-
Junior Member
- Вес репутации
- 58
всем кому не помогло! если в банере или окне номер на который нужно смс отправить 3649,то звоните 3631427,(номер 3649 на них оформлен>> http://alt1.ru/ ) там называете текст смс который нужно отправить,в ответ говорят код который ввести.сам сутки боролся с iLite Net Accelerator,только это помогло.
зы. код который спас меня 5315213211
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
опять Flash Player
_http://193.104.22.138/6-10/
(опять псевдоFlash Player)
-
_http://193.104.22.242/4-15/
_http://193.104.22.242/5-15/?page=11
Еще сайта, где якобы обновление флешплеера...
На деле, судя по всему, вирус "Digital Access"
-
-
-

Сообщение от
valho
userlib.dll из папки C:\Documents and Settings\<User>\Cookies? Он еще прописывается в LSP.
Вот это - kuiF.tmp было в Userinit?
-

Сообщение от
bolshoy kot
userlib.dll из папки C:\Documents and Settings\<User>\Cookies? Он еще прописывается в LSP.
Вот это - kuiF.tmp было в Userinit?
userlib, да, совершенно точно. tmp был в userinit.
-
-
_http://fun.boxvideoonline.com/
Опять Flash Player.
-
Последний раз редактировалось valho; 04.01.2010 в 21:35.
Причина: добавлено
-
-
У меня вопрос: с многими вирусами такого типа ставится userlib.dll в папке папки C:\Documents and Settings\<User>\Cookies. Он прописывается в LSP.
Какого его действие?
-
-
-
Еще появились сайты с блокиратором. Найти можно по фразе "видеороликов: 12 887".
Там файл "install_flash_player.exe" с иконкой от флеш-плеера, а по действию типа "flvdecode.exe" - вот описание http://av-school.ru/article/a-113.html
Добавлено через 2 часа 33 минуты
_http://new.boxvideoonline.com/
Вообще, много сайтов с блокерами - поищите в Интернете "СМОТРИ ВИДЕО ПРИКОЛЫ ОНЛАЙН" (именно в кавычках) и "Видеороликов: 12 887" (тоже в кавычках).
Последний раз редактировалось bolshoy kot; 07.01.2010 в 20:53.
Причина: Добавлено
-
_http://now.boxvideoonline.com/
-
Новый вид программы, которая требует отправить SMS
Появились порнобаннеры, которые появляются при включении компьютера и требуют SMS. Распространяются, например, с сайта _http://crazy-video.ru/
После запуска файла, скачанного с сайта, в папку Temp помещаются два файла - DLL и EXE и в назначенных заданиях появляется WindowsCheck, запускающий EXE-файл из Temp
Радует только то, что я не видел, чтобы эти сайты рекламировались всплывающими баннерами.
-
Junior Member
- Вес репутации
- 65
Этот номер вообще "веселый"
Сообщение анти-спам бота
Сообщение (17:14:53 13/01/2010)
Ваша учётная запись: ICQ# 232232
Отправитель: ICQ# 422689902
Привет,прикинь!!! Сегодня мама в магазине мне купила пополнение счета телефона,на обратной стороне был какой то бонус,написано отправьте sms на номер 3649 с текстом 75202491 и Вам зачислится бонус в размере 199 рублей,мне пришло,маме на другой номер пришло,всем рассказываю чтоб пополняли быстро ))) пока операторы не закрыли это ))) Попробуй !!! =))
-
bolshoy kot, вот видео, как устанавливается этот блокер, а вот результат на ВТ.
http://www.screentoaster.com/watch/s...9cRFheXFhfVl9U
Последний раз редактировалось Rampant; 14.01.2010 в 16:49.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
-
Rampant, по поводу результата на ВТ - видимо, файл изменили - было Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800 (отправлял файл на [email protected] и сайт Dr.Web)
Добавлено через 52 минуты
Файлы этого баннера в папке Temp имеют название из случайных букв.
Описание файла (в ресурсах) тоже из случайных букв, но, конечно, зашито в сам файл и при каждой установке данного варианта баннера будет оставаться не изменным. На моем виртуальном компьютере описание *.exe-файла было "aduoasp", а *.dll - "ksugda".

Сообщение от
Секция ресурсов файла DLL
VALUE "FileDescription", "ksugda"
VALUE "FileVersion", "5, 3, 41, 13"
VALUE "InternalName", "ppasejsle"
VALUE "LegalCopyright", "Copyright (C) 2009"
VALUE "OriginalFilename", "fbdtrjf"
VALUE "ProductName", "zgtajgser"
VALUE "ProductVersion", "5, 3, 41, 13"

Сообщение от
Секция ресурсов файла EXE
VALUE "FileDescription", "aduoasp"
VALUE "FileVersion", "5, 3, 5, 11"
VALUE "InternalName", "dsfhvjk"
VALUE "LegalCopyright", "Copyright (C) 2009"
VALUE "OriginalFilename", "ssghjbvd"
VALUE "ProductName", "trcvzxjs"
VALUE "ProductVersion", "5, 3, 5, 11"
Добавлено через 2 минуты
Кстати, картинка и диалог (тот самый баннер) находится в ресурсах именно файла *.dll, файл *.exe, судя по всему, просто загружает этот файл (мне кажется, он загружает его в другой процесс - в "explorer.exe")
Последний раз редактировалось bolshoy kot; 15.01.2010 в 00:03.
Причина: Добавлено
-

Сообщение от
bolshoy kot
просто загружает этот файл
а вот сетевой активности я незаметил, скорей всего он дропается установщиком - Trojan-Dropper.Win32.Blocker.bk по версии ЛК.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
-

Сообщение от
Rampant
а вот сетевой активности я незаметил, скорей всего он дропается установщиком - Trojan-Dropper.Win32.Blocker.bk по версии ЛК.
Под "загружает" имел в виду "запускает".
Файлы *.dll и *.exe помещаются в папку Temp установщиком (псевдоFlash Player-ом).
-
Опять псевдо Flash Player _http://hot.clickdigitalvideo.com/
Добавлено через 58 минут
Вот, кстати, информация про этот сайт:
http://whois.domaintools.com/clickdigitalvideo.com
Поиск "TeamSoftHouse" в Google выдает множество доменов, явно связанных с видеосайтами с троянами.
Последний раз редактировалось bolshoy kot; 17.01.2010 в 18:44.
Причина: Добавлено
-
Вот еще _http://www.madboxmovie.com/