа того же хостс.

Ага, только РЕАЛЬНО выискивает, а не щеки надувает :D

[region]

hosts нафиг вписывать всякую лабуду чтоб активации программ не слетали и не лезли на сайты... нод с фильтрацией и делов ) 1 раз нажал запретить и всё

[Graf Mur]

region, ну тебе не надо, а кому-то в самый раз.
Перенаправление тоже НОДом будешь делать?

[BORNDEAD]

Graf Mur, если он сравнивает с образцом то конечно это глупо, а вот парсить хостс на извесные фишинговые ип оч было бы неплохо.

[R717]

Вот он так и делает - сравнивает с "пустым" хостс...
Для сканирующей бесплатной утилиты лучше так, чем никак.

[DonValentino]

давеча подхватил что то во все окно почти с девушками и просьбой послать смс за 300р. зашел с загрузочного сд (win что то, спец. для устранения траблов), в папке program files/common files/opera обнаружил (странный файл) opera.exe, соответственно чистка реестра и все такое. эта гадость рядится под какие нибудь обще...е приложения. скажем, процесс systems.exe, ну ничего вроде подозрительного. так же как и опера.ехе, но не совсем чтобы в "родной" папке.

[Graf Mur]

Вот он так и делает - сравнивает с "пустым" хостс...
Для сканирующей бесплатной утилиты лучше так, чем никак.

Ага, это если у тебя в хостс ничего собственноручно не прописано. А вот если прописано и "бесплатная утилита" (а еще хуже, платный антивирь), при каждом прогоне тебе об этом с умным видом напоминают - тут ведь и до истерики недалеко

[yad0ff]

Вот он так и делает - сравнивает с "пустым" хостс...
Для сканирующей бесплатной утилиты лучше так, чем никак.

Ага, это если у тебя в хостс ничего собственноручно не прописано. А вот если прописано и "бесплатная утилита" (а еще хуже, платный антивирь), при каждом прогоне тебе об этом с умным видом напоминают - тут ведь и до истерики недалеко

На свой страх и риск - добавить в исключения и не истерить)

З.Ы. Хуже всего, когда валяется папка с различными бэкдорами и прочими вкусняшками для себя, и антивирь тут же радостно оповещает о вирусне. Хотя хуже, когда стоит автоматический режим очистки. Один раз лишился всей коллекции milw0rm.

[Kostya]

К создателям порнобаннеров.
Уважаемые программисты, огромная к вам просьба- делайте пожалуйста ваши баннеры более увлекательными, залейте туда побольше разнообразных картинок, категорий, поз, а то не очень интересно смотреть. А так все ок- очень часто просто нет времени на посещение специализированных ресурсов, тут вы как раз кстати!
Спасибо.

[Graf Mur]

yad0ff, а не нужно всё самое "вкусное" складывать на системном диске и разбрасывать где ни попадя
Опять же, следуя вашей же логике, добавьте такую папочку в исключения и не истерите ;)

[R717]

Исключения это для нормальных антивирусов. Кстати а у меня всю жизнь на компе только один диск - системный, на котором у меня лежит все. Что я делаю не так?

[yad0ff]

Исключения это для нормальных антивирусов. Кстати а у меня всю жизнь на компе только один диск - системный, на котором у меня лежит все. Что я делаю не так?

в случае краха системы летит все (если требуется полное форматирование системного диска). Да и производительность такой системы снижается (особенно, если фрагментация высокая).