-
Появились новые загрузчики паразитов:
Video ActiveX Codec - подделка под кодек.Существует несколько типов этих кодеков: VideoCach, MediaTubeCodec, Media Codec Software, VideoAccessCodec. Причем в отличии от троянов и вирусов, пользователь обманутый сообщением(Video ActiveX Object Error) на экране сам скачивает и заражает свой компьютер.
Кроме этого в последнее время получила распространение подделка под запрос на обновление Flash плеера (Flash ActiveX Object Error).
Заражение компьютера в этих случаях происходит когда пользователь посещает сайт, где он хочет посмотреть какой-то видео файл. Сразу после открытия этой страницы выскакивает одно из сообщений и предлагается скачать специальный файл. В результате запуска этого файла происходит заражение.
Основные симптомы заражения.
* Появление незнакомых иконок на рабочем столе.
* Изменение фона рабочего стола, возможно появление надписей на нём, сообщающих о заражении компьютера.
* При просмотре различных сайтов выскакивают всплывающие окна.
* Появление сообщений, похожих на сообщения от центра безопасности Windows. В них сообщается о том, что компьютер заражён и предлагается скачать антиспайварную программу. Точнее поддельную антиспайварную программу.
Появление новой панели инструментов в InternetExplorer.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Есть ещё softwareprofit. Там аналогично. И ещё несколько софтовых дел партнёрок.
-
-
Бедные, бедные люди... Когда же закончится этот терроризм? 
Paul
-
Кстати, я зарегистрирован на softwareprofit. И могу честно продавать людям свой антивирус 
-
-
Эти кодеки активно распростроняются с помощью спама на форумах и почты. На форумах под видом порно. Я таких уже кучу накачал
-
-
Новый паразит:
Trojan-Keylogger.WIN32.Fung - это имя под которым маскируется другой опасный троян, который используется для распространения поддельных антиспайварных программ. В случае заражения компьютера появляется предупреждение системы безопасности Windows, говорящие о том, что встроенный брандмауэр (firewall) обнаружил на компьютере активность трояна Trojan-Keylogger.WIN32.Fung и предлагается заблокировать его.
Это предупреждение - подделка и нужно просто его игнорировать. В любом случае у трояна одна задача, вынудить скачать и установить поддельную антиспаварную программу. Эта программа выполнит сканирование компьютера и наёдет множество вирусов и троянов. После чего будет требовать купить её, чтобы активировать функцию “удаления” вредоносных программ. Делать этого не нужно, так как и предупреждение системы безопасности Windows описанное выше, так и результаты сканирования - это части одного обмана.
-
-
Junior Member
- Вес репутации
- 62
Flash ActiveX и Flash codec вообще-то сам по себе очень назойливый. Ведь значимость и информационная необходимость в этих кодеках достаточно сомнительная. Тем же грешит и Акробат с автомтическим открытием PDF файлов. Это и используют для массового распространения зловредов.
-
Antivirus Pro 2009:
Распространяется через сайты имитирующие онлайн сканеры, а так же может быть установлена скрытно от пользователя, посредством троянов TDSServ, braviax, bratsk.exe/karna.dat. Во всех случаях пользователю показывается сообщение, что компьютер заражён и предлагается вылечить его. Для чего необходимо установить Antivirus Pro 2009.
