ВИРУСЫ В ЖЖ!!!!

[dlinyj]

Внимание, вчера в комментариях к моему посту была приложенна фотография. Я сидел на ноуте, с винды ХРюшки. Браузер был огненный лис. Не долго думая, жмакнул фотку, попал на каокй-то типа опа хостинг файлов. После чего вылетело сообщение о экстренной перезагрузке (я тогда понял что заразился), но ребут в защищённый режим не к чему не привёл. После загрузки в нормальном режиме вылетело окно с тем, что мол ка я смотрел гей порно и т.п. чтобы продолжить - надо перевести деньги туда-то.

При этом полностью блокируется клава и мыша. Слава богу, что второй акаунт почему-то вирус не поразил и сейчас сижу с него. К сожалению виртуалки сейчас нет под рукой, чтобы понять как работает данная вирусня, и буду признателен камрадам, кто сможет отследить как гадит эта пакость. ВНИМАНИЕ, ССЫЛКА СДЕРЖИТ ВИРУС, ВЫ ПЕРЕХОДИТЕ ПО НЕЙ ТОЛЬКО НА СВОЙ СТРАХ И РИСК! Данная ссылкка только для исследования! Комментарий с вирусом

Из неприятных штук - бесплатные антивири: аваст и др веб не спасли отца русской демократии. Так что ак придётся удалять...

Буду признателен, кто подключится к исследованию вируса, я к сожалению на медленном саб ноуте, и тут виртуалка - это один лаг.

P.S. Ещё один аргумент в пользу линуксов!

Comments

[ivs1958.livejournal.com]

если достепен regedit - ищи winlogon, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit C:\WINDOWS\system32\userinit.exe - если в параметре userinit есть что-то еще - это и есть вирь. Проверь еще shell - тоже может быть подмена. Должен быть explorer.exe

[ivs1958.livejournal.com]

PS Для лечения гружусь с флешки.

[wrongdna.livejournal.com]

У клиентов на такое налетал. при перезагрузке эта тварь гробит антивирус, и запускается потом вместе с процессом антивируса (то же имя, тот же ГУИ, на взгляд не отличишь, только не работает :) Лечили CureIt!-ом, вроде помогло.
И кстати - валила эта гадость и Каспера, с тем же успехом, с каким валила аваста и авиру.

[ivs1958.livejournal.com]

Интересно. В моих случаях был исключительно winlogon.

[wrongdna.livejournal.com]

Ну может у нас разные звери были. У меня просто сейчас сработал ассоциативный ряд на принудительную перезагрузку. Причем у нас перезагрузка происходила как раз в безопасный режим, в котором собственно вирус и гадил в основном. Тогда проследить его действия дальше мордования антивируса не удалось, но дело было где-то месяц назад, зверек был нов и неопытен...может уже дописали.

[mechanicuss.livejournal.com]

На будущее - DefenseWall HIPS (http://mechanicuss.livejournal.com/243968.html) спасет отца русской демократии.

А сейчас пробуйте GenericRepairReg.inf (http://mechanicuss.livejournal.com/244659.html) , а после него - Malwarebytes' Anti-Malware (http://malwarebytes.org/)

[1lex.livejournal.com]

А не можете для чайников попонятнее объяснить? Сейчас пока пытаюсь сделать загрузочную флешку...

[vshmuk.livejournal.com]

Я глянул через Konqueror.
Эта штука - не типафотохостинг, а самый настоящий, только заражённый и увешанный рекламой.
Не удивлюсь, если запостивший не знал об этом.

ЗЫ. Я как-то тоже через фирефокс подхватил винлокер. Тогда обошлось - у меня на Ctrl-Alt-Delete был забинден Process Explorer

[marcusr.livejournal.com]

Norman malware cleaner + на Хабре (http://habrahabr.ru/) есть статья, как с этой гадостью расправляться. Точно где, не помню. но и для незалогинившихся там поиск работает идеально.

[maddev.livejournal.com]

По сабжевой ссылке можно поймать новые и плохообнаруживаемые вещи: http://www.virustotal.com/file-scan/report.html?id=992bbd2096c881ea4728c7c60d843f7e22ed7ce894778560f9a2e9d1fc9389b2-1296380512
Скорее всего, там водится много разного подобного «добра» — не факт, что это именно тот вирус.

[dlinyj.livejournal.com]

Мехнизм, как ты сам экзешник заполучил?

[maddev.livejournal.com]

Был под видом видеоплеера на Flash. Думаю, это не твой. Dr. Web добавили его только сегодня, и он ни свежим CureIt, ни онлайновым сервисом не обнаруживается. «Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует. (...) Угроза: Trojan.Winlock.2952».

[maddev.livejournal.com]

Открыл ссылку на фото в Debian, во всплывающем окне был виден как картинка со ссылкой на exe-шник.

[vladimirad.livejournal.com]

Я не понял, а зачем из под винды лазить в инторнэде. Все равно что нарядится девочкой первоклассницей и идти на вечеринку педофилов с большим лаллипопом.

