PDA

Просмотр полной версии : Порнобаннер supersexygirl.net



bolshoy kot
17.07.2010, 16:45
Файл имеет название flash_player.exe и иконку с буквой "F" и распространяется через сайты с видеороликами непристойного содержания. Таким образом, даже достаточно опытный пользователь может подумать, что данная программа является обновлением для Adobe Flash Player.

После запуска файла на экране на несколько секунд появляется окно командной строки (в нем выполняется файл rdb.bat), а затем сообщение об успешной установке "модуля". Также на экране появляется окно Интернет-браузера с открытым в нем сайтом _xxxstash.com. Программа создает папку C:\Documents and Settings\All Users\Media и размещает в ней два файла: module.exe - свою копию (размер 100 Кб, как и у файла flash_player.exe) и rdb.bat - командный файл со следующим содержимым:



cd C:\Documents and Settings\All Users\Media
echo tratata

echo>"module.exe:Zone.Identifier"


Также для файла module.exe в реестре создаются настройки, обеспечивающие его автозапуск.

После перезагрузки (а может и без нее, через некоторое время?) на экран выводится окно следующего содержания:

http://s58.radikal.ru/i159/1007/46/f879af5caf0a.jpg (http://www.radikal.ru)

В данном окне пользователю предлагается отправить платное SMS-сообщение на короткий номер, чтобы закрыть данное окно.


Удаление
Для удаления модуля следует ввести код 28527548 и нажать кнопку Удалить.
После этого на экране появится следующее сообщение:

http://s07.radikal.ru/i180/1007/24/6d55f94d6e9c.jpg (http://www.radikal.ru)

В этом сообщение следует нажать кнопку OK, после этого на экране появится:

http://i068.radikal.ru/1007/4f/716216943586.jpg (http://www.radikal.ru)

Введите код 35676549 и нажмите Удалить. Баннер закроется. После этого рекомендуется зайти в папку C:\Documents and Settings\All Users\Media и удалить (в случае невозможности удаления - переименовать и удалить после перезагрузки) созданные вредоносной программой файлы module.exe и rdb.bat.

То же самое кратко: введите код 28527548, затем введите код 35676549. Потом удалите module.exe и rdb.bat из C:\Documents and Settings\All Users\Media. Если не удается, переименуйте их и удалите после перезагрузки.

bolshoy kot
20.07.2010, 19:52
Определение антивирусами - http://www.virustotal.com/analisis/cd7843ba1ae94328aeecfe27eff4fc3e449f297116760a37eb b72a13525e0638-1279644549

bolshoy kot
22.07.2010, 15:27
Определение Касперским - Trojan-Ransom.Win32.XBlocker.baq