Сьогодні попався черговий малваре, який просить відправити СМС, для того щоб видалити ПорноТВ канал. Канал і справді веселий, настільки, що блокує Диспетчер Завдань, але мабуть не знає, що існує Process Explorer з пакета Sysinternals . Все інше цілком типово - файл прописується в автозавантаження в реєстрі, обзиває себе MediaCodec.exe, перейменовує regedit.exe в reg.exe і запускає дочірнім процесом, судячи з усього для підтримки запису в розділі автозавантаження і маячить при запуску на робочому столі.
Видаляється так само просто: знімаємо процес, видаляємо файл, видаляємо запуск з автозавантаження в реєстрі. Читати далі…
Сьогодні зустрів чергового здирника грошових коштів через СМС. Він стартує при запуску операційної системи і вилазить на чверть екрану при запуску браузера Opera або Internet Explorer. Банер пропонує відправити СМС з текстом 5862710 на номер 9800. Через брак достатньої кількості часу не зміг зрозуміти, як технічно відбувається запуск. Зрозуміло було лише одне, що при знятті завдання з explorer.exe і подальшим запуском - банер зникав, але при перезавантаженні операційної системи знову з'являвся.
тут cforum.ru вдалося знайти найшвидше вирішення для зняття банера: спочатку вводимо код 4479927959, потім з'являється другий банер з повідомленням, що Вам +18 років, вводимо код 8694287294.
Якщо хтось вивчив спосіб завантаження і місце проживання цього звіра, пишіть в камменти 
Минулого разу я вже описував лікування малваре, вірусу, трояна, кому як завгодно, який вимагає гроші - просить відправити СМС, щоб комп'ютер розблокували. Про це можна почитати тут . На цей раз, мені попався черговий, схожий малваре. Якимось чином він засідає в каталог профілю користувача: C: \ Users \ імя_юзера \ Local Settings \ Temp \ у вигляді файлів dasA23.bin, dasA23.rtk, dasA23.tmp. Причому dasA23.tmp - основний, насправді - це exe'шнік. Хеш MD5 для цих файлів:
6c957d5b884f838cc1c0807efc01192e * dasA23.bin
6c0d28f127149a8840ee960e1c6e7cb9 * dasA23.rtk
053c58b588e5a8beab327ad7bd9d5ba1 * dasA23.tmp
Читати далі…
Отже, буквально сьогодні мені довелося зустрітися з комп'ютером, у якого після завантаження операційної системи Windows XP і логування користувача на екрані блестала чудова напис:
Alert System
Atation!
Виявлено нелегальне програмне забезпечення.
Необхідно провести повну перевірку системи (вартість $ 5)
Чи по кишені с.м.с повідомлення зробіть активацію.
і т.д. Читати далі…
SecurityLab повідомили вчора про те, що DSL-модеми та роутери під управлінням Linux піддаються вірусним атакам. Мета атак колишня - створення бот-мережі. Вірус не використовує поки ніяких вразливостей, а тупо підбирає пароль до HTTP-галузі адміністрування. У разі успіху він модифікує прошивку і закриває доступ в панель управління. Перший наслідок діяльності вірусу - відсутність доступу в HTTP-консоль управління.
Додам, що роутери російського проиводства (наприклад, D-Link) навряд чи можуть боятися таких атак, бо в них за замовчуванням закритий доступ на управління ззовні. А так як вірус поки не заражає комп'ютери, працюючи тільки по роутера і модемів, боятися нема чого. Але це тільки поки.
Будьте пильні!
Сьогодні з'їздив в ИрГТУ на колишнє місце роботи і подивився на роботу нового вірусу. Це просто приголомшливо! Зараза поширюється через зовнішній autorun-модуль, який виконує функції тільки поширення і початкового запуску. В роботі участі не бере. Після впровадження вірус сканує локальну мережу і через уразливість, використовуючи спеціально сформований RPC-запит, виконує свій модуль на віддаленій машині. Іншими словами, за дуже короткий час цією заразою уражається вся локальна мережа.
Під WinXP основний діючий модуль встановлюється службою і повністю маскується під svchost. У системних папках фігурує у вигляді самих різних файлів. Я бачив модифікацію як файл з ім'ям «x» без розширення, що знаходиться в папці system32.
Уразливість є у всіх ОС сімейства WIndows NT від Windows 2000 до Windows 2008.
Рекомендується усунути її латкою від Microsoft .
