![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
Коллега нарвался в пятницу вечером и, кстати, разновидность была очень интересная - маскировался по антивирус: текст типа лицензионного соглашения, предупреждение, что комп заражен сверху до низу вирусней и предложение отправить 10 рублей для активации программы и удаления всех найденных вирусов 
Кончилось тем, что в процессе "лечения" очумелыми ручками систему окончательно "положили" и переустановили заново 
Позавчера исходник этой заразы лежал на ПиратКе, сегодня уже удалили. Думаю, если озадачится, найти будет несложно.
Насколько помню, особенности такие:
- падает в system32, если есть одноименный файл, создает другой
- блокирует кнопки Alt, F4 и еще что-то
- прописывается в реестре в автозагрузку
- блокирует Безопасный режим
- периодически проверяет есть ли активные окна и если есть, то лезет поверх
- что-то еще, уже не помню
Антивирем это находится и не должно, т.к. как-бы вирусом в чистом виде не является. Просто программа с высоким приоритетом, которая добавила себя в автозагрузку. Удаляется ручками с LiveCD.
Имхо, под Хрюшу нужно обязательно ставить хотя бы Anvir Task Mаnager с включенным контролем автозагрузки. Тогда, по крайней мере, программа не сможет незамечено прописать себя в реестр + сразу будет видно куда эта зараза "упала". А если она не прописана и неактивна, то удалить ее уже не составляет труда.
В Vista и W7, думаю, повышение уровня UAC должно предотвратить такую заразу, но Anvir все равно не помешает. Имхо.
Вообще, конечно, интересно, как им заражаются, все-таки это exe-шник и его нужно сначала скачать из и-нета и запустить на компе, чтобы он начал действовать (либо с флешкой подцепить, если автозагрузка не отрублена). Т.е., имхо, в 99% случаев, люди сами себе устанавливают эту дрянь. Варианты, которые мне попадались - предложение на сайте обновить Флеш-плеер, компонент Active или еще какую-нибудь хрень. В случае согласия, от пользователя уже ничего не зависит
Кончилось тем, что в процессе "лечения" очумелыми ручками систему окончательно "положили" и переустановили заново Позавчера исходник этой заразы лежал на ПиратКе, сегодня уже удалили. Думаю, если озадачится, найти будет несложно.
Насколько помню, особенности такие:
- падает в system32, если есть одноименный файл, создает другой
- блокирует кнопки Alt, F4 и еще что-то
- прописывается в реестре в автозагрузку
- блокирует Безопасный режим
- периодически проверяет есть ли активные окна и если есть, то лезет поверх
- что-то еще, уже не помню
Антивирем это находится и не должно, т.к. как-бы вирусом в чистом виде не является. Просто программа с высоким приоритетом, которая добавила себя в автозагрузку. Удаляется ручками с LiveCD.
Имхо, под Хрюшу нужно обязательно ставить хотя бы Anvir Task Mаnager с включенным контролем автозагрузки. Тогда, по крайней мере, программа не сможет незамечено прописать себя в реестр + сразу будет видно куда эта зараза "упала". А если она не прописана и неактивна, то удалить ее уже не составляет труда.
В Vista и W7, думаю, повышение уровня UAC должно предотвратить такую заразу, но Anvir все равно не помешает. Имхо.
Вообще, конечно, интересно, как им заражаются, все-таки это exe-шник и его нужно сначала скачать из и-нета и запустить на компе, чтобы он начал действовать (либо с флешкой подцепить, если автозагрузка не отрублена). Т.е., имхо, в 99% случаев, люди сами себе устанавливают эту дрянь. Варианты, которые мне попадались - предложение на сайте обновить Флеш-плеер, компонент Active или еще какую-нибудь хрень. В случае согласия, от пользователя уже ничего не зависит
Tags:
no subject
теперь на моем компе булькает еще и эта хреновина :)
в смысле анти-вир :)
no subject
Но ты ведь все равно не послушаешься? :-)
(в лучшем случае, "намотаешь на ус") :-)))
no subject
а что, работа не из-под админа что-то меняет?
на ФФ я noScript навесила, раздражает, но я терплю
no subject
У меня noScript не прижился - слишком много требуется исправлять после его вмешательства. Т.ч. ограничился AdBlock-ом с несколькими подписками.
no subject
no subject