Открыть список
Как стать автором
Обновить

Комментарии 248

Мне столько раз приходил спам от напрочь затрояненых «надежных друзей», что я уже приучил себя не принимать вообще никаких исполняемых файлов. Чего и вам советую.
Волков бояться — в лес не ходить! :-)

Лично я не настолько параноидально настроен относительно таких ситуаций и не буду отказывать себе в удовольствиях скачать какой-нибудь файл. Естественно если увижу подозрительные адреса — перестрахуюсь. Применительно к этому случаю — скорее всего у автора просто совпала тема разговора и поэтому он попался так легко.
сочувствую вашим друзьям. наверно устали спам от вас тереть
Не-а… Как-то миновало их. А вы что, никогда не открываете приходящие ссылки, да? Сочувствую! :)
по идее даже никогда ссылки из писем типо одноклассников — и всех учу, лучше зайти на сайт и убедиться
В основном фишинг легко распознается и рассчитан на полную невнимательность. Я при вводе очень важных паролей обязательно бросавю взгляд на наличичие правильного HTTPS.

И кстати, полностью отказался от оповещений вконтакте/одноклассниках о новых событиях — легче заходить из избранного или набрав адрес и проверять периодически что там случилось.
ваш пост, прямо как про меня :)
Полностью согласен. Только я еще отказался от вконтакте/однокласников в общем.
А сложно было это сделать?
Я пробую, никак не получается)
Совсем нет, у меня и привыкания не наступало. Я просто задался вопросом что это 1) жрет много времени 2) я не хочу видеть эти рожи, мне насрать на стописот друзей и кто с кем встречается, оно мне не нужно. Вот.
А если, например, настроить почтовую программу, чтобы письма-уведомления с этих сайтов (там, как правило, один e-mail рассылает) фильтровались в отдельную папку? В таком случае фишинг не пройдёт, разве что ящик вконтакта\одноклассников хакнут, и оттуда проспамят…
К сожалению, SMTP протокол так устроен, что не нужно взламывать почтовый ящик чтобы отослать письмо от этого адреса. В поле From подставить можно любой адрес.
По сырым заголовкам можно конечно такое отфильтровать, зная с какого хоста должны отсылаться настоящие письма, только вот я не знаю ни одного почтового клиента, который такое умеет.
Поздравляю, вы только что придумали SPF :-)
Ухты! :)

Под Thunderbird оказывается даже расширение есть. Правда у меня почему-то сайт не открывается.
Гуглопочта, например, сама в хэдеры результат SPF-проверки пишет.
ну значит вы по тихому ддосили очередной горесайт. чудес не бывает — если человек ведет себя глупо — он получает что полагается.
я предпочитаю качать и открывать только архивы причем через архиватор а не дабл кликом. ехе только после подтверждения от собеседника. надеюсь не додумаются кидать троянов в архивах. а то придется и каждый архив чекать =\
Ну зачем же так отзываться — я все запущенные процессы у себя в системе знаю и трафик контролирую. Благо висит NetLimiter и периодически чекаю непонятные процессы с помощью Net view. Вдобавок к этому комплекту стоит NOD32. Ну и как результат — левый трафик в интернет не генерирую. Ну если только торрентами. Может это кому-то и пригождается даже. :D

При этом я не стесняюсь открывать ссылки от контактов из аськи. Наверное за долгие годы в сети научился распознавать ситуации и не попадаюсь уже на подобное.
умело словленный умелый руткит — и не спасут ни нетлимитеры ни ноды =) трояны на самом деле имхо совсем не главная проблема, ибо они выдают себя с потрохами, особенно этот смс шлак.
я делаю так — периодически сканю систему с помощью rku, dr.web cure it, GMER. не спрятанные трои\вири легко выловит любой авер с обновляющимися базами. вот мы защитились от закоренелых зловредов. далее не запускаем из инета новые файлы под новыми крипторами — защитились от свежака, который еще не записали в базы. и все тихо и спокойно вот уже сколько времени.
и много встречалось умелых руткитов? просто интересуюсь ибо попался не так давно 1 хороший
один раз словился буткит. со скрипом снял с помощью rku хуки, потом куреитом убил сам буткит. другой раз словил ринг3 руткит, хукающий CreateProcess. Зараза блочил ollydbg и кучу аверов, правда тупо по имени ехе файла. Через полчаса бойни выцепил эту длл с помощью олли и разобрал на запчасти прозапас. А так по сути больше ни разу и не ловил руткитов. но по роду деятельности могу сказать, что есть руткиты, которые не ловятся ни рку ни авз, ибо заточены под них. и так как они приватные, и особо не палятся, то и аверы о них знают очень мало. собсно поэтому так осторожен. и не сидите под админской учеткой — это очень хорошо помогает от руткитов =)
просто мне попался один раз руткитик (машинка не моя была… ) — дело было долгое и ночью, поэтому ступил — никаких логов не сохранил, когда темку создал на virusinfo тупо удалили.
Вобщем зверек после вычистки всех троянов виделся через AVZ как перехват но не из файла а из сектора диска. При этом он блокировал запуск с загрузочного CD (!sic) — проверял правда только на Win, Linux не нарезал — дисков тупо не было. Единственное что помогло монтирование жесткого к другому компу и удаление разделов…
Все это я к тому… я все таки не эксперт в ядре ОС, но как можно блокировать загрузку с CD (тупо подвисала с белым курсором на черном фоне)
ну это просто. система при вставке нового цд в привод вроде отсылает сообщение. можно найти это место как в ядре, так и в режиме пользователя. так что это наименьшая из проблем. можно например скакать от установки иконки приводу. он ее должен загрузить, значит будет LoadIcon. из пути к иконке выцепляем имя диска, чекаем GetDriveType. Если цдром, то дальше тупо можно по определнным файлам поискать, и если есть, то систему завесить не проблема =)тот же explorer загнать в вечный цикл. главное не стоит забывать, что ring0 руткитом дело почти никогда не ограничивается. этот руткит всего лишь прячет остальной функционал зловреда — хуки в ринг3, рассылку спама, передачу паролей, кейлоггинг етц. ибо в ядре такой функционал реализовать посложнее будет =)

