Чтобы удалить информер отправьте смс на номер 3649

[bolshoy kot]

serg28serg, А сам файл Вы анализировали?

Добавлено через 1 минуту

По поводу высказываний “запустился комп, да и фик с ним – пусть работает как есть”
Но лечить надо все равно, поскольку процесс остается в памяти, он региться как сервис, возможно еще как то, если его так оставить - типа не мешает и бог с ним , возможны разные варианты -
- он может служить как средство для DoS атак с вашего компа.
- Может запускаться с какой то периодичностью и блокировать комп по таймеру или по команде из вне.
- может служить для загрузки других червей
Вообщем вариантов много - ни кто же не анализировал.

При вводе кода троян уничтожается вроде бы.
Его поведение при "пережидании" не изучал.

[serg28serg]

А сам файл Вы анализировали?

Ни дизасмить же его, и смотреть че он там делает, это уж для антивирусописателей работа
Достаточно видеть что он делал - на том компе что я проверял , комп блокировался (через сутки отпустило только) servises.exe стойко сидел в памяти, дублируя самого себя
Да и по названию сигнатур видно что он делал , он показывает рекламу с просьбой отправить СМС

При вводе кода троян уничтожается вроде бы.
Его поведение при "пережидании" не изучал.

Ну так вот не факт, точнее не во всех случаях.
Кто ж будет убивать курицу, несущую золотые яйца
Если уж заразился юзер – так сдаивай с лохов до последней копейки…. , только алгоритм все надо придумывать похитрее , типа прятаться , затаиваться на время.
Ну мне вот как раз такой попался…

Ваще хорошо бы поставить AnVir и проверить триадность процессов в памяти и автозагрузке, все красные, подозрительные желтые, и те что не имеют описания – отправлять встроенной качалкой на вирустотал…. А те процессы что прячут свой собственный файл (при отправке из встроенной качалки на вирустотал - сообщение об ошибке) вообще убивать.

[bolshoy kot]

Я запускал файл, он такого не делал, правда, ie не проверял, может, он там делает свои дела?

[serg28serg]

Я запускал файл, он такого не делал, правда, ie не проверял, может, он там делает свои дела?

Вы про servises.exe ?
Запускали , в процессах сидит ? а потом убивается без проблем ?

Так это голый процесс что я вытянул из памяти, может ему что-то надо для полноценной работы, я же его ручками ловил, а не антивирем,
ручками спящие зараженные файлы не покапаешь особо, если точно не знаешь что где лежит,
все что было рекомендовано на форумах по 3649 (проверка по папкам где лежат файлы, все пусто, кроме этого процесса в памяти)
Для полноценной проверки нужен инсталлятор servises.exe

Но форумы по этой сигнатуре не врут , там говорят что предлагает отправить СМС на номер.

[AndreyKa]

Для полноценной проверки нужен инсталлятор servises.exe

Для полноценной проверки нужно выполнить Правила.

[bolshoy kot]

AndreyKa, имелось ввиду для проверки действий этого файла.-

[bolshoy kot]

Теперь Kaspersky ловит .tmp как
Trojan-Ransom.Win32.Agent.al

Добавлено через 1 час 55 минут

Думаю, к этой гадости причастны pop-under.ru

Добавлено через 5 минут

Возможно, будет кому-то интересен код страницы:

Код:

<html>
<head>
	<title>БЕСПЛАТНОЕ ПОРНО ВИДЕО</title>
	<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
	<link href="landings/5/style.css" rel="stylesheet" type="text/css" />
	<bgsound src="" id="sound" loop="1">
</head>
<body>
<script type="text/javascript" src="fixpng/fixpng.js"></script>
<div class="flash">
	<a href="#"><img class="flash_preview" src="http://91.205.111.51/preview/main/10.jpg" alt="" width="480" height="322" /><img src="landings/5/img/player-bottom.png" alt="" width="482" height="<br />
<b>Notice</b>:  Undefined index:  player in <b>/usr/www/frontend/rSdoPdtE2/movie.php</b> on line <b>23</b><br />
" style="border: 0; filter:expression(fixPNG(this));"/></a>
	<a href="#"><img src="landings/5/img/play.png" class="play" alt="" width="<br />
<b>Notice</b>:  Undefined index:  play_w in <b>/usr/www/frontend/rSdoPdtE2/movie.php</b> on line <b>24</b><br />
" height="<br />
<b>Notice</b>:  Undefined index:  play_h in <b>/usr/www/frontend/rSdoPdtE2/movie.php</b> on line <b>24</b><br />
" style="filter:expression(fixPNG(this));"/></a>	
</div>
<div>
<script>var Drag = {
	obj : null,
	init : function(o, oRoot, minX, maxX, minY, maxY, bSwapHorzRef, bSwapVertRef, fXMapper, fYMapper)
	{
		o.onmousedown = Drag.start;

