Главная » Статьи » Обзор скама и лохотрона ака чтоб не лезли » Обзор скама и лохотрона ака чтоб не лезли пыщь пыщь ололло

"это Новый Аватар Вашего Профиля?))" Или "ey, Eto Vash Skype Ris Profil'?))

"это Новый Аватар Вашего Профиля?))" Или "ey, Eto Vash Skype Ris Profil'?))


Именно с такими текстами в последнее время стали приходить сообщения с вредоносными ссылками и их содержимым, пользователям, пользующимся программой Skype. А если вы нажали на ссылку, то и вы заразились - с вашего профиля будут отправляться сообщения это новый аватар вашего профиля?))+вредоносная ссылка или ey, eto vash skype ris profil'?))+вредоносная ссылка всем контактам Skype.
При открытии ссылки на вирус, которая внешне выглядит похожей на взятый непонятно с какого сайта профиль того человека, которому отправлено это сообщение, скачивается архив, называющийся датой, когда файл был отправлен от заражённого.

К примеру мне, от одного из добавленных в контакт-лист людей, вчера пришла ссылка, как оказалось - с вирусом, по которой я по неосторожности и из любопытства сразу же перешёл. При том, что я с 6.10.2012 в скайп не заходил, становится логично почему архив пришёл 7 октября, а называется "skype_06102012"

В результате, после перехода по ссылке, мною был скачан этот самый архив, который тут же заблокировал Касперский. Заблокировал и...всё. Ни удалил, ни вылечил. Оставил существовать в искомом виде и осуществлять свою деятельность. Пришлось всё это проделать вручную, но после перезагрузки, троян снова появился - целый и невридимый.

Примечание: Я, и тот, от кого пришло сообщение с ссылкой, сами не знали что наши компы заражены этим червём. Более того - судя по реакции собеседника я думаю что данное исходящее сообщение в его истории Skype не сохраняется, так что распространители могут быть сами не в курсе того что они заражены и уже заражают автоматически всех, чьи контакты имеют.
Я, после получасового сканирования компа в добавок к этому трояну обнаружил 6! снифферов, 1 троян и 2 вируса. И это при том что скайп я использую исключительно для общения внутри Swow-сообщества. Никаких "внешних" контактов нет. На других wow-серверах, в других компаниях, и даже у обычных пользователей имеющих 1-2 контакта - та же ситуация с этим вирусом.

При обнаружении антивирусником процесс с данным червём выглядит например так:

Оперативная память » svchost.exe(656) - модифицированный Win32/Dorkbot.

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d.

Ярким симптомом того, что компютер заражён им, является запущенный от имени пользователя процесс «svchost.exe». Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов и никогда — из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig).
Также возможно создание службы, использующей настоящий Svchost, но выполняющей вредные действия, например, так делает вирус Kido.

Странно, но при получении данного червя и проверив после этого процессы, я убедился в том, что процесс Svchost запущен так, как и должен.
Но как минимум то, что этих процессов Svchost - запущено одновременно 16 штук, уже показалось мне, человеку близко не знакомому с вирусами, маскирующиеся под системные процессы, странным, при том что нормальной работе хватало пары таких процессов. Тем не менее его завершать нельзя!

Данный червь легко обнаруживается антивирусниками, тут же блокируется, после чего - лечится. Но есть "но": но совсем избавиться от него простым удалением и лечением не получится, т.к. после этого он появится снова. К тому же при обычном сканировании он может не обнаружиться пока не начнёт проявлять активность - как это случается при переходе по ссылке и последующем запуске присланного через Skype данного ".exe" - файла.
Во всяком случае лицензионный Касперский оказался перед ним слеп.
Обнаруживается ли он другими антивирусниками при сканировании - я, во всяком случае, не знаю. Это знают те, кто ими пользуются.

Варианты, найденные мной, о том как от него избавиться (Далее - копипасты. Я не стал "изобретать колесо" и просто потратил время на то чтобы погуглить и всё что найду - выложить сюда):

1. Для очистки компьютера от него можно использовать программу Dr.Web CureIt!, утилиты АВЗ и HiJackThis или аналогичные им.
 
2. Пуск - Выполнить - msconfig, отключить все на вкладке автозагрузка. Далее нужно искать пути программ, которые стартуют при запуске Windows. Пробуйте в безопасном режиме пройтись антивирусником.

3. Если вам в скайп пришло сообщение- это новый аватар вашего профиля?))+ссылка на .exe файл с вирусом или ey, eto vash skype ris profil'?)+ссылка на .exe файл с вирусом, человек его приславший заражен вирусом (точнее троянцем BackDoor.IRC.NgrBot.146), а если вы нажали на ссылку, то и вы заразились - с вашего профиля будут отправляться сообщения это новый аватар вашего профиля?))+ссылка на .exe файл с вирусом или ey, eto vash skype ris profil'?))+ссылка на .exe файл с вирусом всем контактам Skype.
Скрин об этом вирусе, взятый с одного Екатеринбургскго портала:


Для тех, кто не любит много букв, есть видео-инструкция как избавиться от трояна:


На другом сайте пишут что вирус достаточно легко удалить и даже прикладывают подробную инструкцию как это сделать.
Для этого запускаем Skype, нажимаем сверху на кнопку "Настройки".

Затем открываем дополнительные настройки, нажимаем кнопку "Дополнительно".

После этого нажимаем "Расширенные Настройки" и "Контроль доступа других программ Skype".

Откроется окно "Контроль доступа других программ Skype", вы увидите вирусы, которые отправляют те самые сообщения- это новый аватар вашего профиля?))+ссылка на .exe файл с вирусом, нажимаем кнопку "Удалить" и удаляем все вирусы.

После этого нажмите "ОК" и "Сохранить".

Но этого мало, теперь необходимо удалить сами EXE-шники, для этого заходим по пути:
для Windows 7- C:\Users\<профиль пользователя>\AppData\Roaming
для Windows XP -C:\Documents and Settings\<профиль пользователя>\Application Data

Удаляем все EXE файлы, которые находятся в корне этих папок. Если не видите папку AppData значит она скрыта и ее нужно сделать видимой, для этого поможет статья Как сделать папки скрытые папки видимыми.


Категория: Обзор скама и лохотрона ака чтоб не лезли пыщь пыщь ололло | Добавил: master (2012-10-10)
Просмотров: 1151 | Теги: skype, Скайп, вирус | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]