или речь о проблемах при загрузке компьютера с цд? O_o
при чем тут система? идет загрузка с CD на уровне БИОСа… Понимаю что фантастика, но факт, как вариант — используется какая то уязвимость бутлоадера от установки Windows — возможно как то неверно записан раздел что вызывает переполнение, впрочем я не эксперт поэтому и хотел услышать мнения экспертов
хм. сомневаюсь, что виноват вирус. MBR не срабатывает при установке с CD. Сталобыть вирус должен быть на цд. но я до сих пор не слышал ни об одном таком случае. Я бы скорее предположил кривость цд. Если так с несколькими цд происходило, то интересно было бы глянуть на эти образы и найденные зловреды в системе.
зы: образы писались на зараженном компьютере или были до этого сделаны?
1) образы писались разумеется на другом компе
2) после переразметки диска с этого же CD на том же компе все заработло на ура
3) после простого быстрого форматирования этого HDD (из другой системы) — CD так и не заработал
Это факты.
Может CD и не читает MBR но он же все равно проверяет наличие HDD в системе — была вообще мысль что вирус прописал себя в прошивку Seagate но отпала после переразметки…
Вот сейчас честно не знаю что думать…
Куча выловленных троянов — ничего необычного а образчик самого руткита выловлен увы не был изза дефицита времени (комп не мой все таки)
вроде бы именно этот руткит и был у меня, когда я первый случай описывал про буткит=) ниче особенного он не представляет на данный момент. лечится элементарно, так что не думаю, что это он у вас натворил бед.
можно было драйвер вам написать за 10 минут, который в нулевом кольце будет перехучивать этот самый руткит
жестоко :) надо запретить вообще писать на системный раздел, пусть все в памяти создает :) у меня так на домашней фряхе(параноя) когда, что-то надо монтирую на запись, система сама создает нужные разделы в памяти. жаль винда так не умеет
Процессы-то вы знаете, но руткиты никто не отменял.
вы путаете понятия «открыть ссылку на страницу» и «запустить исполняемый файл». Второе я никогда не запущу. Ничего ценного в присланном exe файле быть не может, включите мозг!
НЛО прилетело и опубликовало эту надпись здесь
Когда мне приходит сообщение от Друзей с ссылкой — верный знак о том, что у друга троян.

Друзья обычно посылают ссылки:
1) Когда я их прошу об этом
2) Когда мы долго разговариваем

Если вдруг в оффлайне есть неизвестная ссылка, я спрашиваю — «Что это»?
После удовлетварительного ответа, захожу.

p.s. Антивирусов не стоит :) — за 5 лет не единого вируса небыло… Ой, правда Win95-CIH живёт, как домашнее животное в отдельной папочке…
Всегда нужно быть осторожным переходя по ссылкам, никто не застрахован от взлома.

Еще странно фотка с расширением *.scr
Да открыть фотку(!) с таким расширением это не просто «странно», это клиника. :) Ну я допускаю, что может быть не слышали о том, оно также опасно, как и .exe
НЛО прилетело и опубликовало эту надпись здесь
мне тоже такая муля приходила от подруги, только фотка идет с расширением gif в линке, а при клике пытается слить scr. Я сразу зарубил поняв что тут чтот не гладко. далее попробовал с соседней машины (Fedora 10) wget-ом слить и думал отправить на анализ по вирусякам, но не тут то было — по линку уже ничего не было… т.е. я так понял вирь создает линки индивидуально и при 1-м переходи по линку, он его убивает…
на днях тоже пришло подобное. Я открыл этот «гиф» текстовым редактором… Там, действительно, была картинка, правда, в формате jpeg, а еще iframe… Открывать src ифрейма я не стал
Ссылку-то дайте! =) В личку, естественно.
Пытается создать файл «C:\WINDOWS\explorere.exe» (видимо заменяет собой проводник).
Найдите и уничтожьте! Как временное решение, попробуйте создать на месте трояна папку «explorere.exe».
Бгы. Давно уже вместо проводника в качестве десктопа юзаю астон. Не падает, весит меньше и вот такое западло на него не влияет :)
Всякие «Астоны» и «Талисманы» — бирюльки на любителя. Некоторые «Тотал Командером» или даже «ФАРом» проводник заменяют.
А Вам чем-то тотал командер не угодил? Там много вкусностей и удобностей.
Я не говорил, что «Тотал Командер» плох, но все же это файловый менеджер, а не GUI, коим является виндовый «Explorer».

