18-19 мая 2010 года Антивирусный портал VirusInfo зафиксировал вспышку инфекции.
Наименование:
Trojan.Win32.Agent2.cqzi (Лаборатория Касперского)
Trojan.DownLoad1.59108 (Dr. Web)
Gen:Variant.Oficla.2 (BitDefender)
Win32:Rootkit-gen [Rtk] (avast!)
Самоназвание:
неизвестно
Симптомы:
Вредоносное ПО отображает пользователю навязчивый рекламный баннер порнографического содержания и для его отключения предлагает отправить SMS-сообщение с определенным текстом на номер 3381. Из обращений пользователей известно, что вымогатель способен противодействовать работе антивирусных инструментов.
Состав вредоносной программы:
Основным компонентом
Trojan.Win32.Agent2.cqzi является объект
%system32%\srnh.lto. В протоколах AVZ отображается в качестве модуля, внедренного в процесс svchost.exe; в результатах исследования системы утилитой HijackThis виден в секции F2 (ключ Winlogon / Shell):
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe srnh.lto iqfnr
Также на пораженных ПК были отмечены вредоносные модификации ключа реестра
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
Содержимое ключа варьируется в зависимости от конкретного образца вредоносной программы.
Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО
Trojan.Win32.Agent2.cqzi, то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.
Так как основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя этого вредоносного программного обеспечения не может быть сформирован.
Наиболее простым способом дезактивации рекламного баннера является обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер», которой принадлежит короткий номер, используемый злоумышленниками.
Телефонные номера технической поддержки поставщика услуг:
- +7 800 100 7337 (федеральный)
- +7 495 363 1427 (московский)
Назовите оператору необходимые сведения о вредоносном ПО, чтобы получить код разблокирования.
Обращаем ваше внимание на то, что обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер» и последующая разблокировка
не позволяют полностью излечить пораженную ОС. После дезактивации вредоносного ПО мы
настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с
Правилами оформления запроса или обратившись в
систему экстренной антивирусной помощи 911.
Самостоятельное лечение:
Также вы можете уничтожить вредоносную программу самостоятельно с помощью загрузочного диска Kaspersky Rescue Disk 10, который позволяет вылечить компьютер, не загружая зараженную операционную систему Windows.
- Скачайте образ диска.
- Запишите его на CD или DVD.
- Вставьте записанный диск в лоток и перезагрузите компьютер.
- Следуйте указаниям программы.
Дополнительная информация о Kaspersky Rescue Disk 10:
http://virusinfo.info/showthread.php?t=77717
Примеры жалоб:
Источник: Антивирусный портал VirusInfo