Открыть список
Как стать автором
Обновить

Комментарии 86

отправляйте обязательно )) а еще лучше дважды!
У нас на работе манагер отправил СМС, ему пришла СМС что надо подтвердить и отослать еще одну. Отослал и получил код — ввел и блокировка прошла :)
Сколько потом пришлось на баланс мобильника зачислять? :)
Про стоимость не интересовался)
Думаю рублей по 200 за каждую ))
SMS на номер 3649 в среднем стоит 211 рублей.
От 102 до 300 рублей в зависимости от оператора.
FUCK, чёта дешево!
радует только что в 99% случаев никакой код не придёт.
Да здравствует глупость людская!
и вирусописатели конечно молодцы
Ну хоть не не важные документы зашифровал с требованием заплатить за расшифровку и то радует :)
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Владимир Владимирович, ну что же вы)
обалдеть. представляю как гребут денюжку разработчики данного вируса
Гребуют боюсь по-страшному, полазил по форумам, вроде 500 р стоит, а в итоге ничего не разблокируется.
Смс стоит от 150 до 300 рублей в зависимости от оператора.
Ах вот оно что :D А вы откуда знаете?)
3649 — наверное самый популярный номер у кидал и AWM`ов, он же самый дорогой из поддерживаемых подавляющим большинством ОССов России.
Точную стоимость можно посмотреть например www.a1agregator.ru/main/tariff

А вообще, не думаю, что авторы виря подняли очень уж много денег. До первой-второй жалобы в биллинг, а там просто аккаунт заблокируют и все.
Хотя, я и не исключаю вероятности, что смс-траф идет на какую-нить порнопартнерку.
НЛО прилетело и опубликовало эту надпись здесь
Я уже не удивляюсь. Человек, которому я настраивал комп, схватил где-то вирус, который в IE показывал огромный баннер с просьбой отправить смс на номер N. Так он отправил дважды! Я пришёл, даже не знал, что сказать, удалил вирус, поставил Firefox.
НЛО прилетело и опубликовало эту надпись здесь
А у моего знакомого также, вылезла порнопартнерка, и я тогда поставил хром. =)
dll-ку IE подгружал, на работе сталкивался у одного чела
У меня такое было на работе. Я в 5 ушел домой, а гендир с двумя замами остались чтото доделать. Увидели банер, отправили сообщение. В итоге потеряли полторы тысячи. А в понедельник комп не включился. На вопрос почему не позвонили сказали что думали сами справиться.
чтобы удалить информер:
открыть IE — меню Сервис — Надстройки — включение и отключение надстроек.
Затем ищи плагин с родительским dll nhslib.dll (возможно будет другой) и отключай его.
После этого найди в реестре nhslib.dll — и удали.
(с) журнал Хакер, какой-то выпуск
красавцы =D
а регистрация короткого номера не опасна для разработчика вируса?
Номера принадлежат не разработчикам вируса, а sms-агрегаторам, которые потом отхватывают пиздюлей от операторов.
НЛО прилетело и опубликовало эту надпись здесь
Только вот возвращать будет сам смс-оператор, к тому времени как они чухнутся, деньги со счета уже выведут
Там какбе тоже не дурочки сидят, служба безопасности для чего?
Ну да, да… антифрод, регистраторы… только вот с ростом популярности этих сервисов проскоков все больше и больше
НЛО прилетело и опубликовало эту надпись здесь
А можна ли так кого-нибудь подставить? Например сделать такой вирус или спам на чужой номер.
К сожалению, часто можно даже без вирусов и спама. Просто написать жалобу, что с такого-то номера и префикса идет спам или «введение в заблужение относительно стоимости смс». После чего владельца префикса спросит служба безопасности биллинга\агрегатора: «Ты спамишь? Докажи что не спимишь!»
Как правило, доказать нечем. Так что если несколько жалоб на один префикс накатать, то наверняка вебмастер будет забанен.
Правда, стоит сделать маленькую оговорку. Если с на префикс идет много смс-трафика, то подставить уже труднее, — неохота биллингу терять крупного клиента, да и отмазы в духе: «У меня 50 000 пользователей на сайте, за всеми не уследишь, все равно кто-то спамить будет», — тоже работают (если есть такой сайт, разумеется :)
Возвращать будет смс-биллинг. В цепочке «Оператор — Агрегатор — Биллинг» самую беспроигрышную позицию занимает Оператор сотовой связи. Потому что расплачивается по смскам не раз в неделю, как большинство Биллингов, а раз в 2-3 месяца. То есть оператор платит только за те смс, на которые за 2 месяца притензий не поступало.
На левый паспорт и через вебмаги
ясно
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
В безопасном режиме не грузится (даже под админкой).
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
На сетеовй машине вылез этот вирус — удаленно зашел DameWare и прибил процесс blocker — после чего Антивирус (Symantec) прекрасно все обнаружил и удалил. Система работает.
Кстати, подскажите, пожалуйста, прогу, а то я несколько раз напарывался и с такими блокировками ничего не смог сделать.
НЛО прилетело и опубликовало эту надпись здесь
>щас KIDO всех мучает
А на *nix-фронте всё спокойно :)
НЛО прилетело и опубликовало эту надпись здесь
Вы хотели сказать так?
>тупые школьники которые работая из под рута сносят убунту
Ни один здравомыслящий человек не будет сидеть под рутом.
PS Вас кстати не смущает, что по дефолту в XP вы тоже всё делаете с правами рута?)
В убунту нет рута. Только судоеры. Как опытный тупой школьник вам говорю :)))
А что мешает набрать в терминале su, а потом rm -rf?)
то, что пароль для root неизвестен пользователю)
sudo -s избавляет от необходимости знать пароль рута
Для пущей важности можно еще и su -l потом сделать.
sudo su и вперёд на мины ;)
вы будете удивлены но в убунту она еще несколько раз переспросит, а в каком то из дистров, не помню в каком именно, не дала этого сделать
Самые суровые школьники включают аккаунт рута и из-под него сидят.
Ну это поправят когда-нибудь :)
НЛО прилетело и опубликовало эту надпись здесь
а я привык уже сверху бар держать, по другому не могу =)
Эпидемия как раз таки в самом разгаре в локальных сетях.
А загрузка в безопасном режиме не поможет?
Нет, пробовал… помогла та инструкция, надо удалять те два файла и все ок.
Вирус старый, у знакомого еще года 2 назад такой лечил. Задумка очень злобная, слабо знакомые с компьютером люди обязательно будут слать смски.
НЛО прилетело и опубликовало эту надпись здесь
это же мошенничество в чистом виде, уголовно наказуемое + вымогательство.
неужели компетентные органы не могу отследить кому деньги уходят и прикрыть лавочку?
Смех-смехом, а зараза шагает по планете. Вот сейчас на работе на одном компе словили такое.
Файлы blocker.exe и blocker.bin нашли — убрали. Он еще и в реестре себя прописывает:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] «Userinit»=«C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe»