Лично мне в «Тотал Командере», как в файловом менеджере, не нравится FTP-клиент (окошко с логом подключения вместо встраивания этого лога в панель, хотя этим страдают и очень многие аналоги) и отсутствие наложений (overlays) для иконок (правда, должен признаться, возможно, этот момент я просто «не умею готовить»).
не знаю, я им пользуюсь много лет и пока что лучшего не нашёл )
Некоторые «Тотал Командером» или даже «ФАРом» проводник заменяют.
Имелось в виду прописывание ТС в HKCU|HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell вместо Explorer'a, насколько я понял.
Оверлеи включаются в Options -> Display -> Icons
Благодарю, я знал, что где-то должно вчлючаться.
Теперь можно начинать новый этап тестирования «TC».
Если у астона оторвать все красивости, оставить только таскбар да квикланч да консоль (в общем функционал эксплорера оставить) то он работает куда шустрей, не падает и ведет себя куда стабильней. Ну и памяти жрет раза в два меньше. В качестве файлменеджера — тотал коммандер естественно. Соответственно процесс explorer.exe в задачах даже не появляется никогда.
Эээ, ну так отрисовка десктопа это простая побочная функция explore.exe. Сам виндоус эксплорер — просмотрщик файловой системы и используется независимо от всяких астонов. Или я то-то путаю?
По файловой системе я шерстю исключительно через тотал коммандер. Разделение труда :)
Не знаю плакать или смеяться:
Оставил эту «фотку» на рабочем столе и ушел на работу. Через 40 минут позвонили родственники: «Компьютер просит отправить смс»…
Заведите родителям отдельную учётную запись.
НЛО прилетело и опубликовало эту надпись здесь
Да само собой, такое не прокатывало никогда со мной. Просто это не было взломом, как будто клиент отправляет такое.
это зупача. вредная приватная тварь. внедряется в клиент, отсылает от вашего имени сообщения. практически не удаляется.
>Хотя аську взломать не могли, уж больно тяжелый у меня пароль, который подобрать нереально.
Посмешили. А зачем им пароль от вашей аськи если кип у вас уже запущен? Эмулируем клики, ввод и вуаля.
Даже это необязательно, можно просто банально послушать трафик (который у квипа нешифрованный) и слать от его лица что угодно кому угодно.
НЛО прилетело и опубликовало эту надпись здесь
Наоборот, вообще-то.
Если только сниффить. А вот подставлять свое — уже нет.
слушая трафик вы будете выступать в роли человека посередине. Что-то сомневаюсь я, что разработчики протокола не предусмотрели защиту от такой примитивной атаки.
Там наверняка какой-то айдишник посылается при каждом обращении к серверу, посоленный хешем от пароля.
Вы про протокол ICQ? Там, действительно, все плохо…
обычный wireshark декодит оскаровский протокол на ура, предполагаю что подменить или послать что то самому тоже не сложно
да, посомтрел, действительно плохо. Напрасно я видимо предположил, что ребята с aol были умными чуваками:)
just FYI: AOL купила ICQ намного позже. Изначально его 4 программиста написали.
ну могли бы переписать. Сколько у этого протокола версий было? 11 вроде. Могли хоть в одной версии сделать поддержку защиты от такой атаки
в qip насколько помню есть 2 варианта входа — в одном из них пароль не шифруется, а во втором все таки шифруется
Какая разница, если стоит галочка «сохранить пароль»? :-)
Пришлите в личку ссылку на троян, разберусь на виртуалке.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
доктор веб вообще молодцы. сделать кейген для вируса — это сильно! %)))
НЛО прилетело и опубликовало эту надпись здесь
DrWeb то что дает, это совсем не то, он подбирает к старой версии такого, там даже комбинации некоторых клавиш работали. А тут полный ноль.
Пусть и эмуляция, но не приятно и ново достаточно, просто написал предупредить.
И кстати * bobermaniac тут просто совпало что разговаривали о фотках и он такое спросил якобы. А другу я доверяю, и открыл думал ну мало ли в скринсейвере сделанною
«Если бы злодеем был я», то я бы сделал контроль ввода, парсил бы его, искал бы там ключевые слова, и посылал ссылку в виде сообщения близкой тематики.
Сиськи, процы, тусовки, тачки, «горизонтзавален». Наверное набрать десяток таких «вечных тем» несложно.
НЛО прилетело и опубликовало эту надпись здесь
Одно время вел курсы для начинающих пользователей — всех предупреждал не открывать подобные ссылки, уточнять лично у отправителя о факте отправки ссылки и надежности ресурса.
Мне ссылки такие приходят постоянно, и, что печально, мой антивирус на загрузку этих файлов менеджером закачек реагирует плохо, да и на вирустотал обычно крайне малый процент определяет.
Это да, случится может с каждым и надо проверять.
Да, антивирус тут особо не помогает. Мой компьютер достаточно защищен, выдал предупреждении при открытии, но так как было от надежного источника, я не задумываясь отклонил. Что делать сыграл человеческий фактор.
А написал я для того, чтобы никто подобного не повторял и вдобавок разобраться
Боюсь нарваться на минусы, но вы сами виноваты.
Вы поступили ОЧЕНЬ глупо, запустив файл с расширением src. Сколько себя помню, все вирусы, ссылки на которые слали мне «друзья», были с расширением src. Это же явное палево! Но вы даже ничего не спросили, ПРОИГНОРИРОВАЛИ предупреждение антивируса, и открыли этот файл. Весьма завидное упорство, однако. Вот вы за него и награждены.
Вы смешно опечатались: написали src вместо scr. Складывается впечатление, что Вам «друзья» исходники вирусов слали :)
слушай друг скомпиль плз, у меня что-то не компилится
в личку киньте пожалуйста, посмотрим что за зверь
жалко, но сабж уже удален по ссылке
и мне =) если не трудно
НЛО прилетело и опубликовало эту надпись здесь
а подробнее?
и мне плизз =)
уж больно любопытно всё это
Чтото квип очень сильно замелькал впоследнее время! пора под снос… ребята зажрались
НЛО прилетело и опубликовало эту надпись здесь
Не соглашусь. Квип стал популярен? Он и был раньше популярен. Почему этого не происходило год назад? (такая же популярность была, не так ли?). Почему всё пошло после новой версии QIP Infium, после продажи квипа в РБК. (как РБК хотят монетизировать бесплатную чатилку без рекламы? только VoIP?)

Я параноик на счет личной конфедициальности, и всегда аккуратен с вирусами. Всегда всё проверяю.
Месяцев 5 назад, скачал QIP Infium, установил, понравилось. Но за всю историю моего ICQ-аккаунта, ниразу от меня никому ничего не приходило (около 8ми лет). И после инфиума, ночью от меня пришел спам моему КЛ (отправь смс плиз проголосуй за меня и т.д. и т.п.). Совпадение? Я не верю в такие совпадения. Далее у моих знакомых остальных, тоже самое происходило.