Во время установки Antivirus Pro 2009 настраивает себя таким образом, чтобы запускаться автоматически при каждом запуске Windows. Сразу же после запуска начинается сканирование, при котором на компьютере находится множество вредоносных программ, вирусов, троянов и тд. Причём, часть из этих опасных файлов Antivirus Pro 2009 создал сам, при своей инсталляции на компьютер. Вот часть из таких файлов:
C:\Documents and Settings\All Users\Application Data\inurev.lib
C:\WINDOWS\qesuriqu.bat
C:\WINDOWS\supicane.bin
C:\WINDOWS\system32\afuny.reg
C:\Program Files\Common Files\yfila.dat
C:\Documents and Settings\user\Local Settings\Application Data\towyvo.pif
C:\Program Files\Common Files\nixef._sy
C:\Documents and Settings\user\Cookies\omevi.lib
C:\WINDOWS\xynexi.sys
C:\Documents and Settings\user\Local Settings\Application Data\rihibevad.com
C:\Documents and Settings\user\Cookies\ifem.db
C:\Documents and Settings\All Users\Application Data\oqacywudyd._dl
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\ufylyz.bat
C:\Documents and Settings\user\Application Data\ikijosycy.dat
C:\WINDOWS\system32\lumihedym.dll
C:\WINDOWS\ytygi._dl
C:\Documents and Settings\user\Local Settings\Application Data\vake.ban
C:\WINDOWS\system32\rube.reg
C:\Documents and Settings\All Users\Application Data\lorasa.inf
C:\Documents and Settings\user\Cookies\bejuzef.exe
C:\Program Files\Common Files\ajilimagy._dl
C:\Documents and Settings\All Users\Application Data\gapevep.dat
После завершения сканирования, Antivirus Pro 2009 предлагает заплатить определённую сумму денег для того чтобы включить возможность удаления найденных вредоносных программ. Делать этого не нужно, можно смело игнорировать всё то, что сообщает Antivirus Pro 2009.
Время от времени Antivirus Pro 2009 показывает предупреждения следующего содержания:
Trojan detected!
A piece of malicious code was found on your system which can
replicate itself if no action is taken. Click here to have your
system cleaned by Antivirus Pro 2009.
Antivirus Pro 2009 может сильно повлиять на производительность компьютера, а кроме этого, существует опасность воровства личных данных. Поэтому рекомендeтся, удалить эту вредоносную программу как можно быстрее.
В удалении зловреда помогут хелперы нашего форума в разделе http://virusinfo.info/forumdisplay.php?f=46&order=desc
-
-
Сообщение от
Зинка
А есть у вас где-нибудь список "сайтов-подделок" антивирусов ?
Куда не ходить ни в коем случае ?
Установите себе - McAfee SiteAdvisor, WOT, WebMoney Advisor, думаю этого будет достаточно, в каком нибудь, если сайт давно существует, будет отзыв о нём, правда и там бывает жулики пишут на самих себя положительные отзывы но это очень редко и наоборот, так же в малом количестве.
-
-
Winweb Security 2008
это поддельная антиспайварная программа, которая получила довольно широкое распространение. Эта паразитная программа использует трояны для проникновения на компьютер. Кроме этого часто пользователи сами ошибочно устанавливают Winweb Security 2008 обманутые навязчивой рекламой. В этой рекламе сообщается что компьютер заражён и предлагается скачать и установить Winweb Security 2008 для того чтобы вылечить копьютер.
Во время установки Winweb Security 2008, программа настраивает себя таким образом, чтобы запускаться автоматически каждый раз, когда запускается Windows. Сразу после запуска этот паразит сканирует компьютер и находит множество инфицированных файлов, троянов, вирусов. Если пользователь пытается вылечить компьютер, то Winweb Security 2008 сообщает о том, что нужно заплатить около 50 долларов, чтобы включить эту возможность.
После заражения, раз в несколько минут, Winweb Security 2008 показывает следующие предупреждения:
Winweb Security Warning
Your PC is still infected with dangerous viruses. Activate
antivirus protection to prevent data loss and to avoid the
theft of your credit card details.
Click here to activate protection.
Winweb Security Warning
Some critical system files of your computer were modified by
malicious program. It may cause system instability and data
loss.
