Свежий винлокер с МТСовскими номерами.
2012-Jun-04, Monday 00:31![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
qkowlewСвежий винлокер.
Размер екзешника 76800
прописывается тупо вместо шелла в Winlogon и автозапуском в нескольких экземплярах.
попавшийся мне екзешник лежал тупо в C:\Documents and Setings\Администратор\
Удаляется правкой на explorer.exe в реестре ветки Winlogon\Shell
загрузившись с LiveCD или с чистой системы.
Текст сообщения интересен тем, что от загрузки к загрузке меняет телефонные номера, на которые предлагает занести 500 рублей, иначе всё прибьёт не помилует.
телефонные номера - например - +79879401267 - это МТС Самары, судя по поверхностным результатам поиска.
на 23:20 03-Jun-2012 не ловится NOD32, Kaspersky со свежей базой, AVZ4, DrWeb CureIt
Отослан мной через формочку AVZ-овцам. Не ленитесь так делать. :)
Пока встречено около 80 разных телефонных номеров (лень выяснять все).
Пока делаю вывод, что, скорее всего это кто-то особо тупой или наглый в самом МТС развлёкся. Спасибо лююбимой компании, ага. :)
Размер екзешника 76800
прописывается тупо вместо шелла в Winlogon и автозапуском в нескольких экземплярах.
попавшийся мне екзешник лежал тупо в C:\Documents and Setings\Администратор\
Удаляется правкой на explorer.exe в реестре ветки Winlogon\Shell
загрузившись с LiveCD или с чистой системы.
Текст сообщения интересен тем, что от загрузки к загрузке меняет телефонные номера, на которые предлагает занести 500 рублей, иначе всё прибьёт не помилует.
телефонные номера - например - +79879401267 - это МТС Самары, судя по поверхностным результатам поиска.
на 23:20 03-Jun-2012 не ловится NOD32, Kaspersky со свежей базой, AVZ4, DrWeb CureIt
Отослан мной через формочку AVZ-овцам. Не ленитесь так делать. :)
Пока встречено около 80 разных телефонных номеров (лень выяснять все).
Пока делаю вывод, что, скорее всего это кто-то особо тупой или наглый в самом МТС развлёкся. Спасибо лююбимой компании, ага. :)
no subject
Date: 2012-Jun-03, Sunday 21:39 (UTC)при рассмотрении компа обнаружен процесс явно бандитского названия. ни дрвебом, ни касперским не определяется. блокирует попытки прервать процесс из таскменеджера и фара. exe находится в каталоге автозапуска, переименовать себя не даёт. блокирует запуск а) process explorer б) окна с настройками дрвеба.
в настройках браузера (оперы) обнаружена установка на файл автонастройки прокси, лежащий на http://... (адрес не упомнил). посмотрел файл автонастройки -- "если http:// = адрес регистрационной страницы банка, то прокси по такому-то адресу:порту". Отдаётся страница, очень похожая на банковскую, различие в миллиметрах. В общем, ясно.
Загрузился с ливцд, снёс мерзавца, перегрузился, проверил процессы, на всякий случай целый день гонял доступными антивирусами -- всё чисто.
Настораживает сильно целевая атака -- скрипт прокси заточен именно под тот банк, с которым знакомый начал работать. систему я на его комп ставил 5 дней назад, ессно, была чистой. Очень похоже, что мерзавец был именно с сайта банка и загружен.
Такие дела.
exeшник сохранил, скрипты-адреса тоже записаны. Буду в следующий раз у знакомого -- отправлю гада дрвебу на растерзание.
"Бди!" (с) К.Прутков