квип ф топку, имхо
НЛО прилетело и опубликовало эту надпись здесь
слишком наивно :)
Повторю старую истину, конечно, но всё же. Безопасность — это не навесной замок. Безопасность начинается с фундамента.
нет. нет. именно ребята зажрались. хакеры и прочие проблемы, это все само-собой. но тут многовато косяком именно отразработчиков.
Не советую тестировать на виртуалке.
Современные трояны, вылезают за её пределы…

Если такого не случится, тогда используй FileMon и RegMon и следи за изменениями!
НЛО прилетело и опубликовало эту надпись здесь
есть( по крайней мере были еще полтора года назад:)) некоторые уязвимости, которые позволяют выполнить произвольный код с правами, под которыми у вас запущено виртуализующее ПО. Естесвенно, что аппаратную вирутализацию это не затрагивает
Вот: www.securitylab.ru/vulnerability/360700.php и www.codeproject.com/system/VmDetect.asp

Для тех кто собрался тестировать, советую почитать эту тему: https://forum.antichat.ru/printthread.php?t=114788&pp=40

И вот ещё:
FileMon — мониторинг файловой системы в реал. времени
PortMon — мониторинг портов
Process Explorer — мон. процессов
RegMon — мон. реестра.

technet.microsoft.com/en-us/sysinternals/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx
FileMon и RegMon устарели после выхода Process Monitor
Просто интересно, /ru-ru/ принципиально не пользуетесь? Нет, понятно, что все знают английский, но там есть и на нашем языке )
У меня в браузерах en более preferred language, чем ru, возможно поэтому я про /ru-ru/ даже не подозревал :)
вообще-то «гостевая ос» — это именно то, что внутри, так что никто наружу не вылезает
Да нет, в том и уязвимость, что можно вылезти за пределы гостевой ОС.
нет, первая ссылка говорит о том, что можно определить, что ты в виртуальной машине, а вторая — что в гостевой ос можно суперпользователя получить
вот теперь верю
зачем давали первые две ссылки, непонятно
Да, прошу прощения, я неверно сформулировал мысль. Я хотел сказать, что есть такие уязвимости.
я так понял под Sun VirtualBox уязвимостей нет?
учите мат часть… гостевая ос и есть операционка в вм. реальная ос называется хостовой.
Я думаю, что те, кто собирается тестировать, об этих инструментах знают, и не только об этих :)
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
пока
Или вы о них не знаете.
Выполнил проверку твоей картинки:
Проверка: хттп://hochubilet.net/foto334.gif
Размер файла: 192.00 КБ
MD5 файла: 15235a6ec72904da7cef77e46fb408a6

хттп://hochubilet.net/foto334.gif packed by FLY-CODE
>хттп://hochubilet.net/foto334.gif infected with Trojan.MulDrop.31442
Авира в списке, радует
Да, есть такое, сеня уже от пятерых ссылки пришли.
Use Linux, Luke!
Если также из под рута (или админа) открывать все файлы подряд, то не спасет ни одна ось. Помнится очень популярная темка на ЛОРе, где казалось бы безобидная строчка на перле выполняет команду «rm -rf /». Против такого уж вряд ли выстоит любая *nix
Вот только под Linux сидение под рутом — скорее исключение, чем правило. А под Windows — строго наоборот :)
Просто я хотел сказать, что дело не в операционной системе, а в том, кто её использует. Элементарные меры безопасности, такие как работа в пользователе с пониженными правами, антивирь и недоверие к файлом из ненадежных источников — избавляет от подобных казусов в 99% случаях.
Проблем только это добавляет немерянно. Домашнему юзеру. Я вот долго не мог понять, почему меня из сетевых игр батлфилда выкидывало, оказалось что программу нужно запускать строго от админа, что бы их античитерский софт мог работать.

Об этом где-нибудь сказано? Нет!.. Все подразумевают, что игра будет запущена от админа. И таких примеров много. Даже в семерке жизнь из под ограниченного юзера доставляет проблем.
В семерке UAC есть (более гибкий даже чем в Висте), действует почти также как и использование «ущербного» юзера. Как раз в таких случаях он и должен спрашивать права на выполнение программы. Так что если не разрешать всем подряд доступ ко всем что только есть, то проблем не должно возникнуть.
Ничего не спрашивал. В семерке тоже, недавно проверял. Тупо вылетает из сетевой игры, мол вы читер.
Можно поставить принудительный запуск с правами администратора. Свойства ярлыка > Совместимость > Выполнять эту программу от имени администратора. Еще загляните в «параметры для всех пользователей», там в том же окне есть. Должно помочь, думаю.
Вспомнилась старая шутка: Самый страшный вирус под UNIX — это письмо админу с просьбой переслать его всем знакомым, а потом удалить все свои файлы.
Угу… а Моррис написал своего червя конечно же под винду…
А ты знаешь, что rm -rf / не успеет удалить твоих файлов, важных, думаю, личных.
Помнится мне, что некоторые Linux не позволяют такой комбинации. Ну и + не сидеть под рутом!
Я знаю то, что любой удаленный файл — лишняя трата времени на его восстановление, даже в том случае если он был «не из важных» (как ты написал). И даже если эта команда будет запрещена, то существует бесконечный набор других команд, которые навредить могут еще и похуже.
а что друг?:)
Вовремя я слинял с QIP на Pidgin, похоже его баги (а баги ли?) активно используют.
Хочу вас разочаровать. В пиджине пару лет назад с безопасностью и качеством кода было просто ужасно.
Я надеюсь, что сейчас стало лучше, но не сильно в это верю.
Я хочу вас разочаровать. Везде с безопасностью и качеством кода было просто ужасно. Я хочу надеятся, что сейчас стало лучше, но не сильно в этом верю.
Соглашусь только если «везде» заменить на «почти везде». :-)
Что-то мне подсказывает, что опенсорсные проекты куда быстрее залатывают дыры. Тут даже дело не в качестве кода, а в уровне доверия. К QIP уже давно доверие пропало у меня.
Вопрос автору. Через какой браузер смотрим картинки? Движок и версию в студию.
НЛО прилетело и опубликовало эту надпись здесь
И тем неменее я спрашиваю немного о другом… Хотя и данный вопрос любопытен. Т.е. в ссылке фигурирует gif расширение, а сервер отдает MIME Type как для scr? И браузер это типа проглатывает?
Я открывал ФФ такую ссылку, ничё, живёт ) Там как-то хитро сделано. Картинку в адресной строке показывает типа jpeg, а отображается gif. Не было времени, не стал особо вникать, ModRewrite с виду обычный. Не думаю, что ФФ с последними обновлениями на такое поведётся.
НЛО прилетело и опубликовало эту надпись здесь
Что-то страшно ссылку открывать :D
Вы действительно отправляли эту ссылку?
;) ;) ;)
НЛО прилетело и опубликовало эту надпись здесь
Хуже, если он — посмотрите на никнэйм! :)
Кип — кипом, а вот все-таки интересно, как так получилось, что качали картинку, скачали скринсейвер, да еще и запустили его сразу?
А это уже ошибка в ДНК просто :)
Извиняюсь конечно… но а под линуксом работает :) кто нить в wine уже запускал?

