-
Порнобаннер supersexygirl.net
Файл имеет название flash_player.exe и иконку с буквой "F" и распространяется через сайты с видеороликами непристойного содержания. Таким образом, даже достаточно опытный пользователь может подумать, что данная программа является обновлением для Adobe Flash Player.
После запуска файла на экране на несколько секунд появляется окно командной строки (в нем выполняется файл rdb.bat), а затем сообщение об успешной установке "модуля". Также на экране появляется окно Интернет-браузера с открытым в нем сайтом _xxxstash.com. Программа создает папку C:\Documents and Settings\All Users\Media и размещает в ней два файла: module.exe - свою копию (размер 100 Кб, как и у файла flash_player.exe) и rdb.bat - командный файл со следующим содержимым:
Код:
cd C:\Documents and Settings\All Users\Media
echo tratata
echo>"module.exe:Zone.Identifier"
Также для файла module.exe в реестре создаются настройки, обеспечивающие его автозапуск.
После перезагрузки (а может и без нее, через некоторое время?) на экран выводится окно следующего содержания:
В данном окне пользователю предлагается отправить платное SMS-сообщение на короткий номер, чтобы закрыть данное окно.
Удаление
Для удаления модуля следует ввести код 28527548 и нажать кнопку Удалить.
После этого на экране появится следующее сообщение:
В этом сообщение следует нажать кнопку OK, после этого на экране появится:
Введите код 35676549 и нажмите Удалить. Баннер закроется. После этого рекомендуется зайти в папку C:\Documents and Settings\All Users\Media и удалить (в случае невозможности удаления - переименовать и удалить после перезагрузки) созданные вредоносной программой файлы module.exe и rdb.bat.
То же самое кратко: введите код 28527548, затем введите код 35676549. Потом удалите module.exe и rdb.bat из C:\Documents and Settings\All Users\Media. Если не удается, переименуйте их и удалите после перезагрузки.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
Определение Касперским - Trojan-Ransom.Win32.XBlocker.baq