Haruhi Suzumiya - Danger, Achtung и т.д.

Danger, Achtung и т.д.

IrLex

Дата: Пт, 04 Июня 2010, 14:21 | Сообщение # 1

マスターコード

Сообщений: 82

Награды: 2

Статус: Offline

В мае 2010 года была зафиксирована вспышка инфекции.
Наименование:
Trojan.Win32.Agent2.cqzi (Лаборатория Касперского)
Trojan.DownLoad1.59108 (Dr. Web)
Gen:Variant.Oficla.2 (BitDefender)
Win32:Rootkit-gen [Rtk] (avast!)
Самоназвание:
неизвестно
Симптомы:
Вредоносное ПО отображает пользователю навязчивый рекламный баннер порнографического содержания и для его отключения предлагает отправить SMS-сообщение с определенным текстом на номер 3381. Из обращений пользователей известно, что вымогатель способен противодействовать работе антивирусных инструментов.
Состав вредоносной программы:
Основным компонентом Trojan.Win32.Agent2.cqzi является объект %system32%\srnh.lto. В протоколах AVZ отображается в качестве модуля, внедренного в процесс svchost.exe; в результатах исследования системы утилитой HijackThis виден в секции F2 (ключ Winlogon / Shell):

Code

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe srnh.lto iqfnr

Также на пораженных ПК были отмечены вредоносные модификации ключа реестра

Code

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

Содержимое ключа варьируется в зависимости от конкретного образца вредоносной программы.
Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО Trojan.Win32.Agent2.cqzi, то настоятельно рекомендуем вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.
Так как основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя этого вредоносного программного обеспечения не может быть сформирован. Наиболее простым способом дезактивации рекламного баннера является обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер», которой принадлежит короткий номер, используемый злоумышленниками.
Телефонные номера технической поддержки поставщика услуг:
+7 800 100 7337 (федеральный)
+7 495 363 1427 (московский)
Назовите оператору необходимые сведения о вредоносном ПО, чтобы получить код разблокирования.

IrLex

Дата: Вт, 17 Августа 2010, 20:29 | Сообщение # 2

マスターコード

Сообщений: 82

Награды: 2

Статус: Offline

Жил-был старик со старухой.
Просит старик:
- Напиши мне, старуха, Винлок-Колобок.
- Как писать-то? Компиляторов нету!
- Э-эх, старуха! По форумам поскреби, по скриптам пошерсти, по клаве постучи – авось кода и наберется.

Взяла старуха генератор вирусный, по форумам поскребла, по скриптам пошерстила, по клаве постучала и набралось кода килобайта на 2. Замесила на ассемблере, изжарила в скрипте и положила на сайт для взрослых.

Винлок-Колобок полежал-полежал, да вдруг и покатился – с «винды» на «винду», из почты в почту.

Катится Винлок-Колобок по Сети, а навстречу ему – Косой антивирус:
- Винлок-Колобок, я тебя съем!
- Не ешь меня, Косой антивирус! Я тебе песенку спою:
Я по форумам скребен, на ассемблере мешон, на скриптах изжарен.
Я от дедушки ушел, я от бабушки ушел,
И от тебя, Косого, не хитро уйти!

И покатился Винлок-Колобок дальше – только Косой его и видел.

Катится Винлок-Колобок, а навстречу ему – Кривой антивирус:
- Винлок-Колобок, я тебя съем!
- Не ешь меня, Кривой антивирус! Я тебе песенку спою:
Я по форумам скребен, на ассемблере мешон, на скриптах изжарен.
Я от дедушки ушел, я от бабушки ушел,
Я от Косого антивируса ушел,
И от тебя Кривого, не хитро уйти!

И опять укатился – только Кривой его и видел.

Катится Винлок-Колобок, а навстречу ему – Доктор Веб.
- Винлок-Колобок, я тебя съем!
- Не ешь меня, Доктор Веб! Я тебе песенку спою:
Я по форумам скребен, на ассемблере мешон, на скриптах изжарен.
Я от дедушки ушел, я от бабушки ушел,
Я от Косого антивируса ушел,
Я от Кривого антивируса ушел,
И от тебя, Доктора, не хитро уйти!

- Какая славная песенка! – сказал Доктор Веб. – Но сдается мне, Винлок-Колобок, что ты – вирусок! Ну-ка подкатись поближе, да пропой еще разок, а я пока обновления скачаю. Винлок-Колобок подкатился поближе, тут-то Доктор Веб его и задетектил.

IrLex

Дата: Пт, 18 Мая 2012, 12:08 | Сообщение # 3

マスターコード

Сообщений: 82

Награды: 2

Статус: Offline

Новый червь - любитель RAR-архивов [18.05.2012]
Новый червь - любитель RAR-архивов Российская компания антивирусных программ «Dr.WEB» проинформировала о появлении в сети вредоносной программы (червя) Win32.HLLW.Autoruner.64548, способного инфицировать RAR-архивы. Программа-вредитель способна загружать с удаленного сервера недоброжелателей исполняемые файлы, которые несут в себе губительные функции.

Программа-вредитель Win32.HLLW.Autoruner.64548 действует аналогично многим другим червям: создает уже свою копию на диске и размещает в корневой папке файл autorun.inf, который и запускает вредителя-червя при любом подключении устройства. Начав свою коварную деятельность на зараженном компьютере, Win32.HLLW.Autoruner.64548 неутомимо ищет на дисках RAR-архивы и прописывает себя в них: Avast_keygen.exe, secret.exe, CS16.exe, Update.exe, Autoruns.exe, Tutorial.exe, private.exe, Autorun.exe, Real.exe, readme.exe, Readme.exe, Keygen.exe, AVIRA_License.exe, Warcraft_money.exe. Во многих случаях после всех этих интерпретаций архивы повреждаются.

Мало того, "червяк" обладает модулем полезной нагрузки и, в своем теле, содержит файл-исполнитель, который под видом библиотеки сохраняет внутри папки текущей установки Windows Win32.HLLW.Autoruner.64548. Ссылку на эту библиотеку программа-злоумышленник записывает в реестр системы. После чего червь встраивает полезную нагрузку в копию собственного процесса. Приоритетной задачей программы-червя является соединение атакуемого устройства с удаленным сервером-паразитом злоумышленников, которые и отдадут команду загрузки или запуска исполняемых файлов.