-
«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе
10 апреля 2009 года
Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.
В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки. дальше http://news.drweb.com/show/?i=304&c=5
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
молодцы. расковыряли программу и посмотрели какому тексту смс какой код активации соответствует
а авторы необычного троя сделали - имею в виду удаление через 2 часа. про такое не слышал, что бы трой лочил систему, а если у юзера оказывались крепкие нервы, то трой пугался бы и сдавался на милость юзера...
-
Сделали Keygen к вирусу.
Осталось автору вируса улучшить алгоритм проверки ключа (элептика, например) или проводить on-line тест "лицензии".
Последний раз редактировалось nisome; 12.04.2009 в 00:16.
Причина: Дополнение.
-
онлайн-тест вряд ли выйдет. нужно ведь к инету подключаться. а при загрузке системы не у всех сразу инет появляется - многим нужно его вручную запускать (вводить логин/пароль и т.д)
Осталось автору вируса улучшить алгоритм проверки ключа (элептика, например)
ну тут они от сервиса по оплате через смс полностью зависит. допустим им разрешается 10 вариантов посылаемого текста на этот номер и также 10 ответов на них - соответственно на каждый текст свой ответ. итого выходит в программе мертво зашито 10 текстов один из которых отображается юзеру и его просят его послать, и сверяет программа то, что ввели в качестве ответа с правильным... ну, в общем, думаю понятно.
а делать индивидуальные билды, где зашит всего 1 вопрос и ответ на него же - уже что-то, но более хлопотно.
-
Сообщение от
priv8v
онлайн-тест вряд ли выйдет. нужно ведь к инету подключаться. а при загрузке системы не у всех сразу инет появляется - многим нужно его вручную запускать (вводить логин/пароль и т.д)
Оно аффтарам вообще надо? Я удивляюсь, что там вообще есть реально работающая разблокировка. Что-то не видел нигде сообщений о получении ответа на SMS.
-
-
боян. Такая хрень давно уже есть.
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!
-
Для избавления от данной модификации нужно из папки c:/documents and settings/all users/application data/ удалить blocker.exe и blocker.bin
Но для неопытных пользователей лучше воспользоваться рекомендациями Dr. Web.
-
-
Рекомендации от Dr.Web - х... ! Это уже не работает, так как вирусописатель не сидит сложа руки.
-
-
Сообщение от
Синауридзе Александр
Рекомендации от Dr.Web - х... !
Это уже не работает, так как вирусописатель не сидит сложа руки.
А что не х...? Наверное только х......е советы
-
-
Реестр ещё надо подчистить, в разделе
HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ
"C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe"
и убрать лишнее, должно быть так
"C:\\WINDOWS\\system32\\userinit.exe"
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
-
Junior Member
- Вес репутации
- 55
-
Junior Member
- Вес репутации
- 55
Можно просто в биосе время вперед перевести... у меня немного другой троян был... я просто время на пару суток вперед перевел и все троян ушел... потом я его пробывал проверять AVZ не видит его как вирус, а вот launch нашел...
-
Разновидностей "вымогателя"- приличная копна (сам "прогонял" 3 или 4 разных sms-попрошаек на объектах)... в большенстве своём отлавливаются в безопасном режиме джентльменским набором AVZ\CureIt\AVPTool\GMER
-
потом я его пробывал проверять AVZ не видит его как вирус
а AVZ и не обязан... Его прелести в другом...
-
-
Banned
- Вес репутации
- 0
«Доктор Веб» помогает избавиться от троянца блокирующего доступ к системе
я на компе,где сидит человек и нужно сделать всю операцию чтобы он не видел : под его логином и паролем в программе