Click here to block unathorised modification by removing
threats (Recommended)
HijackThis показывает заражения:
O2 - BHO: BHOws Object - {D5DF7C9D-6069-4552-8B0C-D02A912FC889} - ws.dll (file missing)
O4 - HKLM\..\Run: [adpws] “C:\Documents and Settings\All Users\Application Data\5689887B.exe”
O4 - HKLM\..\Run: [{90BF8224-CD63-4081-A4C7-EF9A2CF6596F}] “C:\Documents and Settings\All Users\Application Data\A974FA49.exe”
O4 - HKLM\..\Run: [WinwebSecurity] “C:\Documents and Settings\All Users\Application Data\WinwebSecurity\WinwebSecurity.exe”
Добавлено через 4 минуты
Троян Vundo
это опасный и широкораспространённый троян, так же известен как VirtuMonde, WindowsUpd, Adware.VirtuMonde, TrojanDownloader.Win32.Agent.e, ADW_TARGETSOFT.A. Этот троян довольно трудно удалить с компьютера, при этом часто с ним не справляются многие именитые антивирусные и снтиспайварные программы. Причина этому - полиморфизм трояна, каждый компьютер заражён индивидуальным образом, при этом при каждой перезагрузке часть компонентов меняет свои имена и CLSID. Но при этом троян Vundo обладает рядом признаков, по которым опытный специалист его сразу узнает.
Основные симптомы заражения трояном Vundo.
* Множество вплывающих окон.
* Резкое замедление работы компьютера.
* Поддельные сообщения службы безопасности о том, что компьютер заражён и необходимо скачать специальную программу, чтобы вылечить компьютер. ОБЯЗАТЕЛЬНО игнорируйте это сообщение, ни в коем случае не скачивайте и не устанавливайте никаких дополнительных программ
* Ваш антивирус сообщает об заражении компьютера трояном Vundo и не может его удалить.
HijackThis показывает заражёние.
O2 - BHO: WTLHelper Object - {75DC57F8-D831-4AB8-86B7-4F826F4A0873} - C:\WINDOWS\system32\unnqw.dll
O2 - BHO: (no name) - {10654df0-1449-4b62-82e9-9a6f61cc2ed7} - C:\WINDOWS\system32\yehifuni.dll (file missing)
O4 - HKLM\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s
O4 - HKLM\..\Run: [CPM3b906d0c] Rundll32.exe “c:\windows\system32\henemate.dll”,a
O4 - HKLM\..\Run: [38a35e90] rundll32.exe “C:\WINDOWS\system32\wavemile.dll”,b
O4 - HKLM\..\Run: [prunnet] “C:\WINDOWS\system32\prunnet.exe”
O4 - HKLM\..\Run: [jsf8j34rgfght] C:\DOCUME~1\user\LOCALS~1\Temp\winloggn.exe
O4 - HKCU\..\Run: [gadcom] “C:\Documents and Settings\user\Application Data\gadcom\gadcom.exe” 61A847B5BBF728173599284503996897C881250221C8670836 AC4FA7C8833201749139
O4 - HKUS\S-1-5-19\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-20\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘NETWORK SERVICE’)
O20 - AppInit_DLLs: c:\windows\system32\kabunabo.dll c:\windows\system32\pasaruwe.dll c:\windows\system32\vinomisu.dll c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\tazeyubo.dll C:\WINDOWS\system32\wifufulu.dll c:\windows\system32\gesekise.dll c:\windows\system32\kelinepe.dll c:\windows\system32\henemate.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kelinepe.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kelinepe.dll
Примечание: как видно из примеров выше в качестве имён файлов используется случайный набор символов. Трояно Vundo поражает практически все возможные способы автозапуска, причём HijackThis не показывает все эти способы.
Последний раз редактировалось SDA; 03.01.2009 в 13:42.
Причина: Добавлено
-
-
Еще одна фальшивка:http://advanced-spyware-detect.com/r...loadtrial.html
по поводу последствий установки фальшивки не проверял, но интересно следующее(цитаты для рекламы):
....Антивирус aSD показал минимальное замедление системы при копировании файлов (прирост 31% по сравнению с «чистой» системой), при кодировании медиа-файлов (3%), при загрузке (12%). В среднем время выполнения задач в системе с установленным антивирусом aSD возрастает на 22%, что позволило AV-Comparatives выставить продукту оценку «very fast» (очень быстрый).