		o.hmode = bSwapHorzRef ? false : true ;
		o.vmode = bSwapVertRef ? false : true ;

		o.root = oRoot && oRoot != null ? oRoot : o ;

		if (o.hmode && isNaN(parseInt(o.root.style.left ))) o.root.style.left = "0px";
		if (o.vmode && isNaN(parseInt(o.root.style.top ))) o.root.style.top = "0px";
		if (!o.hmode && isNaN(parseInt(o.root.style.right ))) o.root.style.right = "0px";
		if (!o.vmode && isNaN(parseInt(o.root.style.bottom))) o.root.style.bottom = "0px";

		o.minX = typeof minX != 'undefined' ? minX : null;
		o.minY = typeof minY != 'undefined' ? minY : null;
		o.maxX = typeof maxX != 'undefined' ? maxX : null;
		o.maxY = typeof maxY != 'undefined' ? maxY : null;
		
		o.xMapper = fXMapper ? fXMapper : null;
		o.yMapper = fYMapper ? fYMapper : null;
		
		o.root.onDragStart = new Function();
		o.root.onDragEnd = new Function();
		o.root.onDrag = new Function();
	},

	start : function(e)
		{
			var o = Drag.obj = this;
			e = Drag.fixE(e);
			var y = parseInt(o.vmode ? o.root.style.top : o.root.style.bottom);
			var x = parseInt(o.hmode ? o.root.style.left : o.root.style.right );
			o.root.onDragStart(x, y);
	
			o.lastMouseX = e.clientX;
			o.lastMouseY = e.clientY;
			if (o.hmode) {
				if (o.minX != null) o.minMouseX = e.clientX - x + o.minX;
				if (o.maxX != null) o.maxMouseX = o.minMouseX + o.maxX - o.minX;
			} else {
				if (o.minX != null) o.maxMouseX = -o.minX + e.clientX + x;
				if (o.maxX != null) o.minMouseX = -o.maxX + e.clientX + x;
			}
	
			if (o.vmode) {
				if (o.minY != null) o.minMouseY = e.clientY - y + o.minY;
				if (o.maxY != null) o.maxMouseY = o.minMouseY + o.maxY - o.minY;
			} else {
				if (o.minY != null) o.maxMouseY = -o.minY + e.clientY + y;
				if (o.maxY != null) o.minMouseY = -o.maxY + e.clientY + y;
			}
	
			document.onmousemove = Drag.drag;
			document.onmouseup = Drag.end;
			return false;
		},
	
	drag : function(e)
	{
			e = Drag.fixE(e);
			var o = Drag.obj;
			var ey = e.clientY;
			var ex = e.clientX;
			var y = parseInt(o.vmode ? o.root.style.top : o.root.style.bottom);
			var x = parseInt(o.hmode ? o.root.style.left : o.root.style.right );
			var nx, ny;
			if (o.minX != null) ex = o.hmode ? Math.max(ex, o.minMouseX) : Math.min(ex, o.maxMouseX);
			if (o.maxX != null) ex = o.hmode ? Math.min(ex, o.maxMouseX) : Math.max(ex, o.minMouseX);
			if (o.minY != null) ey = o.vmode ? Math.max(ey, o.minMouseY) : Math.min(ey, o.maxMouseY);
			if (o.maxY != null) ey = o.vmode ? Math.min(ey, o.maxMouseY) : Math.max(ey, o.minMouseY);
			nx = x + ((ex - o.lastMouseX) * (o.hmode ? 1 : -1));
			ny = y + ((ey - o.lastMouseY) * (o.vmode ? 1 : -1));
			if (o.xMapper) nx = o.xMapper(y)
			else if (o.yMapper) ny = o.yMapper(x)
			Drag.obj.root.style[o.hmode ? "left" : "right"] = nx + "px";
			Drag.obj.root.style[o.vmode ? "top" : "bottom"] = ny + "px";
			Drag.obj.lastMouseX = ex;
			Drag.obj.lastMouseY = ey;
			Drag.obj.root.onDrag(nx, ny);
			return false;
	},
	