и если серьезно то тоже скиньте ссылку в личку, по тестирую
Номер какой для СМС?

Вычислить провайдера СМС не проблема, а они обычно лочат подобных вымогателей на раз.
Да, да. На хабре сидят представители очень многих контент-провайдеров и агрегаторов. И для большинства из них такой «вирус» — повод «расследования» для собственной «службы безопастности», пока не пришло гневное письмо от операторов. Во-первых, залочат вымогателя, во-вторых, опубликуют открытый код, который нужно ввести без СМС ;-)…
Эх, если бы они одновременно с «лоченьем» вымогателей «анлочили» и зараженные компы… :-)
Тоже вчера пришло такое. Увидел что *.scr, но с дурости запустил. UAC предупреждение выдал, ну хоть для чего-то реально пригодился.

P. S. Сам сижу с RnQ, поэтому вроде от меня никому не могло отправится сообщение такого плана.
>«Загрузился только в режиме отладки».
ИМХО режим отладки это, например, когда через сеть удаленную машину дебажишь, так обозвать «безопасный режим», о боги.
от оно как… а я думал автор под крутым дебаггером полез в систему :-)
в некоторых сборках есть «Запустить в режиме отладки» и есть «запустить в безопасном режиме»
ну да же если и gif обрабатывается php то вам в браузер все равно видно что .scr идет. неужели не настораживает подобная перемена?
Вам пришло это через Qip? %)
Чёрт, топики попутал =\
Вы идиот, если это не настораживает:
«фотка сделана с помощью фотошопа»
«ссылка на файл с расширением *.scr»
«думаю надо открыть, друг надежный — плохого не пришлет»
Аська для общения, а не для обмена scr-файлами.
Jabber для общения, а аська так, поделка школьника — шифрования нормального нет.
мне мой товарищь тоже неделю — две назад рассказывал про такие экраны с пришли смс…
Вышли Касперу файл вируса, пусть анализируют.
НЛО прилетело и опубликовало эту надпись здесь
Если Winlogon подменить или изменить Ctrl+Alt+Del не поможет.
Вот уже который год крокодил не ловится. Сижу причём на винде без апдейтов, сп2 или сп3 и без антивирей. Но скр файлы не открываю. И чит всем доверяющим друзьям — если шлют что-то исполняемое, то можно и спросить что это. Можно ещё спросить о чём то, что знает только этот друг для надёжности.
до этого было аналогично, но когда стали приходить одногруппники с флэшками и прогами для лаб (среди кучи exe-шников они сами не в курсе что им нужно) я словил каку, потом вручную ее удалил и затем купил антивирус дабы это не повторилось.

В компьютерной жизни как в реальной: беспорядочная бездумная жизнь к хорошему не приводит.
А номер чей? Небось опять эти суки из А1?
Им по моему насрать на людей, основная прибыль идёт от троянов и порнухи. Отдел К по ним точно плачет!
так и есть, номер 3649 принадлежит биллингу А1
тут недалеко был топик про отдел К… может они уже посадят кого нибудь наконец на лет несколько?
Ага. Хлеба! Зрелищ!
судя по сообщениям в блогах и прессе они сейчас очень заняты поисками блоггеров, критикующих местные власти.

так что, до более-менее реальных преступников/правонарушителей руки дойдут не скоро.
а можно конкретные ссылки? что то я о таком не слышал
Плачет то он плачет, но я уверен, что автор топика поленится пойти написать заявление. Если милиция не будет завалена жалобами, то через пару месяцев каждому будет приходить по десятку подобных спам-сообщений.
НЛО прилетело и опубликовало эту надпись здесь
С таким подходом остаётся только сидеть и спокойно кушать то, что они нового нам преподнесут, а потом жаловаться здесь. Удалив симптом, надо устранить и причину, хотя бы попытаться. Мошенники есть мошенники, рассказывать байки про то, что всё проплачено и простые люди ничего не добьются(а ещё и сами отхватят) не надо.
Меня эта проблема не касается, я сомнительные файлы не открываю, но сейчас просто ввёл в поиске номер 3649 и мне стало обидно за людей, которые плохо разбираются в компьютерах.
А с таким подходом пользователи всегда будут плохо разбираться в компьютерах.

Не будут финансово страдать они (отправляя СМСки для получения кода разблокировки компьютера) — будет страдать кто-то другой, из-за ботнетов из компов этих идиотов, бездумно запускающих на выполнение всякую фигню.
Авторы — школьники. Я бы написал вирус для рабоытв native-режиме (или как это называется, когда GUI и всякие там службы еще не загружены), намного надежнее и хрен перехватитшь.

