![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Свежий винлокер с МТСовскими номерами.
Свежий винлокер.
Размер екзешника 76800
прописывается тупо вместо шелла в Winlogon и автозапуском в нескольких экземплярах.
попавшийся мне екзешник лежал тупо в C:\Documents and Setings\Администратор\
Удаляется правкой на explorer.exe в реестре ветки Winlogon\Shell
загрузившись с LiveCD или с чистой системы.
Текст сообщения интересен тем, что от загрузки к загрузке меняет телефонные номера, на которые предлагает занести 500 рублей, иначе всё прибьёт не помилует.
телефонные номера - например - +79879401267 - это МТС Самары, судя по поверхностным результатам поиска.
на 23:20 03-Jun-2012 не ловится NOD32, Kaspersky со свежей базой, AVZ4, DrWeb CureIt
Отослан мной через формочку AVZ-овцам. Не ленитесь так делать. :)
Пока встречено около 80 разных телефонных номеров (лень выяснять все).
Пока делаю вывод, что, скорее всего это кто-то особо тупой или наглый в самом МТС развлёкся. Спасибо лююбимой компании, ага. :)
Размер екзешника 76800
прописывается тупо вместо шелла в Winlogon и автозапуском в нескольких экземплярах.
попавшийся мне екзешник лежал тупо в C:\Documents and Setings\Администратор\
Удаляется правкой на explorer.exe в реестре ветки Winlogon\Shell
загрузившись с LiveCD или с чистой системы.
Текст сообщения интересен тем, что от загрузки к загрузке меняет телефонные номера, на которые предлагает занести 500 рублей, иначе всё прибьёт не помилует.
телефонные номера - например - +79879401267 - это МТС Самары, судя по поверхностным результатам поиска.
на 23:20 03-Jun-2012 не ловится NOD32, Kaspersky со свежей базой, AVZ4, DrWeb CureIt
Отослан мной через формочку AVZ-овцам. Не ленитесь так делать. :)
Пока встречено около 80 разных телефонных номеров (лень выяснять все).
Пока делаю вывод, что, скорее всего это кто-то особо тупой или наглый в самом МТС развлёкся. Спасибо лююбимой компании, ага. :)
no subject
при рассмотрении компа обнаружен процесс явно бандитского названия. ни дрвебом, ни касперским не определяется. блокирует попытки прервать процесс из таскменеджера и фара. exe находится в каталоге автозапуска, переименовать себя не даёт. блокирует запуск а) process explorer б) окна с настройками дрвеба.
в настройках браузера (оперы) обнаружена установка на файл автонастройки прокси, лежащий на http://... (адрес не упомнил). посмотрел файл автонастройки -- "если http:// = адрес регистрационной страницы банка, то прокси по такому-то адресу:порту". Отдаётся страница, очень похожая на банковскую, различие в миллиметрах. В общем, ясно.
Загрузился с ливцд, снёс мерзавца, перегрузился, проверил процессы, на всякий случай целый день гонял доступными антивирусами -- всё чисто.
Настораживает сильно целевая атака -- скрипт прокси заточен именно под тот банк, с которым знакомый начал работать. систему я на его комп ставил 5 дней назад, ессно, была чистой. Очень похоже, что мерзавец был именно с сайта банка и загружен.
Такие дела.
exeшник сохранил, скрипты-адреса тоже записаны. Буду в следующий раз у знакомого -- отправлю гада дрвебу на растерзание.
"Бди!" (с) К.Прутков
no subject
no subject
Люди делятся на тех, кто делает бэкапы правильно, и тех, кто ещё не терял ничего важного©
no subject
no subject
Вылавливание разницы has been left as an exercise for the reader
no subject
no subject
no subject
Т.е., меня вызывают, когда уже все плохо. А все советы, как делать, чтобы в следующий раз плохо не было, обычно игнорируются. Мне бы радоваться такому желанию платить мне почаще, а я недоволен...
no subject
no subject
инструкций подробных как вытереть гадость, загрузившись с живой системы - в сети немало.
no subject
no subject
no subject
Винда должна поставляться с пачкой шурупов в комплекте. За каждый случай необоснованного сидения под админской учеткой один шуруп завинчивается в голову юзера.
no subject
no subject
А ошибиться, как мы все понимаем - не хочется. :)