[Котяра]

В Интернете появилась информация о трояне-вымогателе "Online Antivirus".
http://forum.kaspersky.com/index.php...=1253624&st=0&
Судя по всему, это новая версия "Kaspersky Lab Antivirus Online" - http://support.kaspersky.ru/viruses/...?qid=208636874

Создает файл "user32.exe" и прописывается в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

[Котяра]

На скриншоте Вы видите два файла.

1.exe - это Adobe Flash Player
2.exe - вымогатель
(это один из вариантов вымогателя, другие не маскируются под Flash, а этот неотличим)
Вот как пользователя убеждают установить вымогатель:

Т.е. у пользователя не возникнет никаких подозрений.
Что интересно, внизу на этом сайте есть едва заметная ссылка на соглашение. Там-то и написано, что же установит пользователь себе на компьютер. Но ссылка это едва заметная, да и пользователь думает, что он ставит себе Flash Player.

[Котяра]

Сайты "Папарации русского интернета" сейчас вроде отсутствуют.
Но "с фильмами" и с "Digital Access" остались. Новый блокер идет с подписью в ресурсах "Install Shield", производитель "Soft Development Team"

[Tomka]

+ к полезным ссылкам http://support.kaspersky.ru/viruses/deblocker

[Котяра]

Новый рекламный баннер - zdespo##ompeg.com..
Вот соглашение:

читать дальше »

Прочитайте правила пользования сайтом, просматривая материалы сайта вы соглашаетесь с данными правилами. Если вы не согласны с данными правилами, то немедленно покиньте сайт. Просматривать материалы сайта возможно только при установки нашего программного обеспечения (далее ПО). ПО дающее вам право на просмотр материалов сайта представляет из себя рекламный модуль, который вы устанавливаете на свой компьютер. Рекламный модуль может так же называться на сайте флэш плэйер, кодек, обновление или плагин. Рекламный модуль будет показывать вам рекламу ресурсов "для взрослых" в течении тридцати дней или же может быть удален досрочно. Рекламный модуль не является вирусом, трояном, он не совершает никаких вредоностных действий, не блокирует работу приложений или операционной системы, не повреждает файлы, не собирает данных о пользователях и не передает никакой информации о вашем компьютере. Просмотр материалов сайта возможен только при установленом ПО. После удаления ПО с компьютера доступ к материалам сайта прекратится. Чтобы удалить ПО ранее установленного срока в тридцать календарных дней вам необходимо будет отправить два платных смс. Стоимость каждого их них составляет примерно двести шестьдесят рублей, более точную стоимость вы можите уточнить у оператора. Устанавливая наше ПО на компьютер вы подтверждаете, что являетесь совершеннолетним, если это не так, то немедленно покиньте сайт. Вы так же принимаете, что материалы в закрытой части сайта могут отличаться от предпросмотра всвязи с постоянным обновлением материалов в закрытой части сайта. Внимательно вводите текст из плагина, в случае неверного ввода текста, мы не можем гарантировать вам получение правильного кода. В случае если у вас возникли проблемы обращайтесь в тех. поддержку.

Оно по адресу zdesp###ompeg.info/rules
Новый блокер ставится под видом обновления Flash Player.

Копируется в папку C:\Documents and Settings\All Users\Application Data\Media\plugin.exe

[TDK]

Всем привет! Вчера выхватил очередной зловред в виде порно-баннера. Скриншот прикрепил. Выхватил на mаil.ru, так как никуда больше не заходил. Данный вымагатель блокирует нормальную загрузку рабочего стола как в обычном так и в безопасном режиме, собственно как и водится в последнее время..) Диспетчер задач естественно тоже. Сканирование несколькими антивирами и спец. утилитами из под работоспособной ОС не дали абсолютно никаких результатов ( собственно как и из под поражённой ОС, но об этом чуть позже..) С методом входа через экранную лупу, коим обычно пользуюсь в подобных случаях, пришлось изрядно повозиться, так как в данном случае она не запускалась при проблемном баннере, вместо этого просто открывалось меню пуск, в котором тоже естественно ничего не работало, а если запускал данную опцию перед входом в систему, то упорно не выдавало окно- Веб-узел Майкрософт, и соответственно нельзя было запустить браузер и через него осуществить запуск антивира, либо добраться до реестра. При этом проц грузило на 100% и все окна изрядно подвисали. Не смотря на то, что блокирующее окно закрывало не всю часть экрана, доступные ярлыки программ не запускались. В конце-концов переключением выхода-входа из системы ( использую классический экран входа), при включенной перед входом экранной лупе, удалось таки добиться вызова браузера. Хотя рано радовался, по тому, что при запуске сканера Dr. Web, AVZ, и реестра, всё просто зависало. Зато удалось запустить из трея Dr. Web SpIDer Guard, который на данную проблему никак не среагировал. Затем удалось запустить, с видимого на свободном участке раб. Стола, Dr. Web Scanner, который при сканировании тоже показал большой… хм… нулевой результат…) Через командную строку запустил конфигурацию системы, поотключал в автозагрузке всё лишнее, перезагрузился, никакого результата. Опять же, через строку, запустил редактирование реестра, перетащил клавиатурой окно на свободный, на сколько это было возможным, от этой sms-хрени, участок экрана, ну и соответственно полез проверять ветки загрузки эксплорера. Во преки ожидания изменения ветки- [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметра "Userinit" , обнаружил изменения в - [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр “Shell” – Explorer.exe, C:\ Documents and Settings\ All Users\ system.exe И ниже такая же ветка, с таким же параметром. Отредактировал, сейчас сижу, чищу комп…)

[Котяра]

Цитата TDK:

Выхватил на mаil.ru, так как никуда больше не заходил. »

Не ставили никаких программ для просмотра видео онлайн?

[TDK]

Котяра, Не устанавливал точно. Более того, прог для просмотра видео онлайн у меня вообще не установлено, в силу того, что данной возможностью абсолютно не пользуюсь из-за отсутствия безлимитки.)