Розовый порнобаннер mssoft.exe, номер: 8353 текст: 4956****

К стыду своему вчера поймал порнобаннер. При загрузке Windows вылезает окошко с тремя голыми тетками и просит отправить SMS за 25 рублей на номер 8353 с текстом вида 4956****. Поиск выявил списки ключей разблокировки на антивирусных форумах, но мне ни один не подошел. Пришлось заняться чисткой вручную, OSAM помог вычислить злодея. Когда узнал имя файла — поискал по нему, нашел инструкцию, аналогичную моим действиям, прикладываю в конце.

Но меня очень сильно интересует вопрос — как эта зараза ко мне пробралась? Я в Сети как бы не первый год, антивирусом не пользуюсь, но заразу не ловил уже очень долго. Посмотрел по дате создания файла (сутки до обнаружения при перезагрузке) и по Google Web History — в это время открывал безобидную картинку на хостинге keep4u.ru. Не знаю, есть ли связь. Сильно сомневаюсь, что я пустил вирус сам. Тогда через какую дырку он полез? Описания, похоже, ещё нет…»

06.07.2010  Метки: , ,   Рубрики: Интернет, Программы  Один комментарий

Самопроизвольная остановка служб

Давненько я не гонял вирусов. Вот, довелось исследовать интересный случай. Вводная: 8 компьютеров с Windows XP SP3 в одноранговой сети, на всех установлен NOD32. В один прекрасный момент на всех компьютерах самопроизвольно перестали запускаться (или стали останавливаться?) службы Сервер, Рабочая станция, Брандмауэр Windows.

Начал копаться. Тип запуска у всех, естественно, Авто. Вручную все службы прекрасно запускаются, то есть причина не в поврежденных файлах. Прогнал на одном компьютере проверенный OSAM — чисто. Второй — чисто. А службы продолжают останавливаться. Что за невидимка?

А вот третий компьютер во время проверки повёл себя подозрительно — браузер периодически отказывался открывать страницы, пропадал доступ к удаленному рабочему столу. В конце концов нашелся подозрительный процесс и соответствующий файл C:\WINDOWS\usb_mgr.exe. NOD32 на него не реагировал, но на специализированных форумах файл однозначно классифицировался как вредный. Вылечить удалось на удивление легко, это не руткит: останавливал процесс, удалял этот файл и C:\WINDOWS\SYSTEM32\Ms07.exe, чистил автозагрузку в реестре.

Он-лайн проверка на сайте Касперского подтвердила, что файлы вредные, причем в базу включены только вчера (а заражение было почти три недели назад!). NOD32 действительно его не ловит. Вот отчет с virustotal.com: usb_mgr.exe, Ms07.exe.

А теперь секрет фокуса: почему вирус не был найден на первом же компьютере? Во-первых, где-то я прочитал, что этот вирус использует уязвимость в службе сервера MS08-067, что и приводит к остановке службы при сетевой атаке чистого компьютера. А во-вторых, на всех компьютерах было отключено автоматическое обновление, поэтому соответствующие исправления, которые вышли уже давно, не были установлены.»

23.07.2009  Метки: ,   Рубрики: Программы  Один комментарий

Компьютер заразился антивирусом!

На днях позвонила знакомая девочка и рассказала, что компьютер подхватил какую-то гадость. По телефону я смог понять только, что название больше похоже на антивирус, чем на вирус. Стало любопытно, посмотрел вживую — действительно, пакость именует себя WinAntiSpyware (или AntiSpyware XP Pro, не помню точно), кричит, что компьютер инфицирован и просит ее купить, а уж она всё-всё вылечит.»

26.09.2008  Метки: , , , ,   Рубрики: Программы  Один комментарий