7 февраля мне попался великолепный экземпляр вируса.
А великолепен он полетом мысли!!!
Суть его работы тривиальна, подменяет hosts, но как он это делает, просто загляденье!!
Попался мне этот вирус на сервисе ответов от майл.ру. Что еще раз доказывает - даже на известном и очень знакомом ресурсе можно подхватить всякую пакость.
Липовый hosts содержит следующие записи:
95.156.222.4 odnoklassniki.ru
95.156.222.4 www.facebook.com
95.156.222.4 www.twitter.com
95.156.222.4 vkontakte.ru
95.156.222.4 ru-ru.facebook.com
95.156.222.4 www.odnoklassniki.ru
95.156.222.4 vk.com
95.156.222.4 www.vkontakte.ru
95.156.222.4 www.vk.com
95.156.222.4 facebook.com
95.156.222.4 twitter.com
При выполнении x1.bat в реестр вносятся следующие записи:
Поясню, что делается в реестре:
Как лечить:
Перезагрузиться в безопасный режим.
Почистить реестр в указанных ключах.
Почистить папку Temp.
Почистить папку "Автозагрузка".
Почистить hosts от лишних записей.
DrWeb: Trojan.Hosts.5579
Касперский: Trojan.Win32.Qhost.abpe
P.S. присмотрелся внимательнее к странице, имитирующей сервис от mail.ru. Прав был комментатор Vesly, адрес ложной страницы - http://lioma.ru/goldline/.
Страница действует и продолжает снабжать меня новыми вариантами вирусов.
А великолепен он полетом мысли!!!
Суть его работы тривиальна, подменяет hosts, но как он это делает, просто загляденье!!
Попался мне этот вирус на сервисе ответов от майл.ру. Что еще раз доказывает - даже на известном и очень знакомом ресурсе можно подхватить всякую пакость.
При запуске вирус создает в папке Temp следующие файлы:
- 2.ico
- ex.vbs
- h1
- h2
- x1.bat
Содержимое файлов-скриптов я давать не буду, а то найдутся желающие попользоваться...
В процессе выполнения скрипта в автозагрузке создается ярлык "AdobeUpdater.lnk" при запуске которого из папки Temp копируется липовый файл hosts (в данном случае это файл h1).
Липовый файл делается скрытым.
Проведя подмену hosts скрипт уходит в спящий режим на некоторый период.
В процессе выполнения скрипта в автозагрузке создается ярлык "AdobeUpdater.lnk" при запуске которого из папки Temp копируется липовый файл hosts (в данном случае это файл h1).
Липовый файл делается скрытым.
Проведя подмену hosts скрипт уходит в спящий режим на некоторый период.
В чем изящество? А в том что вируса по сути нет, есть ярлык, который периодически запускается, и все изменения в системе выполняются при помощи самой системы (используется командная строка "cmd.exe"), а не с помощью сторонней программы-вируса.
Липовый hosts содержит следующие записи:
95.156.222.4 odnoklassniki.ru
95.156.222.4 www.facebook.com
95.156.222.4 www.twitter.com
95.156.222.4 vkontakte.ru
95.156.222.4 ru-ru.facebook.com
95.156.222.4 www.odnoklassniki.ru
95.156.222.4 vk.com
95.156.222.4 www.vkontakte.ru
95.156.222.4 www.vk.com
95.156.222.4 facebook.com
95.156.222.4 twitter.com
1. "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
ключ "Hidden"=0
2. "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
ключ "EnableLUA"=0
3. "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout"
ключ "Scancode Map"="000000000000000003000000000037e00000540000000000"
Поясню, что делается в реестре:
- Отключается отображение скрытых файлов
- Отключается запрос от системы пользователю, на запуск программы с правами админа. То есть такие программы теперь будут запускаться втихую.
- Производится ремаппинг клавиш на клавиатуре (подмена).
Перезагрузиться в безопасный режим.
Почистить реестр в указанных ключах.
Почистить папку Temp.
Почистить папку "Автозагрузка".
Почистить hosts от лишних записей.
Касперский: Trojan.Win32.Qhost.abpe
P.S. присмотрелся внимательнее к странице, имитирующей сервис от mail.ru. Прав был комментатор Vesly, адрес ложной страницы - http://lioma.ru/goldline/.
Страница действует и продолжает снабжать меня новыми вариантами вирусов.
На этом мэйловском сервисе крайне редко попадается нормальный ответ. А вообще достали, за идиотов нас держат что ли, узнай тайну своей фамилии, смерти,конца света,переписку жены,подруги,при заходе почти на любой сайт светомузыка их ублюдочного разводилова. Думаю стоит открыть темку о NoScript, вещь нужная и полезная. Извиняюсь если немножко не по теме, просто устал сбивать блокираторы знакомым и обьяснять что НЕ НАДО посылать смс,что НЕ БУДЕТ вам фамильной родословной и истории чужой переписки
ОтветитьУдалитьПредложение поддерживается обеими руками :) NoScript-у быть :)
УдалитьЭто не сервис ответом mail, это еще один вирусный сайт с дизайном знаменитых сервисов. Если внимательно посмотреть, то в строке браузера будет имя похожее на http_://otvet.mail.ru/, но никак не оно.
ОтветитьУдалитьВообще такие сайты нужно сразу закрывать
Вполне может быть. Честно говоря не обратил на это внимание.
ОтветитьУдалитьДа, это имеенно липовый сайт.
УдалитьПодскажите, первой клавишей оно блокирует Принт Скрин, а какая вторая с кодом 00 54?
ОтветитьУдалитьНу почему же именно Принт Скрин? е037 - это кнопка power (источник http://www.computer-engineering.org/ps2keyboard/scancodes2.html, ACPI Scan Codes).
УдалитьНу или еще один источник знаний: http://msdn.microsoft.com/en-us/windows/hardware/gg463372.aspx
Второй код не привязан к какой либо клавише, похоже зарезервирован (ищу его следы дальше).
поправлюсь... код 54 привязан к кнопке "[". уж зачем это сделано - не знаю.
УдалитьЭтот комментарий был удален администратором блога.
ОтветитьУдалитьИзвините меня, удалил коммент!! В нем было сказано что все зависит от формата AT и XT кливатуры. Я очень сожалею, что удалил коммент, мышкой не туда нажал!!!
УдалитьПрикол в том, что он ломает действие PrintScreen, а так бы я мог еще долго его не замечать.. И ведь опять наверное пролез через браузер, интересно, через какой..
ОтветитьУдалитьлезет через Opera
ОтветитьУдалить