А вообще хочется верить что хоть такие вирусы смогут как то повлиять на безотвественных производителей ОС.
НЛО прилетело и опубликовало эту надпись здесь
блин не успел прочитать топик, как звонят и говорят что виндовс у них не грузится, смотрю этот троян запущен, как побороть? стоит symantec antivirus.
у нас комп на котором такая ерунда случилась был в домене, поэтому зашли в его файловую сисему с сервера и убили блокирующий файл. в безопасном режиме и в отладке комп все равно блокировался.
Точно, отдел «К» плачет по таким умникам.
да у меня такая же ситуация, убил файл explorer.scf, ни чего не изменилось, сейчас вот в безопасном режиме проганяю cureit.
НЛО прилетело и опубликовало эту надпись здесь
Речь идёт о файлах с расширением SCR (программы-заставки), а EXPLORER.SCF — это обычный текстовый файл размером 80 байт из стандартной поставки Windows.
какой тогда файл убивать то?
в безопасном режиме прогнал cureit, ничего не нашел :(
посмотрите в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
«Userinit»=«C:\\WINDOWS\\system32\\userinit.exe тут ещё что-то может быть»
посмотрел уже, там пусто.
Тогда попробуйте откат системы сделать, если конечно включено восстановление системы.
Правда не исключено что и там может оказаться зараза.
вообщем справился с заразой )
в безопасном режиме прогнал свежий avz, нашел файл c:\windows\s16.exe, эвристически его удалил.
Зависит от зловреда. Если CureIt ничего не находит, значит его ещё нет в базах. Можно попробовать AVPTool или любой подобный продукт. Ещё вариант — LiveCD антивируса со свежими базами.
просто интрересно — xp?
или 6.x с включенным уаком тоже такое себе позволяет?
да хп
Гипотетически предположим что разблокировали винду (каким угодно способом).
Все ломятся смотреть автозагрузку (msconfig, services.msc) и ничего там не находят.
Многие не знают что загрузить виря можно через другой ключ реестра (который msconfig не проверяет):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
«Userinit»=«C:\\WINDOWS\\system32\\userinit.exe»
Вирь дописывается после userinit.exe
Важно чтобы процесс с вирём был убит и желательно убито тело виря.
И не забываем чистить temp'ы всяческие, коих в винде навалом.

Бороться с изменением этого ключа можно скорее всего изменением прав доступа к ветке, но не знаю как повлияет на систему в целом.
Многие не знают что загрузить виря можно через другой ключ реестра (который msconfig не проверяет):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
«Userinit»=«C:\\WINDOWS\\system32\\userinit.exe»
Вирь дописывается после userinit.exe

Потому что автозагрузку надо чистить не из msconfig или services.msc, а из Autoruns. Правда там столько всего будет видно в автозагрузке, что неопытный человек может лишнего понаубивать.
Спасибо. Возьму на заметку.
я вообще чищу руками в реестре. хотя про этот ключ не знала.
и да — спасибо за autoruns
Кроме userinit, services и прочих авторанов виряки загружаются в куче разных мест. В последнее время стало модно грузиться как драйвер устройства. Ну, например, beep.sys.
По роду деятельности приходится бороться с неизвестными зловредами. Минимальный «джентльменский набор» (если система хоть как-то грузится): hijackthis, cureit, avptool, icesword, avz.
Хотя с другой стороны, неопытный пользователь с avz — это как обезьяна с гранатой.
На самом деле чтобы минимизировать риск да и свести к минимуму вероятность применения сего боекомплекта достаточно включать мозг) Чего пользователи часто не делают.
А набор софта имхо достаточно стандартный, я просто уже давно не занимаюсь администрированием/аникеингом, свой комп и ноут настроен и используется с включенным мозгом. Причём на ноуте без антивиря… Ещё ни одна зараза не ухитрилась пролезть.
Ноут — на винде?
Меня всегда умиляют люди, которые утверждают, что можно спокойно обходиться без антивируса на виндовом компе.
:)
Я готов слушать их вечно. :)))
Да именно на винде) XP Pro. Не понимаю что такого в этом странного.
Пока с линуксом у меня был только asus eeepc 701.
Вообще давно подмывает пересесть на Линукс, да всё руки не доходят.
На компе NOD32, на ноуте так и не поставил, опять же руки не дошли. Но по факту, вирей нет и в помине.
Согласитесь что при наличии головы антивирь не так уж и обязателен.
При наличии головы антивирусное ПО устанавливается сразу-же после установки системы.
При наличии головы необходимость в антивирусном ПО минимальна.
Спасибо за минус.
У меня на данный момент отрицательная карма, так что претензии не ко мне. :)

При отсутствии антивирусного ПО существенно повышается вероятность заразить компьютер. Вирус может использовать уязвимость системы, может быть в исполняемом файле, полученном из не очень надежного источника и т.д. и т.п. Сознательное пренебрежение этой опасностью — умное решение? Раньше, во время тесного сотрудничества с сопровожденцами, я довольно часто сталкивался с такими «умниками» на работе. При, казалось бы, наличии головы, их действия приводили к крайне, крайне неприятным последствиям, при чем не только для них.
Ну извиняйте, значит спасибо не вам адресовано.

Я и не говорю что АПО нужно пренебрегать. Просто при наличии головы необходимость в АПО минимальна. Разьве что проверить «может быть в исполняемом файле, полученном из не очень надежного источника» и всё. Уязвимости использовать говорите. Ну так это решается на уровне брандмауэра, надстроек на браузер и настройкой оных.
Скажете я не прав?

И предлагаю не начинать холивара, я прекрасно понимаю вашу ТЗ, объяснил вам свою, надеюсь понятно объяснил, давайте на этом остановимся ;-)
В качестве эксперимента поставил на комп свежеполученный Ubuntu (тут как-то топик про халявные диски с ещё не вышедшим релизом проскакивал).
Зверушка забавная, осталось только посидеть да освоить)
Если у вас что-то действительно «хорошее» загрузится как драйвер, то если вам что и поможет, так это отладчик ядра.
Да попался, я из за того, что темы разговоров совпали.
И не надо говорить, что запускать scr файл умный человек бы не стал, попали бы Вы в мою ситуацию, нажали бы без задумки, просто так совпало.
А теперь появились сообщения что квип.ру взломан…
Была тоже такая беда с синим экраном смерти, тоже друг через асю ссылку скинул.
Лечение: В безопасном или к другому ПК
При сканированию антивирусами(NOD 4, avira и drweb), ничего не найдено, поиск вручную (сортировка файлов по дате)- удаления двух файлов в папке WINDOWS lass.exe (или lassa.exe) и TMPg....exe
Система возобновила свою работу.
у меня тоже все заработало когда я удалил подозрительный lsasss.exe (именно 3 s в конце )
Пользуюсь Digsby спама не разу не было, очень удобная программа…
Мда. Три дырки в системе — коряво поставленная винда, квип, и прокладка между клавой и стулом.
Кстати — хозяйке на заметку — винда часто нужна, настроить ее нормально занимает кучу времени. Но решение проблем 2 и 3 в ваших силах.
Вот все говорят про настроить нормально, а на вопрос пояснить втф «нормально» отмахиваются, в лучшем случае, ссылками на описание служб винды со словами «дада, как-нибудь обязательно надо написать об этом поподробнее». Будьте добры, напишите топик, как нормально настраивать винду =)
Топик навряд ли — я под Linux работаю, так что винда меня не очень интересует, а на топик, советующий, как настроить систему — необходимо затратить массу времени.
Может воспользуемся мощью хабрасообщества? Пускай кто может, отпишет в комментах свои предложения. Глядишь, если выйдет что-то дельное, можно будет скомпилировать в топик.

