->

суббота, 30 апреля 2011 г.

Цены на вирусы падают!! :)

Что порадовало в новом пойманном баннере, так это снижение цен на разблокировку - всего 350 рублей и ссылка на "windows security".
Молодцы все таки эти "windows security", бдят, чтобы гей-порно не распространялось :), только вот работают почему-то через МТС (89179525609), а не через официальный какой-то телефон.
Вирус ограничивает подвижность курсора мыши границами баннера, отключает клавиатуру и ввод кода возможен только при помощи кнопок, расположенных на баннере.
В остальном все как обычно:
  • гей порно;
  • телефон МТС 89179525609 (конечно бывают и другие);
  • блокировка на 12 часов под угрозой уничтожения windows и BIOS (то есть надо быстрее платить.
Как лечил:
  • загрузился с alkid live cd.
  • запустил regedit (редактор реестра).
  • первым делом проверил ветку реестра "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon".
  • в параметре "Shell" обнаружился искомый вирус и его расположение "с:\Temp\9b88.exe".
  • изменил параметр (оставил там только explorer.exe).
  • исходное название файла "idhy.exe". Так что наверное имеет смысл поискать в системе еще и это название.
  • удалил файл 9b88.exe.
  • перезагрузился в нормальном режиме.
Cкачал cureit!, проверил систему и предварительно сохраненный в специальной папке файл вируса.
Поскольку вирусы  не были найдены, упаковал вирус в архив и отправил в адрес drweb.
Он-лайн проверка на ресурсе касперского показала, что вирус известен:
Но, к сожалению, предалагемый на ресурсе коды для разблокировки не работают. Да и долго перебирать их, если честно.
P.S. Почему то все встреченные мной баннеры просят пересылать смс именно на МТС. Наверное политика этого мобильного оператора чрезвычайно лояльна к таким вот вещам.

Читать дополнительно: