Будьте бдительны - вирус!

Сегодня пришел на работу воткнул флешку, запустил аську, а там сообщение от коллеги по бывшей работе вот такого содержания: “никого не узнаёшь на этой фотке? гг)) http://bassco.ru/images/foto18.gif“. НЕ ВЗДУМАЙТЕ ПЕРЕХОДИТЬ ПО ЭТОЙ ССЫЛКЕ. Хорошо, что у меня на работе Ubuntu, так как несмотря на свою осторожность (знаю ведь, что нельзя подобные ссылки открывать, если пришло только одно такое сообщение) все таки я на нее клацнул. Мне тут же было предложено загрузить файлик foto18.scr и все стало понятно. Написал отправителю. И через некоторое время получил ответ, что он такого не отправлял и что это вирус. Причем его “Касперский” ничего не видит. А ему сообщение пришло от его девушки. Вирус начинает рассылать такое сообщение по всему контактному листу ICQ зараженного компьютера. В общем будьте бдительны.

Статьи и новости схожей тематики:

Комментариев: 14

  1. ivirinka:

    Я даже, наверное, знаю с чьего icq-номера тебе эта ссылочка пришла :). Лёха с Юрой вчера в 2х местах лечили :)
    Подробности пускай сами рассказывают.

    Ответить

    Igorka Reply:

    Не от Лёхи и не от Юрки :)

    Ответить

    ivirinka Reply:

    от Влада Г. ? :)

    Ответить

    Igorka Reply:

    Поиграем в игру? :) От Саши Ч. :)

    Ответить

    ivirinka Reply:

    а я думаю, что его все-таки “заразил” Влад Г. :)

    Ответить

  2. ivirinka:

    “Причем его “Касперский” ничего не видит.”
    NOD его тоже не видит

    Ответить

  3. Лёха:

    Лечится вобщем достаточно легко при наличии загрузочного диска типа WinPE или LiveCD… Обратить внимание на то что находится в ветке Run и в ветке Winlogon. Касперский обозвал его трояном и обновления выпустил ещё 09.08.2009 поздно вечером… NOD32 на данный момент не знаю, но 9-го foto18.scr как вирус он его не узнал

    Ответить

  4. Igorka:

    Сегодня пробовал в целях эксперимента зайти на ссылку с виртуалки (Windows XP SP2, IE 8, Avira AntiVir Personal (базы от 06.08.2009). При заходе на ссылку браузер выбросил сообщение с предложением сохранить файл foto18.scr. Отказался. Загрузка все равно произошла так как тут же сработала Авира и предложила этот файл удалить. В общем заразиться не получилось :) Кстати, что конкретно в ветке Run?

    Ответить

  5. Лёха:

    Хороший вопрос, с субботы уже подзабыл как точно файло называется, но на самом деле вполне достаточно загрузиться с LiveCD и удалить из ветки “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” в параметре Userinit все значения кроме “C:\WINDOWS\system32\userinit.exe,”. Делать это нужно обязательно не под хакнутой системой, т.к. после закрытия редактора реестра значения параметра возвращаются назад. Ну а дальше можно загрузиться с диска С:\ и на всякий случай проверить систему свежескаченным AVPTool (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/). А вообще, что бы быстро разблокировать систему можно просто ввести в поле для ввода кода, который предлагается получить отправив SMS 7 нулей, только прошу не забывать, что после ввода кода вирус всё ещё присутствует в системе.

    Ответить

  6. Лёха:

    Вдогонку, вспомнил название файла sdra64.exе, лежит естественно в c:\windows\system32\.По классификации DrWeb - Trojan.PWS.Panda.114

    Ответить

  7. AlexART:

    Приветствую коллеги! :)
    Удалил злополучное ПО, Касперским, а не видел его DR.Web - эт так не большая поправочка. После чего естественно скачал LiveCD от Dr.web он показал что инфицированных, вредоносных файлов нет.
    Спасибо за дискуссию.

    Ответить

  8. Igorka:

    Вирус продолжает беспокоить… Теперь уже посылает на ссылку h t t p : / / spice3g.ru/img/foto15.gif. Будьте осторожны!

    Ответить

  9. Igorka:

    Вот новый перл:
    заметно что фотка в фотошопе отредактирована или нет?
    h t t p : / / uho.su/images/foto17.gif

    Ответить

  10. Igorka:

    Сегодня получил по аське предложение скачать файл Snatch.exe. Файл качать я отказался, пусть даже он был и от знакомого контакта. Затем получил сообщение, еще от одного контакта, чтобы не запускали файл, который от него получили. В общем очередная волна взлома аськи. На хабре уже выложили заметку на эту тему http://habrahabr.ru/blogs/infosecurity/101870/

    Ответить

Оставьте свой отзыв