Перейти к содержанию

Внимание! Новый троян - Ростелеком


Katana

Рекомендуемые сообщения

Наши абоненты уже попались некоторые

Оригинал новости здесь - ???????

Ростелеком - канал перегружен

28.07.2011 01:15 Новости

В интернете появился новый вирус. Значит, зараженный компьютер ведет себя следующим образом:

при попытке зайти на какой-либо сайт ЛЮБЫМ браузером, во-первых, скорость загрузки намного ниже нам привычной,

во-вторых, буквально через 2-3 секунды сайт пропадает, и в адресной строке того же окна появляется адрес сайта провайдера ростелеком,

а там - вообще интересно.. :) ... Посмотреть скриншот Vangog ? ??????? ???????????

Сразу смущает предложение ввести номер мобильного и отправить СМС. Этим действием мы сразу же пополним счет мошенника на "энную" сумму.

Думаю, не менее чем на 500 рублей. Попробуйте теперь догадайтесь, что это хитрый новый вирус!

з.ы. При проверке антивирусом Касперского последними базами за 28.07.2011 последний ничего плохого не обнаружил,

и почему-то из системы (windows 7) исчесзли точки восстановления.

Изменено пользователем Katana
  • Upvote 15
  • Downvote 1
Ссылка на комментарий
Поделиться на другие сайты

Если у кого будет такой вирус можно посмотреть эту тему http://ktforum.ru/yuzver-yuzveryu/22165-lechenie-virusov.html?daysprune=75 и выполнить инструкцию. Постараюсь помочь.

Ссылка на комментарий
Поделиться на другие сайты

Многоуважаемый Katana, приведённый копипаст - не в обиду будет сказано, ламерский, журналюговский какой-то. Никаких технических деталей о способах внедрения, проявления и лечения нет. Не сталкивался ещё с сиим "кормильцем", хочется узнать детали поражения/лечения уже пострадавших КТшников.

PS: - от себя могу сказать - новая мода СМС-локеров начинает образовываться - сейчас уже и МБР начинают переделывать, пока ещё не сильно деструктивно, но уже напрягают (или радуют?).

Изменено пользователем Stranger-ku
Ссылка на комментарий
Поделиться на другие сайты

Этот троян относится к троянам, типа Trojan.Win32.Inject.Ddox.ci. Представляет из себя обычную библиотечку записывающуюся в системную папку. Много уже таких троянчиков поубивал при помощи AVZ :)

Да, винлоков, которые патчат и полностью подменяют мбр, стало больше. В принципе и с ними проблем не возникает в лечении...

Ссылка на комментарий
Поделиться на другие сайты

Этот троян относится к троянам, типа Trojan.Win32.Inject.Ddox.ci. Представляет из себя обычную библиотечку записывающуюся в системную папку.

а что там они творят, что "во-первых, скорость загрузки намного ниже нам привычной,"? Про "в адресной строке того же окна появляется адрес сайта провайдера ростелеком," - я так понимаю hosts правит?

Ссылка на комментарий
Поделиться на другие сайты

Не знаю как это объяснить научно, но скажу своими словами:) Эта библиотечка контактирует со многими системными процессами, сетевыми службами, конечно антивирусами(поэтому они не видят ее), так же со всеми браузера. Что она с ними делает сказать не могу, но по логу видно что эта служба использует от 10 до 30 системных процессов.Файл хостс этот вирус не трогает.

Ссылка на комментарий
Поделиться на другие сайты

Да, винлоков, которые патчат и полностью подменяют мбр, стало больше.

Пришли таки в паблик... не прошло и 5 лет.

А лет 5 назад на вирусинфо мне не поверили и в ужасе снесли темку.

Ссылка на комментарий
Поделиться на другие сайты

Вот здесь можно почитать о данном трояне. Вирус Trojan.Mayachok.1 блокирует доступ в Интернет - Новости и Обзоры

ватная статья, опять практически никакой техноты, одни сопли и реклама дрвеба.

Ссылка на комментарий
Поделиться на другие сайты

Если кто найдет IP или URL по которым эта программка обращается - готов заблочить такое глобально. К сожалению препарировать и пытаться искать на клиентских компьютерах у меня времени нет ) если кто пришлет самого трояна попробую заразить комп и выяснить подробности ))

Ссылка на комментарий
Поделиться на другие сайты

Нихт. Хостс чистый. Перехват идет на лету. В систему грузится через реестр - appinit.

