# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Доступ в сеть заблокирован

## bolshoy kot

Файл имеет размер *173 Кб*, загружается с сайтов порнографического содержания (_xxx.yourporno-movie.инфо/xxx/?uid=4&tmpbrid=59 :Cool:  под видом Adobe Flash Player. В свойствах файла значится производитель "MediaSystemsLLC" и описание "Проигрыватель медиа-контента".
При запуске копирует себя в папку *C:\Documents and Settings\User\Application Data* (User - имя пользователя) под именем *qeetcycv.exe* и прописывается в HCKU\Run под именем "PC Health Status".
Спустя некоторое(1 час?) время после установки выводит сообщение о том, что доступ в Сеть заблокирован и что пользователь должен оплатить просмотр видеороликов путем отправки SMS-сообщения на номер 9691.
Интересно, что все функции программы описаны в соглашении (которое никто не читает, тем более что оно программой не выводится, а спрятано под ссылкой на сайте):



> ПОЛЬЗОВАТЕЛЬСКОЕ СОГЛАШЕНИЕ
> Перед использованием программного обеспечения, пожалуйста, ознакомьтесь с условиями настоящего пользовательского соглашения.
> Пользователь вправе использовать программное обеспечение на условиях, определенных настоящим Пользовательским соглашением. Любое использование программного обеспечения означает полное и безоговорочное принятие условий описанных в настоящем пользовательском соглашении.
> Пользователю запрещается: 
> - Вносить любые изменения в программное обеспечение. 
> - Передавать программное обеспечение третьим лицам. 
> - Использовать программное обеспечения с целью получения коммерческой выгоды.
> Тестирование программного обеспечения производилось для операционных систем: 
> - Microsoft Windows XP (SP1, SP2, SP3, SP4) 
> ...


В соглашении также упомянута несуществующая версия Windows XP SP4.


_Код разблокировки: 3097_

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## naglo

огромное спасибо!
подобные трояны моя слабость. ибо проверка на тупость. но с подобным столкнулся впервые. (расскажу сразу что качал плеер, поэтому и поставил  :Wink:  ).

но данная версия вредоносной программы ограничивает правда доступа к ресурсам и полностью меня оградила к доступу к сети Интернет.


код помог. еще раз выражаю благодарность!!!

только вот вопрос где найти прогу и  как ее ликвидировать дабы она в дальнейшем не принесла мне проблем??

----------


## Matias

> только вот вопрос где найти прогу и  как ее ликвидировать


Создайте новую тему в разделе "Помогите", предварительно выполнив правила.

----------


## bolshoy kot

> только вот вопрос где найти прогу и как ее ликвидировать дабы она в дальнейшем не принесла мне проблем??


В папке "C:\Documents and Settings\Имя пользователя\Application Data" (для XP, в Vista что-то типа "C:\Users\Имя пользователя\AppData") под именами:
qeetcycv.exe (сам блокиратор)
qeetcycv.183 (переименовывается после ввода кода)
qeetcycv.ddr (вспомогательный файл)
Но лучше обратиться в раздел Помогите.

*Добавлено через 2 минуты*




> расскажу сразу что качал плеер, поэтому и поставил


 
Вот так он распространяется (или распространялся, не знаю, идет ли распространение сейчас).

----------


## bolshoy kot

http://www.threatexpert.com/report.a...0c2568a8031b1f

----------


## bolshoy kot

Также он может иметь размер 172 Кб.
Может ставить ярлык в автозагрузку "healm_tghv".
Файл каким-то образом блокирует действия с собой.
При попытке запустить "qeetcycv.exe" с помощью Проводника выдается сообщение "Файл занят другой программой". Да и иконка у него в Проводнике стандартная, а ведь на деле - такая же как у инсталлятора.

*Добавлено через 7 минут*

В ходе работы запускает команду *"netsh" interface show interface* и *netsh exec (путь к файлу tmpqeet в папке Temp)*, делает он это через пакетный файл tmpqeet.bat
Вот ссылка из окна блокера _http://active-acs.com
Код разблокировки 3097

*Добавлено через 21 минуту*

*"netsh.exe" dump* - еще одна команда, запускаемая этим Winlock-ом.

----------


## kinrob

Наверное, шарлатаны обновили свою прогу, и код 3097 теперь не подходит. Да и в папке "C:\Documents and Settings\Имя пользователя\Application Data" у меня сидел не *qeetcycv.exe*, а *ifkcpydn.exe**,*а рядом с ним ещё *ifkcpydn.drr* "до кучи". 

С откатом даты и восстановлением системы решил не рисковать.

Обратился к AVZ: благо, дело было в офисе и под ругой были ещё компы с доступом к инету. Скача avz, обновил вручную базы, скинул на флэшку, воткнулся в вирусный комп, запустился.

Попытка помещения файла в карантин не удалась: _"Карантин с использованием прямого чтения - Ошибка"_.

Почитал про *Отложенное удаление файла*, запустил его (с опцией эвритической чистки ссылок) для файлов *ifkcpydn*, перезагрузился: окно ("Доступ в сеть заблокирован") не выскочило. Правда сам файл остался, но теперь он удалился вручную.

Удачи!

*Добавлено через 45 минут*

Да, рано я обрадовался: работа сети до конца не восстановилась. В сети я увидел только свой компьютер. Остальные компьютеры, включая сервер домена (странно, как же я вошел в свой профиль тогда: пароль-то должен сервером проверяться?) в сетевом окружении не отображались. Что, правда, интересно, интернет-подключение (настроено как подключение "Через высокоскоростное подключение, запрашивающее имя пользователя и пароль") работало.

Первым делом попробовал восстановление системы, но не помогло. Да и свежих точек не оказалось. После этого обратил внимание на упоминание того, что злопрога использует инструкции *netsh* (спасбо bolshomy kotу), и обратился к справке. Выяснил, что она может возвращать настройки TCP/IP к изначальным, что и сделал (эх, знать бы мне про эту возможность тройку лет назад - не пришлось бы винду как-то пересносить). Сбросил настройки способом "для чайников": зашел сюда: http://support.microsoft.com/kb/299357 и ткнул "Fix it". Только после перезагрузки комп немного подумать должен.

Надеюсь, что все  :Smiley:

----------

