PDA

Просмотр полной версии : Доступ в сеть заблокирован



bolshoy kot
21.02.2010, 17:45
Файл имеет размер 173 Кб, загружается с сайтов порнографического содержания (_xxx.yourporno-movie.инфо/xxx/?uid=4&tmpbrid=598) под видом Adobe Flash Player. В свойствах файла значится производитель "MediaSystemsLLC" и описание "Проигрыватель медиа-контента".
При запуске копирует себя в папку C:\Documents and Settings\User\Application Data (User - имя пользователя) под именем qeetcycv.exe и прописывается в HCKU\Run под именем "PC Health Status".
Спустя некоторое(1 час?) время после установки выводит сообщение о том, что доступ в Сеть заблокирован и что пользователь должен оплатить просмотр видеороликов путем отправки SMS-сообщения на номер 9691.
Интересно, что все функции программы описаны в соглашении (которое никто не читает, тем более что оно программой не выводится, а спрятано под ссылкой на сайте):

ПОЛЬЗОВАТЕЛЬСКОЕ СОГЛАШЕНИЕ
Перед использованием программного обеспечения, пожалуйста, ознакомьтесь с условиями настоящего пользовательского соглашения.
Пользователь вправе использовать программное обеспечение на условиях, определенных настоящим Пользовательским соглашением. Любое использование программного обеспечения означает полное и безоговорочное принятие условий описанных в настоящем пользовательском соглашении.
Пользователю запрещается:
- Вносить любые изменения в программное обеспечение.
- Передавать программное обеспечение третьим лицам.
- Использовать программное обеспечения с целью получения коммерческой выгоды.
Тестирование программного обеспечения производилось для операционных систем:
- Microsoft Windows XP (SP1, SP2, SP3, SP4)
- Microsoft Windows Vista ( SP1, SP2, SP3)
- Microsoft Windows 7
В случае, если программное обеспечение установлено на операционную систему, для которой не производилось тестирование, работоспособность программного обеспечения не гарантируется. В том числе работоспособность программного обеспечения не гарантируется в случае установки на эмуляторы указанных ранее операционных систем.
После установки программное обеспечение будет автоматически запускаться вместе с запуском операционной системы.
Программное обеспечение позволяет осуществить просмотр видео роликов, на тех и только тех веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение.
Установленное программное обеспечение позволяет осуществлять просмотр видео роликов в течении часа с момента установки на безвозмездной основе, и не оповещая пользователя о необходимости произведения оплаты.
По истечении часа с момента установки программного обеспечения, Пользователь будет уведомлен о необходимости произведения оплаты.
Уведомление пользователя происходит в виде отображения окна, содержащего напоминание о необходимости оплаты и всех необходимых для оплаты данных.
Оплата производится путем отправки двух смс сообщений на номер 9691. Стоимость одного смс сообщения на номер 9691 состовляет от 170 до 310 рублей, точную стоимость можно узнать у оператора. Текст для отправки первого смс сообщения указан в уведомлении. Текст для отправки второго смс сообщения будет указан в ответном смс сообщении к первому смс сообщению.
Уведомление будет отображаться до тех пор, пока Пользователь не произведет оплату в соответствии с инструкцией расположенной в окне уведомления.
В течении тридцати дней с момента произведения Пользователем оплаты программное обеспечении позволяет осуществлять просмотр видео роликов, на тех и только тех веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение.
По истечению тридцати дней с момента оплаты программное обеспечение не будет позволять осуществлять просмотр видео роликов.
По истечению тридцати дней с момента оплаты, для получения возможности просматривать видео ролики на веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение, Пользователю необходимо повторно установить настоящее программное обеспечение, предварительно удалив предыдущий экземпляр программного обеспечения.
Программное обеспечение позволяет осуществить просмотр видео роликов только на том компьютере и той операционной системе на которых оно было установлено.
Не гарантируется работоспособность программного обеспечения в случае, если после его установки производилась переустановка операционной системы, изменение характеристик компьютера или других действий влияющих на ресурсы, необходимые для корректной работы программного обеспечения.
Пользователь подтверждает свое безоговорочное согласие со всеми условиями, изложенными в настоящем Пользовательском соглашени с момента установки программного обеспечения.
В случае если качество оказываемой Вам услуги Вас не устраивает, Вы можете отказаться от нее по телефону 8 (800) 333-33-71.
В соглашении также упомянута несуществующая версия Windows XP SP4.


Код разблокировки: 3097

naglo
24.02.2010, 21:17
огромное спасибо!
подобные трояны моя слабость. ибо проверка на тупость. но с подобным столкнулся впервые. (расскажу сразу что качал плеер, поэтому и поставил ;) ).