Николай Терещенко, технический директор компании AV-Comparatives (в AV-Comparatives не работает)
В качестве одного из возможных путей развития антивирусного ПО нами был выбран путь классического антивируса. Вследствие этого, основной упор делался на качество детектирования и количество поддерживаемых форматов данных. Антируткит-технологии в антивирусе aSD начали развиваться сравнительно недавно. Также хочется отметить, что т.н. антируткит-технологии развиваются и как часть антивирусного ядра, работу которых пользователи смогут увидеть в следующих версиях антивируса.
Сергей Уласень, начальник отдела разработки антивирусного ядра компании «AVB» (настоящее название VBA)
Продукт вобрал в себя все лучшее и востребованное сейчас на рынке: систему защиты почтового шлюза от всех видов угроз, включая вирусы, шпионское ПО, спам и DoS атаки.
Керценбаум Кирилл Symantec Certified Sales Specialist
"Интересные" комментарии
Даже если этот так называемый антивирус стоимостью 39.95$
с пожизненым обновлением баз вирусов поделка а-ля Калинин и не несет явного вреда, то наглость мошенников придумавшие "фальшивые комментарии" поражает.
Про вредность: http://www.virustotal.com/analisis/a...c49979a987a415
Последний раз редактировалось SDA; 28.01.2009 в 12:02.
-
-
Сообщение от
SDA
Еще одна фальшивка:
что то быстро спалился он у импортных, за три дня и уже красный http://hosts-file.net/?s=advanced-spyware-detect.com
Безопасность вашего компьютера под угрозой!
Обнаружены 5 вирусов, 3 из них опасны для работы компьютера.
Последний раз редактировалось valho; 28.01.2009 в 13:33.
Причина: Добавлено
-
-
Новый зловред:
Anti-virus-1 это поддельная антивирусная программа, которая является обновлением широко распространившихся Antivirus 2010 и Antivirus 360. Как и свои собратья Anti-virus-1 использует трояны для незаметного проникновения на компьютер. После этого этот паразит прописывается в автозагрузку и таким образом запускается каждый раз, когда запускается Windows.
Немедленно после запуска, Anti-virus-1 начинает сканировать компьютер и находит множество троянов, вирусов и других проблем. Например: Infostealer.Banker.E, Spyware.IEMonster.d, Zlob.PornAdvertiser.ba, Spyware.IMMonitor. Если попытатся вылечить свой компьютер, то будет предложено купить полную версию программы. Делать этого не нужно, так как всё что было найдено на компьютере на самом деле не существует.
Когда Anti-virus-1 запущен, компьютер будет показывать различные предупреждения, такие как:
svchost.exe
Internal conflict alert.
Anti-virus-1 detected internal software conflict. Some applicztion tries to get access to system kernel (such behavior is typical to Spyware/Malware). It may cause crash of your computer.
Spyware activity alert!
Spyware.IEMonster activity detected. It is spyware that attempts to steal passwords from Internet Explorer, Mozilla Firefox, Outlook and other programs, including logins and passwords from online banking sessions, eBay, PayPal.
Кроме всего сказанного выше, Anti-virus-1 может заметно замедлить работу компьютера.
HijackThis показывает заражение.
