![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Две недели назад коллега упросил посмотреть и что-нибудь сделать (в прошлый раз он подумал, что проще и лучше переустановить систему). Решил сходить, посмотреть, чтоже это такое страшное, чем детей пугают ;-)
WinXP, при загрузки вылезает баннер. Удалось запустить имевшийся в системе Process Explorer, но воспользоваться не получилось - всё оказалось застопорившимся - антивирь, меню Пуск, "три кнопки" и т.п. - ощущение, что скриншот натянули на экран (может так и есть, разбираться не стал).
Далее - перезагрузка - загрузка ALKID LiveCD - запуск Autoruns - зачистка автозагрузки. Экзешник баннера сидел в TEMPе (что-то нечленораздельное с преобладанием букв "b" и "j"). Удалил из автозагрузки запись, потом в ТоталКоммандере удалил сам экзешник. Всё.
Перезагрузка, установка AnVir Task Manager, объяснение чего можно, а чего нельзя. 15 минут работы (ALKID долго грузится).
Судя по времени и журналу FireFox, вирус пришел из ВКонтакте (либо вконтактовская онлайн-игрушка "Денди", либо что-то такое с названием "Раскрась звезду" (вроде так,точно не помню)). Хотя, может быть он сидел где-то "в засаде", а потом по таймеру материализовался во временной папке. Я просто сопоставил время появления экзешника и журнал браузера. Т.ч. не считайте это поклепом на Вконтакт - простое предположение. А вы уж дальше сами решайте, доверять этой шарашкиной конторе или нет...
----------------------------------------
UPD:
Информация к размышлению
- общепопулярное описание Trojan Winlock
- как найти, установить, а потом удалить порнобаннер
По ссылке из последнего источника скачал exe-шник, маскирующийся по обновление Adobe Flash Player, и "скормил" сайту virustotal.com для "проверки на вшивость". Результат:
Файл flash_player_2_.exe получен 2010.07.07 16:03:59 (UTC)
Результат: 7/41 (17.07%)
Т.е. что-то подозрительное в файле нашли только 7 из 41 самых распространенных антивирусов со свежайшими базами. Перечислю "героев забега":
BitDefender, F-Secure, GData, nProtect усмотрели внутри Gen:Variant.Renos.31
Microsoft обнаружил Trojan:Win32/Ransom.AP
NOD32 высказался за "a variant of Win32/Kryptik.EIF"
VBA32 предположил наличие BScope.Malware.FraudTool.xc
Dr.Web CureIt!, который Dr.Web рекламирует как утилиту, успешно справляющуюся с подобной заразой, прошел мимо даже не задержавшись. Выводы делайте сами. Я же продолжу настаивать на том, что в случае с порнобаннерами лучше надеяться на свой здравый смысл, чем на разработчиков антивирей.
WinXP, при загрузки вылезает баннер. Удалось запустить имевшийся в системе Process Explorer, но воспользоваться не получилось - всё оказалось застопорившимся - антивирь, меню Пуск, "три кнопки" и т.п. - ощущение, что скриншот натянули на экран (может так и есть, разбираться не стал).
Далее - перезагрузка - загрузка ALKID LiveCD - запуск Autoruns - зачистка автозагрузки. Экзешник баннера сидел в TEMPе (что-то нечленораздельное с преобладанием букв "b" и "j"). Удалил из автозагрузки запись, потом в ТоталКоммандере удалил сам экзешник. Всё.
Перезагрузка, установка AnVir Task Manager, объяснение чего можно, а чего нельзя. 15 минут работы (ALKID долго грузится).
Судя по времени и журналу FireFox, вирус пришел из ВКонтакте (либо вконтактовская онлайн-игрушка "Денди", либо что-то такое с названием "Раскрась звезду" (вроде так,точно не помню)). Хотя, может быть он сидел где-то "в засаде", а потом по таймеру материализовался во временной папке. Я просто сопоставил время появления экзешника и журнал браузера. Т.ч. не считайте это поклепом на Вконтакт - простое предположение. А вы уж дальше сами решайте, доверять этой шарашкиной конторе или нет...
----------------------------------------
UPD:
Информация к размышлению
- общепопулярное описание Trojan Winlock
- как найти, установить, а потом удалить порнобаннер
По ссылке из последнего источника скачал exe-шник, маскирующийся по обновление Adobe Flash Player, и "скормил" сайту virustotal.com для "проверки на вшивость". Результат:
Файл flash_player_2_.exe получен 2010.07.07 16:03:59 (UTC)
Результат: 7/41 (17.07%)
Т.е. что-то подозрительное в файле нашли только 7 из 41 самых распространенных антивирусов со свежайшими базами. Перечислю "героев забега":
BitDefender, F-Secure, GData, nProtect усмотрели внутри Gen:Variant.Renos.31
Microsoft обнаружил Trojan:Win32/Ransom.AP
NOD32 высказался за "a variant of Win32/Kryptik.EIF"
VBA32 предположил наличие BScope.Malware.FraudTool.xc
Dr.Web CureIt!, который Dr.Web рекламирует как утилиту, успешно справляющуюся с подобной заразой, прошел мимо даже не задержавшись. Выводы делайте сами. Я же продолжу настаивать на том, что в случае с порнобаннерами лучше надеяться на свой здравый смысл, чем на разработчиков антивирей.
Tags: