Розовый порнобаннер mssoft.exe, номер: 8353 текст: 4956****
К стыду своему вчера поймал порнобаннер. При загрузке Windows вылезает окошко с тремя голыми тетками и просит отправить SMS за 25 рублей на номер 8353 с текстом вида 4956****. Поиск выявил списки ключей разблокировки на антивирусных форумах, но мне ни один не подошел. Пришлось заняться чисткой вручную, OSAM помог вычислить злодея. Когда узнал имя файла — поискал по нему, нашел инструкцию, аналогичную моим действиям, прикладываю в конце.
Но меня очень сильно интересует вопрос — как эта зараза ко мне пробралась? Я в Сети как бы не первый год, антивирусом не пользуюсь, но заразу не ловил уже очень долго. Посмотрел по дате создания файла (сутки до обнаружения при перезагрузке) и по Google Web History — в это время открывал безобидную картинку на хостинге keep4u.ru. Не знаю, есть ли связь. Сильно сомневаюсь, что я пустил вирус сам. Тогда через какую дырку он полез? Описания, похоже, ещё нет…»
06.07.2010
Метки: OSAM, безопасность, вирусы Рубрики: Интернет, Программы
Один комментарий
Самопроизвольная остановка служб
Давненько я не гонял вирусов. Вот, довелось исследовать интересный случай. Вводная: 8 компьютеров с Windows XP SP3 в одноранговой сети, на всех установлен NOD32. В один прекрасный момент на всех компьютерах самопроизвольно перестали запускаться (или стали останавливаться?) службы Сервер, Рабочая станция, Брандмауэр Windows.
Начал копаться. Тип запуска у всех, естественно, Авто. Вручную все службы прекрасно запускаются, то есть причина не в поврежденных файлах. Прогнал на одном компьютере проверенный OSAM — чисто. Второй — чисто. А службы продолжают останавливаться. Что за невидимка?
А вот третий компьютер во время проверки повёл себя подозрительно — браузер периодически отказывался открывать страницы, пропадал доступ к удаленному рабочему столу. В конце концов нашелся подозрительный процесс и соответствующий файл C:\WINDOWS\usb_mgr.exe. NOD32 на него не реагировал, но на специализированных форумах файл однозначно классифицировался как вредный. Вылечить удалось на удивление легко, это не руткит: останавливал процесс, удалял этот файл и C:\WINDOWS\SYSTEM32\Ms07.exe, чистил автозагрузку в реестре.
Он-лайн проверка на сайте Касперского подтвердила, что файлы вредные, причем в базу включены только вчера (а заражение было почти три недели назад!). NOD32 действительно его не ловит. Вот отчет с virustotal.com: usb_mgr.exe, Ms07.exe.
А теперь секрет фокуса: почему вирус не был найден на первом же компьютере? Во-первых, где-то я прочитал, что этот вирус использует уязвимость в службе сервера MS08-067, что и приводит к остановке службы при сетевой атаке чистого компьютера. А во-вторых, на всех компьютерах было отключено автоматическое обновление, поэтому соответствующие исправления, которые вышли уже давно, не были установлены.»
23.07.2009
Метки: OSAM, вирусы Рубрики: Программы
Один комментарий
Компьютер заразился антивирусом!
На днях позвонила знакомая девочка и рассказала, что компьютер подхватил какую-то гадость. По телефону я смог понять только, что название больше похоже на антивирус, чем на вирус. Стало любопытно, посмотрел вживую — действительно, пакость именует себя WinAntiSpyware (или AntiSpyware XP Pro, не помню точно), кричит, что компьютер инфицирован и просит ее купить, а уж она всё-всё вылечит.»
26.09.2008
Метки: AVZ, HijackThis, OSAM, безопасность, вирусы Рубрики: Программы
Один комментарий