Вот, навскидку, мои предложения:
— обновить хотя бы security critical заплатками;
— отключить службы, которые не используются;
— поставить файрволл (либо настроить на роутере);
— поставить резидентный антивирус, можно нерезидентный, с проверкой файлов по команде пользователя — если пользователь толковый а циклов процессора жалко;
— просмотреть список сетевых шар и убрать ненужные (все?);
— поставить Firefox с Noscript;

высказывайтесь!
Софт к вышесказанному:
* антивирус (нерезидент) — ClamWin; резидент не пользовал, не буду и рекомендовать.
* файрволл — например, Comodo, он вроде бесплатен и дружелюбен, по слухам;
* Firefox + расширение Noscript
0. Лишить себя прав администратора, а администратору поставить стойкий пароль. Не логиниться под администратором без крайней нужды.
Эмм, покраснел, — вот что значит сидеть под *никс — совсем забыл про эту чудо-особенность Окон.
Хотя должен признать, что сидеть под виндой под ограниченной учеткой крайне неудобно, тут троянописатели должны отдать МС должное.
сидеть под виндой под ограниченной учеткой крайне неудобно
Неправда, никаких неудобств не возникает. Раньше было неудобно, потому что 90% программ пытались хранить пользовательские данные рядышком с .exe, в Program Files. Сейчас таких почти не осталось.
Если вы так говорите, то у меня нет причин с вами не согласиться. Под окнами, как я уже говорил, я не работаю и не планирую — для разработки Linux много удобней (для меня).
Совершенно согласен. А в Windows Vista, как бы ее ни ругали, (и, конечно, в Windows 7) с функцией User Account Control стало еще легче. Теперь вам не просто говорят, что недостаточно прав, а просят ввести пароль администратора.

UAC в действии

Хоть я и сам использую преимущественно Linux, не могу не похвалить Microsoft за UAC.
Ты единственный, кто похвалил микрософт за UAC, наверное это потому что используешь преимущественно линукс :) UAC — это первое, что отключается после установки системы, потому что когда на каждый пук у тебя спрашивают подтверждение — то подтверждаешь уже автоматически (чем дальше — тем больше раздражение). Запрос пароля не увеличит безопасность, а только увеличит раздражение от работы этой системы.

И добавлю, если Вы таки используете линукс, и используете его правильно, то бишь не под рутом работаете (исключение — работа заключается в администрировании сервера, там никуда без рута), то должны заметить, что там запрашивается пароль рута только при необходимости доступа к объектам, к которым нужен только рутовый доступ… а не при каждом пуке.
Преимущественно — не значит исключительно :)
Windows тоже приходится использовать, и отключать UAC даже не подумаю.

Запросы UAC при повседневной работе не вылезают совсем.

Да, после установки ОС, когда приходится много что настраивать и устанавливать кучу программ, запросы UAC могут раздражать кого-то. Но если эту функцию отключить, работа с административными правами становится опасной с точки зрения безопасности, а работа без оных неудобной.

Единственное — хотелось бы услышать мнение Windows-девелоперов об удобстве отладки приложений с включенной UAC. Ведь в этом случае административные права просто необходимы.
Я могу конечно уже подзабыть детали, но когда я купил свой первый бук и на нем оказалась виста (года 2-3 назад было), то я 3 дня мучился с этим UAC и думал снести нафик висту и поставить ХР, потом нашел как отключить UAC и в принципе работать стало более-менее нормально. (потом я об этом пожалел, ибо 1.5 года так и пришлось мучаться с вистой, винт забился, скинуть некуда, геморройно было переставлять систему. Перешел на ХР только при замене винта на более емкий.)
Насколько я помню, UAC требует подтверждения запуска любого исполняемого файла, когда он запускается первый раз. Это исправили в текущих версиях, или Вы считаете это правильным? Сейчас не припомню уже что точно, но помнится было много подобных и даже более абсурдных запросов подтверждения. То есть в повседневной работе не будет запросов, только если работа состоит в редактировании одних и тех же файлов одними и теми же программами.

ЗЫЖ уйду на линукс рано или поздно, уже стоит, только вот опять-таки лениво перетаскивать всю почту, контакты, закладки и прочие настройки рабочей системы.
Насколько я помню, UAC требует подтверждения запуска любого исполняемого файла, когда он запускается первый раз.

Никогда такого не было.

2-3 года назад были проблемы с криво написанными приложениями, которые пытались, например, хранить настройки не в профиле пользователя, а в каталоге установки или (о, ужас!) в %WINDIR%. Сейчас разработчики подтянулись, и в целом большинство программ стали адекватными в этом плане.

Лично мне Виста нравится куда больше XP почти во всех отношениях.
Эх, а мне ХР более приятен, чем виста, но и его я считаю тупой системой. Может я дурак, но не понимаю, как может на современном двухядерном процессоре с 2 гигами оперативки, с аппаратной поддержкой декодирования в дискретной видеокарте (жефорс 7600), тормозить фильм при просмотре (никаких HD, никаких AVC, обычный мпег-2, несколькими плеерами пробовал воспроизводить.) У меня на древнем пентиуме 166МГц (ошибок тут нет, частота трехзначная и именно в мегагерцах) с 64Мб оперативки и видюхой S3TrioV+ под линуксом во фреймбуферной консоли он идет без тормозов!!!

