Очередной пост-возмущение.
Сегодня со мной произошла знакомая многим ситуация. Звонок, просьба помочь с компьютером. Причина тоже банальная: ссылка в аське, открыла и «все перестало работать». На компьютере стоит Опера и доктор веб, потому как-то стало не по себе. Уж больно жестокий зверь.
Стал разбираться. До боли известное «Ваша система заблокирована», просьба заплатить денег через смс. Ну да, сейчас, разбежался.
Хотя пост не про трояны, я все же опишу процесс лечения, на всякий случай, вдруг кому пригодится. Сообщение было следующее: «Вы используете нелицензионное программное обеспечение», чтоб продолжить его использовать дальше отошлите сообщение o501om на номер 6008.
А все же красота, подумал я, поставил пиратскую винду, отослал смс и работай.
Ни на какие мои действия система не реагировала. 5 раз шифтом не срабатывало, вин+U ничего не делала. В общем предыдущие советы отпадали.
Спасла загрузка в безопасном режиме с поддержкой командной строки, запуск из этой командной строки експлорера и редактора реестра. В реестре правился ключик HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Значение параметра Shell было явно левым. Собственно, путь там был прописан до «паразитного» файла, который успешно и удалился (попутно удалились еще пару левых файлов в папке windows). Ну и необходимо было вернуть Shell в исходное положение. То есть присвоить значение «Explorer»
Так же троян запретил вызов диспетчера задач, что правится легко в ветке HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr (поставить значение 0).
Кстати, доктор веб (насколько мне известно), ничего не заподозрил и не пикнул ни разу.
Дак вот я собственно не о том. Мне стало интересно что за зверь попался такой. Любопытство взяло. И вот уже дома, вооружившись, виртуальной машиной и фаербагом, полез разбираться.
Ссылка была типа вот такой:
http://******/**/chototam.gif
Ну да. Гиф. Открываем гиф, видим сразу же редирект на
http://******/**/chototam.gif/,
что уже в свою очередь отдает заголовок
Content-Disposition: attachment; filename=«foto20.src»
Ну а дальше, предложение скачать. Скачиваем миленький файлик, с иконкой аля ЭйСиДиСи 5. Запускать уже не стал, так как в принципе результат известен, а ковыряться в хексах не хватает знаний в этой области.
Собственно что удивило. Адрес сайта: altein.ru. Уж больно что-то знакомое. Зашел осторожно, и смотрю — Ба! — разработка сайтов Екатеринбург. Вот уж где не ожидал увидеть так в подобном месте. Ну думаю, вот и доверяй им потом разработку сайтов, если фтп от твоих сайтов непонятно как хранятся. Если уж даже от своего сайта не могут сохранить.
Кстати, сам сайт не содержал признаков чего-то плохого (хотя просмотрел бегло): ни ифреймов, ни яваскриптов там. Да и самое интересное, что ни доктор веб, ни касперский ни ругнулись ни на сам сайт, ни на страничку с трояном, ни на сам троян (!), заботливо загруженый мной на их сайты на проверку.
Так вот, собственно, что я хочу сказать. Обидно стало. Даже втройне. Сначало стало обидно за то что есть такие козлы, которые рассылают всякую чушь и внаглую просят денег, обидно что люди на это ведутся (а какой у них выход, если нет знакомого «специалиста»?) и обидно что есть такое вот конторы, которые сами делают сайты, причем делают их много, и сами настолько безалаберно относятся к информации и паролям.
За людей обидно. Что обман не только со стороны «злобных хакеров», но и со стороны вроде бы крупной студии: делают сайты, а сами… И ведь продают неплохо. И кричат, что «наши сайты самые безопасные бла-бла-бла». Да уж, безопасней некуда.
P.S. Предрекая вопрос. Да, письмо, с просьбой проверить свой сайт, в ту компанию сразу же написал.
Сегодня со мной произошла знакомая многим ситуация. Звонок, просьба помочь с компьютером. Причина тоже банальная: ссылка в аське, открыла и «все перестало работать». На компьютере стоит Опера и доктор веб, потому как-то стало не по себе. Уж больно жестокий зверь.
Стал разбираться. До боли известное «Ваша система заблокирована», просьба заплатить денег через смс. Ну да, сейчас, разбежался.
Хотя пост не про трояны, я все же опишу процесс лечения, на всякий случай, вдруг кому пригодится. Сообщение было следующее: «Вы используете нелицензионное программное обеспечение», чтоб продолжить его использовать дальше отошлите сообщение o501om на номер 6008.
А все же красота, подумал я, поставил пиратскую винду, отослал смс и работай.
Ни на какие мои действия система не реагировала. 5 раз шифтом не срабатывало, вин+U ничего не делала. В общем предыдущие советы отпадали.
Пути решения
Спасла загрузка в безопасном режиме с поддержкой командной строки, запуск из этой командной строки експлорера и редактора реестра. В реестре правился ключик HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Значение параметра Shell было явно левым. Собственно, путь там был прописан до «паразитного» файла, который успешно и удалился (попутно удалились еще пару левых файлов в папке windows). Ну и необходимо было вернуть Shell в исходное положение. То есть присвоить значение «Explorer»
Так же троян запретил вызов диспетчера задач, что правится легко в ветке HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr (поставить значение 0).
Кстати, доктор веб (насколько мне известно), ничего не заподозрил и не пикнул ни разу.
И что внутри?
Дак вот я собственно не о том. Мне стало интересно что за зверь попался такой. Любопытство взяло. И вот уже дома, вооружившись, виртуальной машиной и фаербагом, полез разбираться.
Ссылка была типа вот такой:
http://******/**/chototam.gif
Ну да. Гиф. Открываем гиф, видим сразу же редирект на
http://******/**/chototam.gif/,
что уже в свою очередь отдает заголовок
Content-Disposition: attachment; filename=«foto20.src»
Ну а дальше, предложение скачать. Скачиваем миленький файлик, с иконкой аля ЭйСиДиСи 5. Запускать уже не стал, так как в принципе результат известен, а ковыряться в хексах не хватает знаний в этой области.
Вердикт
Собственно что удивило. Адрес сайта: altein.ru. Уж больно что-то знакомое. Зашел осторожно, и смотрю — Ба! — разработка сайтов Екатеринбург. Вот уж где не ожидал увидеть так в подобном месте. Ну думаю, вот и доверяй им потом разработку сайтов, если фтп от твоих сайтов непонятно как хранятся. Если уж даже от своего сайта не могут сохранить.
Кстати, сам сайт не содержал признаков чего-то плохого (хотя просмотрел бегло): ни ифреймов, ни яваскриптов там. Да и самое интересное, что ни доктор веб, ни касперский ни ругнулись ни на сам сайт, ни на страничку с трояном, ни на сам троян (!), заботливо загруженый мной на их сайты на проверку.
Так вот, собственно, что я хочу сказать. Обидно стало. Даже втройне. Сначало стало обидно за то что есть такие козлы, которые рассылают всякую чушь и внаглую просят денег, обидно что люди на это ведутся (а какой у них выход, если нет знакомого «специалиста»?) и обидно что есть такое вот конторы, которые сами делают сайты, причем делают их много, и сами настолько безалаберно относятся к информации и паролям.
За людей обидно. Что обман не только со стороны «злобных хакеров», но и со стороны вроде бы крупной студии: делают сайты, а сами… И ведь продают неплохо. И кричат, что «наши сайты самые безопасные бла-бла-бла». Да уж, безопасней некуда.
P.S. Предрекая вопрос. Да, письмо, с просьбой проверить свой сайт, в ту компанию сразу же написал.