но данная версия вредоносной программы ограничивает правда доступа к ресурсам и полностью меня оградила к доступу к сети Интернет.


код помог. еще раз выражаю благодарность!!!

только вот вопрос где найти прогу и как ее ликвидировать дабы она в дальнейшем не принесла мне проблем??

Matias
24.02.2010, 22:05
только вот вопрос где найти прогу и как ее ликвидировать
Создайте новую тему в разделе "Помогите", предварительно выполнив правила (http://virusinfo.info/pravila.html).

bolshoy kot
25.02.2010, 20:32
только вот вопрос где найти прогу и как ее ликвидировать дабы она в дальнейшем не принесла мне проблем??
В папке "C:\Documents and Settings\Имя пользователя\Application Data" (для XP, в Vista что-то типа "C:\Users\Имя пользователя\AppData") под именами:
qeetcycv.exe (сам блокиратор)
qeetcycv.183 (переименовывается после ввода кода)
qeetcycv.ddr (вспомогательный файл)
Но лучше обратиться в раздел Помогите.

Добавлено через 2 минуты


расскажу сразу что качал плеер, поэтому и поставил ;)
http://s003.radikal.ru/i202/1002/d6/36593b4ff70bt.jpg (http://radikal.ru/F/s003.radikal.ru/i202/1002/d6/36593b4ff70b.jpg.html)
Вот так он распространяется (или распространялся, не знаю, идет ли распространение сейчас).

bolshoy kot
27.02.2010, 17:35
http://www.threatexpert.com/report.aspx?md5=400b0ea069299f0a520c2568a8031b1f

bolshoy kot
09.03.2010, 19:47
Также он может иметь размер 172 Кб.
Может ставить ярлык в автозагрузку "healm_tghv".
Файл каким-то образом блокирует действия с собой.
При попытке запустить "qeetcycv.exe" с помощью Проводника выдается сообщение "Файл занят другой программой". Да и иконка у него в Проводнике стандартная, а ведь на деле - такая же как у инсталлятора.

Добавлено через 7 минут

В ходе работы запускает команду "netsh" interface show interface и netsh exec (путь к файлу tmpqeet в папке Temp), делает он это через пакетный файл tmpqeet.bat
Вот ссылка из окна блокера _http://active-acs.com
Код разблокировки 3097

Добавлено через 21 минуту

"netsh.exe" dump - еще одна команда, запускаемая этим Winlock-ом.

kinrob
12.03.2010, 05:26
Наверное, шарлатаны обновили свою прогу, и код 3097 теперь не подходит. Да и в папке "C:\Documents and Settings\Имя пользователя\Application Data" у меня сидел не qeetcycv.exe, а ifkcpydn.exe,а рядом с ним ещё ifkcpydn.drr "до кучи".

С откатом даты и восстановлением системы решил не рисковать.

Обратился к AVZ: благо, дело было в офисе и под ругой были ещё компы с доступом к инету. Скача avz, обновил вручную базы, скинул на флэшку, воткнулся в вирусный комп, запустился.

Попытка помещения файла в карантин не удалась: "Карантин с использованием прямого чтения - Ошибка".

Почитал про Отложенное удаление файла, запустил его (с опцией эвритической чистки ссылок) для файлов ifkcpydn, перезагрузился: окно ("Доступ в сеть заблокирован") не выскочило. Правда сам файл остался, но теперь он удалился вручную.

Удачи!

Добавлено через 45 минут

Да, рано я обрадовался: работа сети до конца не восстановилась. В сети я увидел только свой компьютер. Остальные компьютеры, включая сервер домена (странно, как же я вошел в свой профиль тогда: пароль-то должен сервером проверяться?) в сетевом окружении не отображались. Что, правда, интересно, интернет-подключение (настроено как подключение "Через высокоскоростное подключение, запрашивающее имя пользователя и пароль") работало.

Первым делом попробовал восстановление системы, но не помогло. Да и свежих точек не оказалось. После этого обратил внимание на упоминание того, что злопрога использует инструкции netsh (спасбо bolshomy kotу), и обратился к справке. Выяснил, что она может возвращать настройки TCP/IP к изначальным, что и сделал (эх, знать бы мне про эту возможность тройку лет назад - не пришлось бы винду как-то пересносить). Сбросил настройки способом "для чайников": зашел сюда: http://support.microsoft.com/kb/299357 и ткнул "Fix it". Только после перезагрузки комп немного подумать должен.

Надеюсь, что все :)