А на днях человеку настраивал захват видео пинакловской внешней железкой с аналога, с требованием, что должно быть захвачено в разрешении не ниже 640х480. Под вистой я 2 дня мучался, пропуск кадра и все, трындец, захваченное видео не проигрывается совсем. Проца хватает, памяти хватает, видюха, винт, материнка нормальная… Ну никак не выходит, кодеки менял, софт менял, головой об стол бился. Поставил ХР — работает нормально.
А железка-то официально поддерживает Висту?
Ага, человек сначала помыкался еще, и в пиннакл ездил, там ему только продемонстрировали, что железка работает на другом компе (также с вистой), поломали висту, что пришлось переустанавливать. Человек докупил памяти до 4 гигов (благо дешевая, но зазря, виста стоит 32-битная), докупил второй винт (в пинакле дятел сказал, что не хватит ему одного винта для захвата, хотя там больше 100 гигов свободно было). Потом человек ездил в контору, собравшую комп (Depo ego), там пожали плечами и послали лесом. Как вы лично считаете, какая вероятность того, что проблему помогут решить в микрософте??? Винда лицензионная, оемная, продовалась с компом.
Да, не повезло.

Железку по USB поключали или по FireWire?
По опыту, второй вариант для видеозахвата куда более юзабелен, чем первый.
К компу железка подключается только по USB. В пиннакле кстати «специалист» нашел в биосе в комменте к включению USB строчку вроде «enable USB 1.1 ports», сказал, что проблема в том, что материнка не поддерживает USB 2.0, поэтому ничего не работает. Тупо воткнуть флешку и посмотреть, что скорость передачи данных превышает максимально доступную скорость для 1.1 — не судьба. Потом специалист воткнул PCI-контроллер USB, но с ним картина не изменилась.

ЗЫЖ я так понимаю, что вероятность помощи со стороны разработчика тормозной ОС, за которую были заплачены деньги, Вы даже не считаете достойной оценки? :)
Проблема, вероятнее всего, по вине Pinnacle. Если ваш компьютер соответствует требованиям железки, но она не работает, смело ругайтесь с Pinnacle.
хммм, я так думаю, что косяк может быть где-нить в материнке (депошники экономят на этом, материнка бюджетная элитгрупп, первый раз видел чтобы было всего 2 разъема SATA), а виста видимо как-то неправильно с ней работает.
А вообще налицо проблема висты, ведь ХР работает… А пиннакл не должен отвечать за недоработки производителей компа или операционки, иначе будет неприятная ситуация, когда пиннаклю придется указывать IQ пользователя, необходимое для работы его железки.
А вообще налицо проблема висты, ведь ХР работает
Представьте, что вы заправили дизельный автомобиль отличнейшим 98-м бензином. Конечно, двигатель у вас умрет. По вашей логике, винить следует производителя бензина, ведь на дизтопливе машина отлично ездила.

Точно также и здесь. Если что-то работает в XP, но не работает в Висте, далеко не означает, что проблема в Висте.
«Точно так же», конечно, стыд и позор мне.
Хммм, следуя Вашему примеру, продавец этого дизельного автомобиля уверил меня, что его можно заправлять и дизелем, и 92 и 95 и даже отличнейшим 98-ым бензином. Я заправил его отличнейшим 98-ым… не поехало, притащил на тросе продавцу, он залил свой 98-ой… поехало. Не правда ли странно? Наверное в этом случае что-то с отличнейшим 98-ым бензином, который купил я.

(здесь получается, что автомобиль — это пинакловская железка, а бензин — это комп с вистой).

Немного не правильное сравнение не находите?

Обычно если комп глючит или не работает и нельзя сказать, что именно причиной стало, то меняют все по кругу и смотрят в чем причина, в данном случае помогла смена винды, но с другой стороны помогла смена компа (в сервисе пинакля оно работало на их компе под вистой). Так что ну ни с какой стороны не вина пинакля…
мда, юзал портабильный квип с флешки, правда крайне редко. квип стал отстоем с момента введения собвтсвенной службы квип инфум или как его там). а еще квип бесит заменой страницы поиска на свою, короче нафиг нафиг такие программы. кстати я всегда открываю присланные мне .scr файлы и с интересом смотрю как они похакают мою убунту). несомненно, что самым слабым звеном в этой цепочке является юзер, но то что в лине по умолчанию ты сидишь чуть ли не под гостем решает довольно много проблем.
а вообще я на всякий случай поищу портабельную миранду, с ней таких косяков как свои службы, спам
вроде не водилось. хотя возможн оя не в курсе.
ну и на правах рекламы
да здравствует джаббер).
а вообще я на всякий случай поищу портабельную миранду
Миранда портабельная by design — она ничего не пишет в реестр.
там были проблемы с юникодом, но это было очень давно). больше минусов у миранды я и не припомню) и спасибо за информацию, жаль плюсануть не смогу).
Проблем с юникодом уже давно нет. Ядро выпускается двух версий — unicode и ansi. К unicode ядру качаем unicode версии плагинов и всё замечательно работает.
да мне собсьвенно ася нужна крайне редко, на случай если я в вин перезагрузился и подбираю музыку на айпод). а вообще спасибо, теперь 100% буду пользоватся мирандой. хотя квип жаль, раньше он был весьма неплох. а теперь он пошел по пути icq.com, скор оначнет свои банеры в клиенте крутить.
Да если с квипом не разберутся будет, обидно. А еще обидно то, что минусуют (скорее те кто думают что поступок позорный, и развили как лоха)
Повертеть бы ли бы Вы в этой ситуации, Вы бы поступили также.
как кстати с вирусом — полечили?
НЛО прилетело и опубликовало эту надпись здесь
из плохих новостей — пошарился насчет вменяемой русской миранды, понулям(.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.