Jump to content
КаТэ Форум
Sign in to follow this  
Katana

Внимание! Новый троян - Ростелеком

Recommended Posts

Наши абоненты уже попались некоторые

Оригинал новости здесь - ???????

Ростелеком - канал перегружен

28.07.2011 01:15 Новости

В интернете появился новый вирус. Значит, зараженный компьютер ведет себя следующим образом:

при попытке зайти на какой-либо сайт ЛЮБЫМ браузером, во-первых, скорость загрузки намного ниже нам привычной,

во-вторых, буквально через 2-3 секунды сайт пропадает, и в адресной строке того же окна появляется адрес сайта провайдера ростелеком,

а там - вообще интересно.. :) ... Посмотреть скриншот Vangog ? ??????? ???????????

Сразу смущает предложение ввести номер мобильного и отправить СМС. Этим действием мы сразу же пополним счет мошенника на "энную" сумму.

Думаю, не менее чем на 500 рублей. Попробуйте теперь догадайтесь, что это хитрый новый вирус!

з.ы. При проверке антивирусом Касперского последними базами за 28.07.2011 последний ничего плохого не обнаружил,

и почему-то из системы (windows 7) исчесзли точки восстановления.

Edited by Katana
  • Upvote 15
  • Downvote 1

Share this post


Link to post
Share on other sites

Спасибо за информацию!

А как с ниб боротя то если каспер его не обнаружил то?

Share this post


Link to post
Share on other sites

Многоуважаемый Katana, приведённый копипаст - не в обиду будет сказано, ламерский, журналюговский какой-то. Никаких технических деталей о способах внедрения, проявления и лечения нет. Не сталкивался ещё с сиим "кормильцем", хочется узнать детали поражения/лечения уже пострадавших КТшников.

PS: - от себя могу сказать - новая мода СМС-локеров начинает образовываться - сейчас уже и МБР начинают переделывать, пока ещё не сильно деструктивно, но уже напрягают (или радуют?).

Edited by Stranger-ku

Share this post


Link to post
Share on other sites

Этот троян относится к троянам, типа Trojan.Win32.Inject.Ddox.ci. Представляет из себя обычную библиотечку записывающуюся в системную папку. Много уже таких троянчиков поубивал при помощи AVZ :)

Да, винлоков, которые патчат и полностью подменяют мбр, стало больше. В принципе и с ними проблем не возникает в лечении...

Share this post


Link to post
Share on other sites
Этот троян относится к троянам, типа Trojan.Win32.Inject.Ddox.ci. Представляет из себя обычную библиотечку записывающуюся в системную папку.

а что там они творят, что "во-первых, скорость загрузки намного ниже нам привычной,"? Про "в адресной строке того же окна появляется адрес сайта провайдера ростелеком," - я так понимаю hosts правит?

Share this post


Link to post
Share on other sites

Не знаю как это объяснить научно, но скажу своими словами:) Эта библиотечка контактирует со многими системными процессами, сетевыми службами, конечно антивирусами(поэтому они не видят ее), так же со всеми браузера. Что она с ними делает сказать не могу, но по логу видно что эта служба использует от 10 до 30 системных процессов.Файл хостс этот вирус не трогает.

Share this post


Link to post
Share on other sites

Да, винлоков, которые патчат и полностью подменяют мбр, стало больше.

Пришли таки в паблик... не прошло и 5 лет.

А лет 5 назад на вирусинфо мне не поверили и в ужасе снесли темку.

Share this post


Link to post
Share on other sites
Вот здесь можно почитать о данном трояне. Вирус Trojan.Mayachok.1 блокирует доступ в Интернет - Новости и Обзоры

ватная статья, опять практически никакой техноты, одни сопли и реклама дрвеба.

Share this post


Link to post
Share on other sites

Если кто найдет IP или URL по которым эта программка обращается - готов заблочить такое глобально. К сожалению препарировать и пытаться искать на клиентских компьютерах у меня времени нет ) если кто пришлет самого трояна попробую заразить комп и выяснить подробности ))

Share this post


Link to post
Share on other sites
я так понимаю hosts правит?

Нихт. Хостс чистый. Перехват идет на лету. В систему грузится через реестр - appinit.

Share this post


Link to post
Share on other sites
Нихт. Хостс чистый. Перехват идет на лету. В систему грузится через реестр - appinit.