	end : function()
	{
			document.onmousemove = null;
			document.onmouseup = null;
			Drag.obj.root.onDragEnd( parseInt(Drag.obj.root.style[Drag.obj.hmode ? "left" : "right"]),
			parseInt(Drag.obj.root.style[Drag.obj.vmode ? "top" : "bottom"]));
			Drag.obj = null;
	},
	
	fixE : function(e)
	{
		if (typeof e == 'undefined') e = window.event;
		if (typeof e.layerX == 'undefined') e.layerX = e.offsetX;
		if (typeof e.layerY == 'undefined') e.layerY = e.offsetY;
		return e;
	}
};

function Down(download,e)
{
	if (e!=null && e.keyCode==27)
	{ 
		Close();
		return;
	}
	switch (download)
	{
		case "iax": document.location.href="http://91.205.111.61/hotsex/redirect.php?wid=1"; break;
		Close();
	}

}

function vc() {
	var confirmtext="Ошибка воспроизведения.\r\nБраузер не поддерживает данный формат видео.\r\nНажмите ОК для установки требуемого драйвера видео.";
	if (confirm(confirmtext)) {
	location.href="http://91.205.111.61/hotsex/redirect.php?wid=1";
	}else{
		if (alert("Не установлено программное обеспечение, необходимое для просмотра видео.")) {
		}else {
			vc();
		}
	}
}