O1 - Hosts: 217.20.175.74 [url]www.review.2009softwarereviews.com
O1 - Hosts: 217.20.175.74 review.2009softwarereviews.com
O1 - Hosts: 217.20.175.74 a1.review.zdnet.com
O1 - Hosts: 217.20.175.74 [url]www.d1.reviews.cnet.com
O1 - Hosts: 217.20.175.74 [[url]www.reviews.toptenreviews.com
O1 - Hosts: 217.20.175.74 reviews.toptenreviews.com
O1 - Hosts: 217.20.175.74 [[url]www.reviews.download.com
O1 - Hosts: 217.20.175.74 reviews.download.com
O1 - Hosts: 217.20.175.74 [url]www.reviews.pcadvisor.c.uk
O1 - Hosts: 217.20.175.74 reviews.pcadvisor.co.uk
O1 - Hosts: 217.20.175.74 [url]www.reviews.pcmag.com
O1 - Hosts: 217.20.175.74 reviews.pcmag.com
O1 - Hosts: 217.20.175.74 [[url]www.reviews.pcpro.co.uk
O1 - Hosts: 217.20.175.74 reviews.pcpro.co.uk
O1 - Hosts: 217.20.175.74 [url]www.reviews.reevoo.com
O1 - Hosts: 217.20.175.74 reviews.reevoo.com
O1 - Hosts: 217.20.175.74 [url]www.reviews.riverstreams.co.uk
O1 - Hosts: 217.20.175.74 reviews.riverstreams.co.uk
O1 - Hosts: 217.20.175.74 [url]www.reviews.techradar.com
O1 - Hosts: 217.20.175.74 reviews.techradar.com
O2 - BHO: QWProtectBHO - {70FEAD04-A7FD-4B89-B814-8A8251C90EF7} - C:\Documents and Settings\All Users\Application Data\AV1\QWProtect.dll
O4 - HKLM\..\Run: [Monitor calibration] C:\Documents and Settings\All Users\Application Data\AV1\AV1i.ex
Последний раз редактировалось SDA; 01.03.2009 в 13:37.
-
-
Spyware Protect 2009
Spyware Protect 2009 - это поддельная антиспайварная программа. В основном распространяется через трояны (троян TDSSserv и троян Vundo), а так же через поддельные онлайн сканеры - наиболее любимую обманную тактику, которую часто используют авторы таких вредоносных программ. Кроме этого Spyware Protect 2009 устанавливается при заражении компьютера последней версией червя Conficker. При этом в механизме распространения есть блокировочный механизм:
- с домашней странички Spyware Protect 2009 вы не сможете её скачать, только купить;
- вы не сможете скачать программу, если ваш компьютер имеет айпи адрес из блока адресов, который входит в безопасную зону, например с русским айпи вы не сможете скачать Spyware Protect 2009, когда вам будет это предложено на сайте поддельного онлайн сканера.
Описанными выше методами, авторы этой паразитической программы пытаются защититься от скачивания программы для анализа, а так же отсечь страны, которые не принесут по их мнению никаких денег.
После заражения, поведение Spyware Protect 2009 на компьютере довольно стандартно. Программа обязательно прописывается в автозагрузку, а затем начинает “сканировать” компьютер. Параллельно этому показывая различные предупреждения:
компьютер заражён:
Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.
на компьютер совершается интернет атака:
INFILTRATION ALERT
Your computer is being attacked by an Internet
Virus. It could be a password-stealing attack, a
trojan - dropper or simular.
DETAILS
Attack from: 100.53.148.153, port 42733
Attacked port: 14750
Threat: Win32/Nuqel.E
Do you want block this attack?
Результат сканирования всегда один - компьютер заражён множеством вирусов, троянов и спайваре. Необходимо срочное лечение. Но в реальности компьютер заражён только одним паразитом - этой поддельной антиспайварной программой.
Симптомы заражения в HijackThis логе
O2 - BHO: BHO - {ABD42510-9B22-41cd-9DCD-8182A2D07C63} - C:\WINDOWS\system32\iehelper.dll
O4 - HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe
-
-
Сообщение от
SDA
Spyware Protect 2009
- вы не сможете скачать программу, если ваш компьютер имеет айпи адрес из блока адресов, который входит в безопасную зону, например с русским айпи вы не сможете скачать Spyware Protect 2009, когда вам будет это предложено на сайте поддельного онлайн сканера.
Из всех где это видел, несколько десятков сайтов и вправду не дают скачивать
-
-
Из этой же серии?
BlockPost 2009 - cредство для обнаружения и защиты от вредоносных программ для операционной системы Windows 2000/XP/Vista с файловой системой NTFS.
