PDA

Просмотр полной версии : Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)



bolshoy kot
12.01.2010, 15:23
Распространяется под видом обновления Flash Player install_flash-player_build2x1.exe с сайтов порнографического содержания. После запуска создает два файла - .dll и .exe с именами из случайных букв в папке C:\Documents and Settings\Имя пользователя\Local Settings\Temp. В папке Назначенные задания создается задание WindowsCheck, запускающее .exe-файл из папки Temp.
После запуска выводит на экран сообщение о том, что пользователь установил баннер для доступа на сайт и что баннер удалится через 30 дней. Также в сообщении присутствует предложение отправить SMS на номер 9800 для удаления баннера.

Удаление:
1. Следует попробовать ввести код 4243352762, затем 7393936297
2. Удалить все файлы из следующей папки:
C:\Documents and Settings\User\Local Settings\Temp
3. Удалить назначенное задание WindowsCheck

Существуют также другие варианты данного вируса.
Для удаления одно из них надо удалить файлы C:\WINDOWS\system32\syschk32.exe и C:\WINDOWS\system32\el32.dll, а также назначенное задание SystemCheck. Для удаления другого - удалить файлы C:\Program Files\plugin.exe и C:\WINDOWS\plugin.exe.

Также на зараженном компьютере может присутствовать файл C:\Program Files\Internet Explorer\svcnost.exe, который следует удалить.

Генератор кодов разблокировки (http://virusinfo.info/deblocker)

bolshoy kot
18.01.2010, 17:06
Обнаружение антивирусами различных вариантов Trojan-Ransom.Win32.PinkBlocker:
wpcks.exe - Trojan-Ransom.Win32.PinkBlocker.eg
dafpr.dll - Trojan-Ransom.Win32.PinkBlocker.ef
install_flash-player_build2x1.exe - Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800

bolshoy kot
19.01.2010, 19:43
dafpr.dll - Trojan.Winlock.800
wpcks.exe - Trojan.Winlock.796

bolshoy kot
21.01.2010, 22:53
Результаты проверки на VirusTotal:
wpcks.exe - http://www.virustotal.com/analisis/f2429fa15087ae49b38b0c6a34aeb245ddeb92ca237b8292d9 7cb93b896fd235-1264103326
dafpr.dll - http://www.virustotal.com/analisis/ff340c4eb4e7b246bc813eaf5105cd47cfa739ae1792c71708 399a87e849019c-1264103500
plugin.exe (http://virusinfo.info/showthread.php?t=67535) - http://www.virustotal.com/analisis/b5c2e240ebc4323421fea99a02507a79ea9fba5b29ee9b6cc3 e808d288de8c02-1264103298

eeprom
15.02.2010, 19:52
Тоже сегодня столкнулся c этой гадостью, нашел в C:\Documents and Settings\Имя пользователя\Local Settings\Temp под именем hpna.dll.
Отправил на virustotal.com - оказался trojan.winlock.800 (Trojan-Ransom.Win32.PinkBlocker.dz)
http://www.virustotal.com/analisis/5ec1543d312df42972de9af2ed4e644e47917e0f1e367ee389 11912c2572ee25-1266251234, (http://www.virustotal.com/analisis/5ec1543d312df42972de9af2ed4e644e47917e0f1e367ee389 11912c2572ee25-1266251234)

bolshoy kot
15.02.2010, 23:27
eeprom, скачивали ли Вы недавно обновление флеш-плеера (Adobe Flash Player 10)? Какой номер и текст SMS был на экране? Как выглядел баннер? Поищите еще файл *.exe вируса (на него ссылается назначенное задание WindowsCheck) в папке Temp.

eeprom
16.02.2010, 19:16
Нашел я его не на своем компьютере, как раз заглянув в назначенные задания, по-моему так и называлось WindowsCheck, в то время как работал kaspersky virus remooval tool, он выловил и уничтожил кучу подобных, а этот я вырезал из папки temp и утащил с собою на флешке, затем отправил на virustotal.com. На текст и sms не смотрел, так как баннер выглядел непристойно (порнофото на розовом фоне), как-то неудобно было. Возможно, это был другой ransom, как я уже говорил, их там было много.