function Close()
{
	var p=document.getElementById("popdiv");
    vc();
}
   
function Details()
{
    if(alert("Не установлено программное обеспечение, необходимое для просмотра видео.")){};
}</script>    
<div name="popdiv" id="popdiv" onkeypress="Down('iax',event);" style="visibility:hidden; z-index:1000;position:absolute;top:0px;left:0px;">
	<table cellpadding="0" cellspacing="0" width="362" height="126">
		<tr>
			<td>
				<table cellpadding="0" cellspacing="0" width="362" height="29" style=" BACKGROUND-IMAGE:url('img/xptop.gif'); height:29px; width:362"> <!--win top table-->
					<tr>
						<td style="color:white; font-family:Tahoma; font-size:13px; font-weight:bold; padding-left:4px;padding-top:1px; vertical-align: middle;">&nbsp;&nbsp;Ошибка воспроизведения</td>
						<td width="21" style="padding-right:6px; vertical-align: middle;"><img src="img/xpclose.gif" width="21" height="21" onclick="Close();" ></td>
					</tr>
				</table>
			</td>
		</tr>
		<tr>
			<td>
				<table cellpadding="0" cellspacing="0" height="97">
					<tr>
						<td style="background-image:url('img/left.gif'); background-repeat:repeat-y" valign="bottom">
							<table cellpadding="0" cellspacing="0">
								<tr>
									<td><img src="img/xpleftclm.gif" width="3" height="97"></td>
								</tr>
							</table>
						</td>
						<td valign="top">
							<table cellpadding="0" cellspacing="0" width="356" bgcolor="#ece9d8">
								<tr>
									<td>
										<table cellpadding="0" cellspacing="0" height="59">
											<tr>
												<td align="center" style="padding-left:20px; padding-top:13px;" valign="top"><img src="img/alert.gif" width="31" height="32"></td>
												<td align="left" style="font-size:11px;  font-family:Tahoma; padding-left:30px; padding-bottom:8px; padding-right:5px;">
												<br><b>Ошибка воспроизведения</b><br>Браузер не поддерживает данный формат видео.<br><br>Нажмите "Продолжить" для установки требуемого драйвера видео.												</td>
											</tr>
										</table>
									</td>
								</tr>
								<tr>
								<tr>
									<td style="padding-left:20px; padding-right:20px; padding-bottom:20px; font-family:Tahoma; font-size:11px;" align="left">
										<hr><br>
										Нажмите "Продолжить" для установки требуемого ПО и подтверждения согласия с <a href="rules.php" style="color: #000000; font-size: 11px;" target="_blank">условиями его использования</a>.									</td>
								</tr>
									<td>
										<table align="center" style="margin: 0 auto; position: relative;" height="22">
											<tr height="22">
												<td><input type="button" value="Продолжить" onclick="Down('iax');" style="font-size:11px;  font-family:Arial; height:23px;" tabindex="1" ID="Button1" NAME="Button1">&nbsp;&nbsp;<br><br></td>
												<td><input type="button" value="Отменить" onclick="Close()" style="font-size:11px;  font-family:Arial; height:23px;" ID="Button3" NAME="Button3">&nbsp;&nbsp;<br><br></td>
												<td><input type="button" value="Подробности..." onclick="Details()" style="font-size:11px;  font-family:Arial; height:23px;" ID="Button3" NAME="Button3">&nbsp;&nbsp;<br><br></td>														
											</tr>
										</table>
									</td>
								</tr>
								<tr>
									<td>
										<table cellpadding="0" cellspacing="0" width="100%">
											<tr bgcolor="#4577ea" style="height:1px;">
												<td></td>
											</tr> <!--empty colors-->
											<tr bgcolor="#0029b5" style="height:1px;">
												<td></td>
											</tr>
											<tr bgcolor="#001590" style="height:1px;">
												<td></td>
											</tr>
										</table>
									</td>
								</tr>
							</table>
						</td>
						<td style="background-image:url('img/right.gif'); background-repeat:repeat-y" valign="bottom">
							<table cellpadding="0" cellspacing="0">
								<tr>
									<td style="padding:0px;"><img src="img/xprightclm.gif" width="3" height="97"></td>
								</tr>
							</table>
						</td>  
					</tr>
				</table>
			</td>
		</tr>
	</table>

<script>

<!--
setTimeout("showPopDiv()",2500);
      
function showPopDiv()
{
var sFlag = "No";
var byFlag = false;
var FlagAr = sFlag.split("");


if (FlagAr[0]=="1"){byFlag = true;}
if (FlagAr[0]=="3"){byFlag = true;}

if(!byFlag)
{
 var p=document.getElementById("popdiv"); 
 wmpwidth=document.body.clientWidth/2-165;
 wmpheight=document.body.clientHeight/2-180;
 p.style.top = wmpheight;
 p.style.left = wmpwidth;
 p.style.visibility = "visible";
 }

}
 Drag.init(document.getElementById("popdiv"));
-->

</script>
</div>	
	<div>
		<br/>
		<br/>
		<br/>
		<br/>
		<br/>
		<br/>
		<br/>
	</div>
	</div>
	<img width=1 height=1 src="87"/>
</body>
</html>

[bolshoy kot]

http://ip-whois.net/ip_geo.php?ip=91.205.111.61

[karavan]

Дабы избавиться от очередной рутины объяснения моих размышлений на тему троянцев-вымогателей выкладываю вебархив страницы с форума где я частый посетитель. Т.к. тему я создавал в зоне только для VIP по этому делюсь архивом, а не ссылкой на сам форум.
hxxp: //slil.ru/27462744
На данный момент заручился поддержкой организации "Общественная Комиссия по Борьбе с Коррупцией". Успел много пообщаться с операторами Билайна о коротком номере для смс 3649, категорично ссылаются на Альт1 и более ни какой информации (нарушение ЗоЗПП, отказ в предоставлении информации о предоставляемой услуге). Альт1 согласились только предоставить код требуемый заразой, без инфы об арендаторе номерка. И если ранее я предполагал схему ОпСоС -> контент-провайдер -> мошенник, то теперь терзают сомнения о наличии третьего звена.
Насобирал не большое количество информации по данному вопросу, некоторую часть и на этой странице, за что отдельное спасибо.
Коррупционеры согласны помочь при условии некоторого количества заявителей пострадавших от массового мошенничества (не менее трех). Сам я от этого не страдал, но по специфике моей работы мне надоело лечить клиентские машины, и готов быть заявителем. Так что ищу единомышленников, хотябы еще двоих заявителей. Для связи в моем профиле найдете асю.