BlockPost 2009 блокирует создание, модификацию и удаление файлов любого типа на персональном компьютере, полностью пресекая возможность его инфицирования вредоносным ПО. При несанкционированной активности, программа информирует какой именно процесс пытается выполнить запрещенную операцию, что позволяет своевременно выявить факт заражения.
Это инновационная разработка в сфере борьбы с вредоносным программным обеспечением. Основываясь на общей для всех вирусов особенности размножения, программа способна своевременно выявить и предотвратить распространение вирусных программы на компьютере.
Данный продукт представляет собой идеальное решение для серверов и рабочих станций, обеспечивая наивысший уровень защиты от компьютерных вирусов и иных вредоносных программ.
blockpost.info
-
Из этой же серии?
Цитата:BlockPost 2009
чтоб его скачать с оф. сайта нужно свои данные присылать и в тестеры записаться. Слишком сложно его подцепить
-
Сообщение от
Damien
чтоб его скачать с оф. сайта нужно свои данные присылать и в тестеры записаться. Слишком сложно его подцепить
Скачать
Последняя версия программы BlockPost 2009 3.0.5 (2,9Мб)
А в тестеры я не записывался.. И данные свои не отсылал
The worst foe lies within the self...
-
-
Antivirus System PRO
Antivirus System PRO - это поддельная антиспайварная программа, которая является новой версией программы Spyware protect 2009. Эта вредоносная программа была обнаружена уже довольно давно, но только в последние несколько дней активность её распространения значительно увеличилась, при этом как и раньше, для проникновения на компьютер используются разнообразные трояны.
Antivirus System PRO, как и Spyware protect 2009, не имеет своего домашнего каталога, а размешает свои компоненты в системных каталогах Windows. Основных компонентов два:
sysguard.exe - основной компонент программы, который обеспечивает интерфейс, генерацию различных поддельных сообщений, сообщающих о том, что компьютер заражён. Например:
Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.
iehelper.dll - этот компонент устанавливается как расширение Internet Explorer (BHO модуль) и отвечает за блокирование доступа к антивирусным и антиспайварным сайтам, а кроме этого время от времени вместо страницы, которую должен открыть браузер, показывает специально сделанный сайт, который выдаёт себя за сайт от компании Microsoft. На этой поддельной страничке предлагается купить Antivirus System PRO для защиты компьютера. Вот содержимое этой подделки:
Internet Explorer Warning - visiting this web site may harm your computer!
Most likely causes:Antivirus System PRO
The website contains exploits that can launch a malicious code on your computer
Suspicious network activity detected
There might be an active spyware running on your computer
What you can try:
- Purchase Antivirus System PRO for secure Internet surfing (Recommended).
- Check your computer for viruses and malware.
- More information
В остальном поведение Antivirus System PRO стандартно. После запуска, паразит создаёт запись в HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run ключе реестра Windows, обеспечивая таким образом себе автозагрузку каждый раз, когда загружается Windows. Затем запускается имитатор сканирования компьютера, результат один - компьютер заражён, срочно требуется лечение. Хотите вылечить, тогда деньги вперёд! Как было сказано уже неоднократно, платить не нужно. Игнорируйте все сообщения от программы Antivirus System PRO, а так же сообщения которые как бы показывает Windows, призывая вас купить эту вредоносную программу.
HijackThis показывает заражение
O1 - Hosts: 209.44.111.57 security.microsoft.com
O1 - Hosts: 209.44.111.57 inetavirus.com
O2 - BHO: BHO - {BAD4551D-9B24-42cb-9BCD-818CA2DA7B63} - C:\WINDOWS\system32\iehelper.dll
O4 - HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe
-
-
Сообщение от
DontP
Flash ActiveX и Flash codec вообще-то сам по себе очень назойливый.
Обычный флеш очень назойливый. Никак не могу найти способ выключить автоматическое скачивание новой версии. Каким-то образом скачивается и обходит проверку AVP на добавление в автозагрузку. Может кто знает, как заблокировать скачку новой версии и прописывание в автозагрузку?
Ответить с цитированием