Ага. А если точнее то через

HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

Если кто найдет IP или URL по которым эта программка обращается - готов заблочить такое глобально. К сожалению препарировать и пытаться искать на клиентских компьютерах у меня времени нет ) если кто пришлет самого трояна попробую заразить комп и выяснить подробности ))

Могу только поделиться вредоносной библиотечкой. Может что из нее можно выцепить... Файлообменник ExFile -=- negywcn.rar

Ссылка на комментарий
Поделиться на другие сайты

Если кто найдет IP или URL по которым эта программка обращается - готов заблочить такое глобально. К сожалению препарировать и пытаться искать на клиентских компьютерах у меня времени нет ) если кто пришлет самого трояна попробую заразить комп и выяснить подробности ))

это будет лишь часть решения, точнее лечении следствий, а не причины. Ну не будет экрана, где денег просят, но и нормальные страницы не высветятся. Перекрывать надо канал распространения.

PS: и регулярно апдейтить дрвеб :)

Ссылка на комментарий
Поделиться на другие сайты

Жалко тему только увидел... пару дней как переставил винду из за этого виря.... Антивирями не нашел в системе ничего, Переставлял браузеры и чистил реестр, помогало минут на 15... Подловили дети, похоже в контакте.... как снова поймают, отдам комп на растерзание Katane ))))))

Ссылка на комментарий
Поделиться на другие сайты

Вопрос к Lexer.Я его ловил,но успешно избавился.Эта ветка реестра AppInit_DLLs осталась.Её выдрать или как?Кому интересно могу дать ссыль на него в чистом виде.IP не знаю,но провайдер MTS-Миасс.

Ссылка на комментарий
Поделиться на другие сайты

?????????? ????? ОСТОрожно-Вирус!!!!!!!!!!!!!!!!!!Если на этом файлообменнике поковыряешься,то ещё много ссылок с ним найдёшь.Сильно его там расплодили. Изменено пользователем Сергей С.
Ссылка на комментарий
Поделиться на другие сайты

Вопрос к Lexer.Я его ловил,но успешно избавился.Эта ветка реестра AppInit_DLLs осталась.Её выдрать или как?Кому интересно могу дать ссыль на него в чистом виде.IP не знаю,но провайдер MTS-Миасс.

Конечно если этот троян остался прописанным в реестре в *AppInit_DLLs - его надо удалить.

На будущее, данным троян можно вылечить и ручками... Компьютерный форум - Показать сообщение отдельно - Читать тем, у кого Trojan.Inject.Ddox.ci и ему подобные

Ссылка на комментарий
Поделиться на другие сайты

Николай вроде хотел шкурку данного зверька на препарацию? Ну или кто хочет - берите, во вложении архивчик, пароль virus479. Вебом определяется как Trojan.mayachok.based, в систему залазит через HKLM\Microsoft\Windows NT\CurrentVerdion\Windows\AppInit_DLLs\c:\windows\system32\ekyovmd.dll Помимо этого, прочей хрени было на машинке, винлоки, заменённый юзеринит, хостс, ну как обычно.

ekyovmd.rar

Изменено пользователем Stranger-ku
  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Надеюсь, сейчас его ловят все антивири, я только esetом вылечил, он ненадолго впускал меня на странички, а сам он с файлообменника, драйвер качнул. Так неудачно он, собака мне не вовремя попался!:) Ощущение осталось, что инет всё-равно притормаживает.

Ссылка на комментарий
Поделиться на другие сайты

  • 1 year later...

кое-как нашел подходящую тему для очередного сюрприза MS

- Microsoft ищет лекарство от нового вируса, поставившего под угрозу пользователей браузера Internet Explorer

18.09.2012 09:36

Microsoft ищет лекарство от нового вируса, поставившего под угрозу пользователей браузера Internet Explorer.

Вирус использует прорехи в системе безопасности веб-сайтов и атакует компьютеры, работающие на ОС Windows XP, Vista и Windows 7. Уязвимы все версии Internet Explorer кроме самой последней, IE 10, которая сейчас доступна только в качестве пробной версии.

Лекарства от нового вируса у Microsoft пока нет.

В Microsoft говорят, что пока получили отчеты о сравнительно небольшом количестве направленных атак и собираются выпустить обновление для системы безопасности, призванное решить эту проблему.

Но все же представители компании активно призывают пользователей к использованию специально разработанных инструментов, таких как EMET, для защиты и обхода подобных угроз.

Новый вирус получил статус Zero-day. Это значит, что работоспособной системы защиты от него пока не существует и локализовать проблему не удается. На таком фоне многие пользователи уже переключились на другие браузеры.

Владельцы Windows XP не могут установить версию IE новее восьмой, что также может стать причиной массового "дезертирства" пользователей браузера от Microsoft.

Ссылка на комментарий
Поделиться на другие сайты

×
×
  • Создать...