P.S.: Прошу у всех извинений за мой небольшой офтоп. Заработка на этом не предполагаю! Желающие наживиться проходят мимо!

[bolshoy kot]

Что обидно, инсталлятор с порноресурса не убирают... Пользователи продолжают заражаться. Интересно, что у ресурса НЕТ домена - только IP. Так что один из путей остановки заразы - заставить pop-under.ru убрать рекламу сего сайта.

[karavan]

Так что один из путей остановки заразы - заставить pop-under.ru убрать рекламу сего сайта.

А что помешает мошеннику переложить эту дрянь на новый ресурс?
Оптимальный вариант - через суд заставить ОпСоСов вернуть деньги ВСЕМ абонентам воспользовавшимся псевдо-услугой, а не только заявителям. Это может спровоцировать с их стороны организацию контроля рынка мобильного контента. Согласен, что не решает проблему распространения вредоносного кода, но ограничивает мошенников в способах наживы.

[bolshoy kot]

И запретить popunder связываться с ресурсами без доменов! И банально проверять их! Раньше таким же путем (popunder, IP и т.п.) ставили информер.
Про возврат денег - боюсь, это не возможно Деньги уже отданы авторам вируса.

[AndreyKa]

Новая разновидность блокиратора Windows: Trojan-Downloader.Win32.Agent.brpj (Trojan.Winlock.43)
Выдает сообщение на чёрном фоне:

Windows заблокрован
Для разблокировки необходимо отправить смс с текстом
...... на номер 3649
введите полученный код
...... [Активация]
для разблокировки у вас есть
(обратный отсчет от 3 часов)

Лечится переводом в BIOS времени на 3 часа вперед.

[bolshoy kot]

AndreyKa, где взяли? На том же порносайте? Если кто-то прислал образец, перешлите на [email protected]

[karavan]

AndreyKa, если есть, ссылку на паразитный ресурс приму сюда karavan[a]itmagic.ru

[SleePy]

По теме: За последние три дня пришлось удалять на клиентских компах раные виды этого вируса... Во всех пяти случаях решалось полной очисткой папки: c:\Documents and Settings\имя_пользователя\Local Settings\Temp\. Путь к файлу хранился в реестре в ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit после запятой в тексте: C:\WINDOWS\system32\userinit.exe, Удалить легко, загрузившись с liveCD DR-Web. Так как там есть файловый менеджер с поддержкой NTFS. Грузиться недолго... Как правило сам сканер не находит его... Очищаем с помощью файлового менеджера временные папки и перезагружаемся..

Вот. Мож кому пригодиться...

[AndreyKa]

AndreyKa, где взяли? На том же порносайте?

Да.
Ссылку и сам троян присылать не буду. Не просите.

[bolshoy kot]

AndreyKa, имя файла хотя бы скажите?

[AndreyKa]

На сайте лежит файл xvidDecoder1.exe
Инсталлируется во временную папку со случайным именем. У меня были: nodA5.tmp, nod1.tmp

[bolshoy kot]

AndreyKa, нашли и без Вашей помощи. Ссылка была в теме - это на том же порносайте.
Имя файла: XvidDecoder1 (1).exe
Имя самого файла: nod1.tmp
Вид окна:


Добавлено через 4 минуты

http://www.virustotal.com/analisis/b...13a2ae57f8dac5

Добавлено через 17 минут

Похоже, калькулятор кода на сайте Dr.Web не поможет. В автозапуск прописывается также. К счастью, вирус прописывается во временной папке - если не знаете, какой файл вирус, очистите всю временную папку.
http://www.virustotal.com/analisis/c...0d55dd1e03434e