Ага. А если точнее то через

HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

Если кто найдет IP или URL по которым эта программка обращается - готов заблочить такое глобально. К сожалению препарировать и пытаться искать на клиентских компьютерах у меня времени нет ) если кто пришлет самого трояна попробую заразить комп и выяснить подробности ))

Могу только поделиться вредоносной библиотечкой. Может что из нее можно выцепить... Файлообменник ExFile -=- negywcn.rar

Share this post


Link to post
Share on other sites
Если кто найдет IP или URL по которым эта программка обращается - готов заблочить такое глобально. К сожалению препарировать и пытаться искать на клиентских компьютерах у меня времени нет ) если кто пришлет самого трояна попробую заразить комп и выяснить подробности ))

это будет лишь часть решения, точнее лечении следствий, а не причины. Ну не будет экрана, где денег просят, но и нормальные страницы не высветятся. Перекрывать надо канал распространения.

PS: и регулярно апдейтить дрвеб :)

Share this post


Link to post
Share on other sites

Жалко тему только увидел... пару дней как переставил винду из за этого виря.... Антивирями не нашел в системе ничего, Переставлял браузеры и чистил реестр, помогало минут на 15... Подловили дети, похоже в контакте.... как снова поймают, отдам комп на растерзание Katane ))))))

Share this post


Link to post
Share on other sites

Вопрос к Lexer.Я его ловил,но успешно избавился.Эта ветка реестра AppInit_DLLs осталась.Её выдрать или как?Кому интересно могу дать ссыль на него в чистом виде.IP не знаю,но провайдер MTS-Миасс.

Share this post


Link to post
Share on other sites
?????????? ????? ОСТОрожно-Вирус!!!!!!!!!!!!!!!!!!Если на этом файлообменнике поковыряешься,то ещё много ссылок с ним найдёшь.Сильно его там расплодили. Edited by Сергей С.

Share this post


Link to post
Share on other sites
Вопрос к Lexer.Я его ловил,но успешно избавился.Эта ветка реестра AppInit_DLLs осталась.Её выдрать или как?Кому интересно могу дать ссыль на него в чистом виде.IP не знаю,но провайдер MTS-Миасс.

Конечно если этот троян остался прописанным в реестре в *AppInit_DLLs - его надо удалить.

На будущее, данным троян можно вылечить и ручками... Компьютерный форум - Показать сообщение отдельно - Читать тем, у кого Trojan.Inject.Ddox.ci и ему подобные

Share this post


Link to post
Share on other sites

Николай вроде хотел шкурку данного зверька на препарацию? Ну или кто хочет - берите, во вложении архивчик, пароль virus479. Вебом определяется как Trojan.mayachok.based, в систему залазит через HKLM\Microsoft\Windows NT\CurrentVerdion\Windows\AppInit_DLLs\c:\windows\system32\ekyovmd.dll Помимо этого, прочей хрени было на машинке, винлоки, заменённый юзеринит, хостс, ну как обычно.

ekyovmd.rar

Edited by Stranger-ku
  • Upvote 1

Share this post


Link to post
Share on other sites

Надеюсь, сейчас его ловят все антивири, я только esetом вылечил, он ненадолго впускал меня на странички, а сам он с файлообменника, драйвер качнул. Так неудачно он, собака мне не вовремя попался!:) Ощущение осталось, что инет всё-равно притормаживает.

Share this post


Link to post
Share on other sites

кое-как нашел подходящую тему для очередного сюрприза MS

- Microsoft ищет лекарство от нового вируса, поставившего под угрозу пользователей браузера Internet Explorer

18.09.2012 09:36

Microsoft ищет лекарство от нового вируса, поставившего под угрозу пользователей браузера Internet Explorer.

Вирус использует прорехи в системе безопасности веб-сайтов и атакует компьютеры, работающие на ОС Windows XP, Vista и Windows 7. Уязвимы все версии Internet Explorer кроме самой последней, IE 10, которая сейчас доступна только в качестве пробной версии.

Лекарства от нового вируса у Microsoft пока нет.

В Microsoft говорят, что пока получили отчеты о сравнительно небольшом количестве направленных атак и собираются выпустить обновление для системы безопасности, призванное решить эту проблему.

Но все же представители компании активно призывают пользователей к использованию специально разработанных инструментов, таких как EMET, для защиты и обхода подобных угроз.

Новый вирус получил статус Zero-day. Это значит, что работоспособной системы защиты от него пока не существует и локализовать проблему не удается. На таком фоне многие пользователи уже переключились на другие браузеры.

Владельцы Windows XP не могут установить версию IE новее восьмой, что также может стать причиной массового "дезертирства" пользователей браузера от Microsoft.

Share this post


Link to post
Share on other sites
Sign in to follow this  

×
×
  • Create New...