Свежий винлокер с МТСовскими номерами.

2012-Jun-04, Monday 00:31
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
[personal profile] qkowlew
Свежий винлокер.
Размер екзешника 76800
прописывается тупо вместо шелла в Winlogon и автозапуском в нескольких экземплярах.
попавшийся мне екзешник лежал тупо в C:\Documents and Setings\Администратор\

Удаляется правкой на explorer.exe в реестре ветки Winlogon\Shell
загрузившись с LiveCD или с чистой системы.

Текст сообщения интересен тем, что от загрузки к загрузке меняет телефонные номера, на которые предлагает занести 500 рублей, иначе всё прибьёт не помилует.

телефонные номера - например - +79879401267 - это МТС Самары, судя по поверхностным результатам поиска.

на 23:20 03-Jun-2012 не ловится NOD32, Kaspersky со свежей базой, AVZ4, DrWeb CureIt
Отослан мной через формочку AVZ-овцам. Не ленитесь так делать. :)

Пока встречено около 80 разных телефонных номеров (лень выяснять все).
Пока делаю вывод, что, скорее всего это кто-то особо тупой или наглый в самом МТС развлёкся. Спасибо лююбимой компании, ага. :)
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2012-Jun-03, Sunday 21:39 (UTC)
From: [identity profile] snowman-fedya.livejournal.com
буквально вчера. у одного знакомого увели с карточки сумму в несколько тысяч.

при рассмотрении компа обнаружен процесс явно бандитского названия. ни дрвебом, ни касперским не определяется. блокирует попытки прервать процесс из таскменеджера и фара. exe находится в каталоге автозапуска, переименовать себя не даёт. блокирует запуск а) process explorer б) окна с настройками дрвеба.

в настройках браузера (оперы) обнаружена установка на файл автонастройки прокси, лежащий на http://... (адрес не упомнил). посмотрел файл автонастройки -- "если http:// = адрес регистрационной страницы банка, то прокси по такому-то адресу:порту". Отдаётся страница, очень похожая на банковскую, различие в миллиметрах. В общем, ясно.

Загрузился с ливцд, снёс мерзавца, перегрузился, проверил процессы, на всякий случай целый день гонял доступными антивирусами -- всё чисто.

Настораживает сильно целевая атака -- скрипт прокси заточен именно под тот банк, с которым знакомый начал работать. систему я на его комп ставил 5 дней назад, ессно, была чистой. Очень похоже, что мерзавец был именно с сайта банка и загружен.

Такие дела.

exeшник сохранил, скрипты-адреса тоже записаны. Буду в следующий раз у знакомого -- отправлю гада дрвебу на растерзание.

"Бди!" (с) К.Прутков

Date: 2012-Jun-04, Monday 06:18 (UTC)
From: [identity profile] alan-a-skaz.livejournal.com
Существенный момент: для W7 ultimate действительно есть риск потери данных. Поэтому первым делом надо заботиться о сохранении важной информации.

Date: 2012-Jun-04, Monday 10:40 (UTC)
From: [identity profile] dmarck.livejournal.com
А о нем надо заботиться всегда. External backup -- действие необходимое.

Люди делятся на тех, кто делает бэкапы правильно, и тех, кто ещё не терял ничего важного©

Date: 2012-Jun-04, Monday 11:29 (UTC)
From: [identity profile] darkwinq.livejournal.com
Люди делятся на тех, кто еще не делает бэкапы, и на тех, кто уже делает.

Date: 2012-Jun-04, Monday 11:41 (UTC)
From: [identity profile] dmarck.livejournal.com
Нет © Фарид ;-P

Вылавливание разницы has been left as an exercise for the reader

Date: 2012-Jun-04, Monday 11:41 (UTC)
From: [identity profile] alan-a-skaz.livejournal.com
"Чти, и админ и юзер, бэкап субботний..." ;)

Date: 2012-Jun-04, Monday 11:45 (UTC)
From: [identity profile] alan-a-skaz.livejournal.com
Фокус-то в том, что я обычно сталкиваюсь с клиентскими компами как мастер скорой помощи, а не как админ.

Т.е., меня вызывают, когда уже все плохо. А все советы, как делать, чтобы в следующий раз плохо не было, обычно игнорируются. Мне бы радоваться такому желанию платить мне почаще, а я недоволен...

Date: 2012-Jun-04, Monday 13:42 (UTC)
From: [identity profile] Игорь Киселев (from livejournal.com)
Вчера тоже такого поймал.. кода нигде пока нет.. подскажите какую прогу можно на флешку установить чтобы ноут запустить??

Date: 2012-Jun-04, Monday 16:14 (UTC)
From: [identity profile] qkowlew.livejournal.com
волшебной совсем флешки - не бывает.
инструкций подробных как вытереть гадость, загрузившись с живой системы - в сети немало.

Date: 2012-Jun-04, Monday 18:19 (UTC)
From: [identity profile] Игорь Киселев (from livejournal.com)
Название файла не помнишь? в реестре смотрю все значения правильные...

Date: 2012-Jun-05, Tuesday 04:05 (UTC)
From: [identity profile] qkowlew.livejournal.com
в этом конкретном было ms.exe но это ничего не значит.

Date: 2012-Jun-04, Monday 18:39 (UTC)
From: [identity profile] mc6312.livejournal.com
> прописывается тупо вместо шелла в Winlogon

Винда должна поставляться с пачкой шурупов в комплекте. За каждый случай необоснованного сидения под админской учеткой один шуруп завинчивается в голову юзера.

Date: 2012-Jun-04, Monday 20:36 (UTC)
From: [identity profile] alan-a-skaz.livejournal.com
Получил письмо от техподдержки МТС. Просят номера телефонов, замеченных в данной истории, обещают принять меры. Поделитесь, кому не лень.

Date: 2012-Jun-05, Tuesday 04:07 (UTC)
From: [identity profile] qkowlew.livejournal.com
Ну я достоверно зафиксировал только один этот (что в посте и указал). :(
А ошибиться, как мы все понимаем - не хочется. :)

  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only