Показано с 1 по 3 из 3.

Порнобаннер supersexygirl.net

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    111

    Порнобаннер supersexygirl.net

    Файл имеет название flash_player.exe и иконку с буквой "F" и распространяется через сайты с видеороликами непристойного содержания. Таким образом, даже достаточно опытный пользователь может подумать, что данная программа является обновлением для Adobe Flash Player.

    После запуска файла на экране на несколько секунд появляется окно командной строки (в нем выполняется файл rdb.bat), а затем сообщение об успешной установке "модуля". Также на экране появляется окно Интернет-браузера с открытым в нем сайтом _xxxstash.com. Программа создает папку C:\Documents and Settings\All Users\Media и размещает в ней два файла: module.exe - свою копию (размер 100 Кб, как и у файла flash_player.exe) и rdb.bat - командный файл со следующим содержимым:

    Код:
    cd C:\Documents and Settings\All Users\Media
    echo tratata
    
    echo>"module.exe:Zone.Identifier"
    Также для файла module.exe в реестре создаются настройки, обеспечивающие его автозапуск.

    После перезагрузки (а может и без нее, через некоторое время?) на экран выводится окно следующего содержания:



    В данном окне пользователю предлагается отправить платное SMS-сообщение на короткий номер, чтобы закрыть данное окно.


    Удаление
    Для удаления модуля следует ввести код 28527548 и нажать кнопку Удалить.
    После этого на экране появится следующее сообщение:



    В этом сообщение следует нажать кнопку OK, после этого на экране появится:



    Введите код 35676549 и нажмите Удалить. Баннер закроется. После этого рекомендуется зайти в папку C:\Documents and Settings\All Users\Media и удалить (в случае невозможности удаления - переименовать и удалить после перезагрузки) созданные вредоносной программой файлы module.exe и rdb.bat.

    То же самое кратко: введите код 28527548, затем введите код 35676549. Потом удалите module.exe и rdb.bat из C:\Documents and Settings\All Users\Media. Если не удается, переименуйте их и удалите после перезагрузки.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    111
    Определение антивирусами - http://www.virustotal.com/analisis/c...638-1279644549

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    111
    Определение Касперским - Trojan-Ransom.Win32.XBlocker.baq

Похожие темы

  1. Порнобаннер
    От Komissar в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 03.07.2010, 19:37
  2. Порнобаннер
    От jeam в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 02.07.2010, 12:41
  3. СМС порнобаннер
    От zagoryanka в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 23.06.2010, 12:50
  4. порнобаннер
    От Salt в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 07.01.2010, 20:35

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00204 seconds with 15 queries