Убрали эту приписку — C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe
Пока не перезагружали комп, сканим антивирусом. Но вряд ли найдет — в самих blocker.exe и blocker.bin антивирус ничего плохого не видит.
Да, Dr.Web ничего не нашел. После перезагрузки у товарища все работает — проблема снята.
Где взял вирус — не признается )) Браузер у него IE7
антивирусы эт хорошо… но не забывайте про такие инструменты как autoruns и process explorer от sysinternals… в 90% случаев вычистить можно всё
Господа, этой истории сто лет в обед. Неужели до сих пор кто-то вылавливает экземпляры этого бреда?
НЛО прилетело и опубликовало эту надпись здесь
Вылавливает. Видимо, ее на каких-то популярных порносайтах развесили — заразу эту. Что смс посылает — это я сомневаюсь, но чистить все равно приходится.
НЛО прилетело и опубликовало эту надпись здесь
Докажи что ты не лох!!! Отправь сообщение «Я НЕ ЛОХ!» на номер 1081. Чем больше отправишь, тем круче ты не лох!
Было тоже самое, просто открыл диспетчер задач и выполнил exe'шник антивируса, все ok
Надо было им написать: а также в подарок вы получите мелодию для мобильного телефона и гороскоп!!! ))
Скоро майкрософт так винду будет просить активировать… тьфу тьфу тьфу
хочу такойже вирус под убунту…
а то как-то в линуксе жить нудно…
Не на хабр нужно писать, а СМС биллингу. Гугл подсказал принадлежность номера A1Агрегатору. Написал письмо в саппорт (с ссылкой на топик) и через пару часов получил ответ.
Обращаем внимание, что на Ваше обращение по заявке #13414# от 2009-04-09 23:18:37 (Распространение вируса) пришёл ответ.
Данное сообщение получено вами в рамках сервисной рассылки биллинговой системы А1 агрегатор.

С уважением, A1 Агрегатор

Поддержка А1 Агрегатор №13 2009-04-09 23:51:00
Добрый вечер.

Спасибо за информацию. Меры приняты. Партнер наказан.
Как мне подсказали люди, ходящие в партнерах тоже. Это больше слова, наказание там небольшое в районе 500 долларов.
На самом деле не факт, что blocker.exe будет в указанных выше папках, я находил его в c:\temp под именем mrw36.tmp, по этому просто нужно почистить строчку в реестре и привести ее к виду:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] «Userinit»=«C:\\WINDOWS\\system32\\userinit.exe"

При том, если комп в сети, то можно удаленно подключиться к его реестру и удалить мусор из ключа.
я вылечил очень легко, сделал откат на предыдущую удачную загрузку системы. окно не появлялось больше.
Сегодня знакомый тоже столкнулся с той же проблемой. Вылечился удалив файлы. Оповестил своих блогочитателей www.polyakov.net.ru/blog/2009-04-10-152 предложив заодно и решение топикстатера.
Можно ли убрать это не имея лайв CD?
Знакомый подхватил, а не я, не он лайв CD не имеем.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.