Показаны сообщения с ярлыком virus. Показать все сообщения
Показаны сообщения с ярлыком virus. Показать все сообщения

23 ноября 2013 г.

Вы еще не смотрели это видео

V ‪Facebook‬ rasprostranjaetsja polskij ‪virus‬, kotoryj voruet u polzovatelja login i parol i kloniruet sebja na stranicu zarazhennogo...

В ‪Facebook‬ распространяется польский ‪вирус‬, который ворует у пользователя логин и пароль и клонирует себя на страницу зараженного...

 Пользователь соцсети видит ссылку на польский сайт, проиллюстрированную фотографией двух людей на капоте автомобиля. 
Заголовок ссылки в переводе с польского означает примерно так: «Пойман учитель во время романа со студентом. По делу начато расследование (видео)». Пользователь, кликнувший на эту надпись, становится жертвой мошенников.

По словам руководителя группы исследования уязвимостей «Лаборатории Касперского» Вячеслава Закоржевского, вирус работает следующим образом...
У друзей зараженного пользователя Facebook в новостной ленте будет отображаться новость о якобы понравившемся ему сайте. Как только кто-то из друзей кликнет на эту новость, у новой жертвы откроется мошенническая страница на польском языке. На этой странице есть скрипт, который без ведома пользователя делает лайк, а сам вирус начинает распространятся дальше. Одновременно пользователю предлагают просмотреть видео, заплатив с помощью SMS 2,46 злотых (примерно 25 рублей).


Закоржевский напоминает, что ранее лаборатория Касперского фиксировала аналогичные мошеннические схемы в Рунете.





на Комментариев нет:
Ярлыки: ,

13 декабря 2012 г.

CIH или эпидемия «Чернобыля»


Один из самых первых и самых известных вирусов — СIH — был создан в 1998 году и получил название по инициалам своего автора, тайваньского студента Чен Ин-Хау. 
Второе, более угрожающее, имя «Чернобыль» было присвоено вирусу из-за того, что он активировался 26 апреля — в день катастрофы на Чернобыльской АЭС. 

CIH попадал в компьютер через Интернет, электронную почту, диски, и прятался внутри других программ в ожидании 26 апреля. Вирус стирал содержимое жесткого диска и наносил вред аппаратной части компьютера. Эпидемия «Чернобыля» бушевала в апреле 1999 года, выведя из строя более 300 тысяч компьютеров, в основном в Восточной Азии. Но и в течение нескольких последующих лет 26 апреля вирус продолжал свое черное дело, что по итогам нанесло урон огромному количеству компьютеров во всем мире.
 ESET Nod32 Russia



       
 Bloggers - Meet Millions of Bloggers
Благодарим Вас что читаете нас, поделитесь постом с друзьями #спасибо amused

Sponsor Post

на Комментариев нет:
Ярлыки: , , ,

10 августа 2011 г.

Trojan-Ransom.Win32.PornoAsset.hg




Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 15360 КБ. Написана на С++.

Инсталляция

Создает копии своего оригинального файла под следующими именами:
%AllUsersAppData%\22cc6c32.exe
%System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
%System%\userinit.exe
%System%\dllcache\userinit.exe
%AllUsersAppData%\.exe
Где - последовательность из 11 букв латинского алфавита и цифр, например "U9pFUapFVaq".
В зависимости от версии операционной системы может создавать копию своего файла с именами:
%WinDir%\explorer.exe
%System%\dllcache\explorer.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"Shell" = "%AllUsersAppData%\22cc6c32.exe"

Деструктивная активность

Для перезаписи системных файлов при создании копий своего файла вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию с целью временного отключения WFP (Windows File Protection).
Также троянец создает копии системных файлов:
  1. файл
    %System%\userinit.exe
    сохраняет с именем:
    %System%\03014D3F.exe
  2. файл
    %WinDir%\explorer.exe
    сохраняет с именем:
    %WinDir%\7C3B2A7D.exe
Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
BFFF5675-ADC0-4740-81FF-7540597A0DC5
При этом номер телефона выбирается случайным образом из следующих:
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-99-**
8-981-753-99-**
8-981-753-99-**
8-981-757-48-**
8-981-759-87-**

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  1. Поскольку данный троянец не имеет кодов разблокировки, загрузить Windows с Live CD или подключить жесткий диск к другому компьютеру и выполнить нижеуказанные действия.
  2. Удалить файлы:
    %AllUsersAppData%\22cc6c32.exe  
%System%\taskmgr.exe  
%System%\dllcache\taskmgr.exe  
%System%\userinit.exe  
%System%\dllcache\userinit.exe  
%AllUsersAppData%\<rnd>.exe
  3. Переименовать:
    Файл
    %System%\03014D3F.exe
    переименовать в файл:
    %System%\userinit.exe
    Файл %WinDir%\7C3B2A7D.exe
    переименовать в файл:
    %WinDir%\explorer.exe
    4. 

  4. Восстановить файл:
    %System%\taskmgr.exe
    5. 

  5. Установить следующее значение для параметра ключа системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\  CurrentVersion\Winlogon]  
"Shell" = "explorer.exe" 
    6. 










на





Комментариев нет:
  



















Ярлыки:
,
,
















        

      









Подписаться на:
Сообщения (Atom)