Показано с 1 по 15 из 15.

«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Exclamation «Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе

    10 апреля 2009 года

    Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

    В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
    Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки. дальше http://news.drweb.com/show/?i=304&c=5

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    молодцы. расковыряли программу и посмотрели какому тексту смс какой код активации соответствует
    а авторы необычного троя сделали - имею в виду удаление через 2 часа. про такое не слышал, что бы трой лочил систему, а если у юзера оказывались крепкие нервы, то трой пугался бы и сдавался на милость юзера...
    // ...

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.07.2008
    Адрес
    Russia, Moscow
    Сообщений
    63
    Вес репутации
    45
    Сделали Keygen к вирусу.
    Осталось автору вируса улучшить алгоритм проверки ключа (элептика, например) или проводить on-line тест "лицензии".
    Последний раз редактировалось nisome; 11.04.2009 в 23:16. Причина: Дополнение.

  5. #4
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    онлайн-тест вряд ли выйдет. нужно ведь к инету подключаться. а при загрузке системы не у всех сразу инет появляется - многим нужно его вручную запускать (вводить логин/пароль и т.д)

    Осталось автору вируса улучшить алгоритм проверки ключа (элептика, например)
    ну тут они от сервиса по оплате через смс полностью зависит. допустим им разрешается 10 вариантов посылаемого текста на этот номер и также 10 ответов на них - соответственно на каждый текст свой ответ. итого выходит в программе мертво зашито 10 текстов один из которых отображается юзеру и его просят его послать, и сверяет программа то, что ввели в качестве ответа с правильным... ну, в общем, думаю понятно.
    а делать индивидуальные билды, где зашит всего 1 вопрос и ответ на него же - уже что-то, но более хлопотно.
    // ...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от priv8v Посмотреть сообщение
    онлайн-тест вряд ли выйдет. нужно ведь к инету подключаться. а при загрузке системы не у всех сразу инет появляется - многим нужно его вручную запускать (вводить логин/пароль и т.д)
    Оно аффтарам вообще надо? Я удивляюсь, что там вообще есть реально работающая разблокировка. Что-то не видел нигде сообщений о получении ответа на SMS.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    154
    боян. Такая хрень давно уже есть.
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Для избавления от данной модификации нужно из папки c:/documents and settings/all users/application data/ удалить blocker.exe и blocker.bin

    Но для неопытных пользователей лучше воспользоваться рекомендациями Dr. Web.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1799
    Рекомендации от Dr.Web - х... ! Это уже не работает, так как вирусописатель не сидит сложа руки.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Рекомендации от Dr.Web - х... ! Это уже не работает, так как вирусописатель не сидит сложа руки.
    А что не х...? Наверное только х......е советы

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Rampant
    Регистрация
    06.03.2008
    Адрес
    Новосибирск
    Сообщений
    478
    Вес репутации
    243
    Реестр ещё надо подчистить, в разделе
    HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    найти ключ
    "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe"
    и убрать лишнее, должно быть так
    "C:\\WINDOWS\\system32\\userinit.exe"
    Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
    [SIGPIC][/SIGPIC]

  12. #11
    Junior Member Репутация
    Регистрация
    18.04.2009
    Сообщений
    3
    Вес репутации
    32
    Вот тут
    http://www.viruslist.com/ru/weblog?discuss=207758824
    тоже интересное решение.

  13. #12
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    1
    Вес репутации
    31
    Можно просто в биосе время вперед перевести... у меня немного другой троян был... я просто время на пару суток вперед перевел и все троян ушел... потом я его пробывал проверять AVZ не видит его как вирус, а вот launch нашел...

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.07.2009
    Адрес
    Россия\USA
    Сообщений
    109
    Вес репутации
    54
    Разновидностей "вымогателя"- приличная копна (сам "прогонял" 3 или 4 разных sms-попрошаек на объектах)... в большенстве своём отлавливаются в безопасном режиме джентльменским набором AVZ\CureIt\AVPTool\GMER

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    потом я его пробывал проверять AVZ не видит его как вирус
    а AVZ и не обязан... Его прелести в другом...

  16. #15
    Banned Репутация
    Регистрация
    03.10.2009
    Адрес
    United States
    Сообщений
    5
    Вес репутации
    0

    «Доктор Веб» помогает избавиться от троянца блокирующего доступ к системе

    я на компе,где сидит человек и нужно сделать всю операцию чтобы он не видел : под его логином и паролем в программе

Похожие темы

  1. троян, блокирующий доступ к системе
    От AleXPander в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 24.09.2009, 09:40
  2. Ответов: 0
    Последнее сообщение: 23.09.2009, 08:59
  3. «Доктор Веб» сообщает о крупномасштабной эпидемии троянца-вымогателя Trojan.Blackmailer
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 8
    Последнее сообщение: 10.04.2009, 17:43

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00497 seconds with 16 queries