[dlinyj.livejournal.com]

Если кратко, то потому что я на ноуте, тут какой-то кривой линь (надо переставлять), плюс 4 Г модем, как-то не ясно как его подцепить в линухе.

[vladimirad.livejournal.com]

Йотко под линуксом заводится, погуглите.

[d191t41-n0153.livejournal.com]

посмотрел демотиватор, все ок

[vladimirad.livejournal.com]

Скайп прекрасно под линухом работает.

[dlinyj.livejournal.com]

Да линукс всем хорош, кроме того что у меня его нет на ноуте. Поставить не могу пока.

[vladimirad.livejournal.com]

А зачем ставить?
Делаешь свисток с линуксом, 2Гб вполне нормально. Настройки можно там же хранить. После спокойно придаетесь интернед серфингу.

[dlinyj.livejournal.com]

Я не люблю костыли. Линукс будет основной системой, просто надо чуток заморочится. Кстати, как сделать по быстрому такую флешку с убунтой?

[vladimirad.livejournal.com]

Ничего делать не надо. На сайте убунты можно качнуть образ.

[ex0_planet]

unetbootin

[nosferatum.livejournal.com]

я как бы и не парюсь насчет вирусов :)

[aterentiev.livejournal.com]

Xм, на висте и ИЕ8 вчера ничего не зацепилось. Запустил авиру на всякий случай на полный скан...

[ollycat (from livejournal.com)]

Гугловый хром под линуксом:

сразу предупредил, что туда лучше не соваться (Malicious software includes 150 exploit(s), 103 scripting exploit(s), 2 trojan(s)). При заходе, как тут уже писали, выясняется что это действительно фото хостинг, но весь обвешаный всякой заразой. :) Дальше копаться лень.

[terrakots.livejournal.com]

Это еще легко отделался. Учетную запись удалять скорее всего не нужно будет. Раз у тебя только одна учетка подцепилась, значит екзешник не в системной библиотеке, а вероятнее всего здесь c:\Documents and Settings\User\Главное меню\Программы\ или на каталог выше.
Сам запускной файл, вероятно, не представляет из себя нечто, содержащее сигнатуры, механизм работы далее сам бы с удовольствием почитал. Когда я боролся с подобной штукой, то через утилитину procexp было видно, что есть некий родитель например,
ddeed.exe который запускает потомка cmd.exe, который, в свою очередь запускает процесс
taskmgr.exe Именно его модифицированный каким-то образом интерфейс и мешает вызвать его же
:)
А вот каким образом экзешник туда кладется - тоже бы с удовольствием почитал. Я как-то разбирал обфусцированный js - там было что-то подобное, т.е. сам js генерил некий vbs, в котором, кажется был урл, - увы, уже не помню. Думаю, в твоем случае вариант этот же. Можно под линуксом этот скрипт забрать, отследить, где собирается вся строчка (для этого не надо со всеми переменными перековыриваться) и вывести в дебаг.

[mm-3.livejournal.com]

такие вещи кладутся довольно просто...
через дырку в каком нибудь флеше (чаще всего с переполнением буфера) запускается в свободное плавание (читай получает управление, через затирание точки возврата на стеке) некий специально сформированный исполняемый код (до этого являющийся просто массивом безвредных данных), который либо подгружает, либо уже содержит в себе зловреда, который пишется на диск и прописывается во всяких автозагрузках...

антивиры сразу блокируются и обезвреживаются, чтобы не путались под ногами, доступ на антивирусные сайты перекрывается, стандартный таск менеджер отныне вне закона...

а дальше надо как-то отбить бабки потраченные на подготовку к загрузке зловреда
тут есть два пути либо подключаем заражённую машину к ботнету и продаём, либо выбиваем бабки с нерадивого пользователя...

[aleki-anakale.livejournal.com]

вирусы в жж? ссылка в жж, вирусы не в жж...
звучит так же абсурдно, как обвинение трекеров в распространении контрафактной продукции!

[dlinyj.livejournal.com]

По моему человек пытается вызвать холивар. Однако торенттрекеры способствуют распространению контрафакта - это глупо отрицать.

А вирусы распространяются по средством спамботов ЖЖ, так что вполне себе история. И выглядит так же весьма ЖеЖешно.

[cluster-d.livejournal.com]

А ты ничего не запускал при этом?

[dlinyj.livejournal.com]

неа

[cluster-d.livejournal.com]

Ну и как тогда ты мог эту заразу подцепить? Не могла же она сама у тебя на компе запуститься.

[gorl.livejournal.com]

скорее всего, огнелис не самый новый, вирус запустился через уязвимость в браузере.
может быть и 0day, но вряд ли

[dlinyj.livejournal.com]

Могла - это ж малварь

[cluster-d.livejournal.com]

Значит плохой браузер.

[dlinyj.livejournal.com]

Огнелис, я же говорил.

[cluster-d.livejournal.com]

Я в курсе.

[1lex.livejournal.com]

Здравствуйте.
Я словил точно такую же хрень. Скажите, вам удалось это как-то побороть?

[dlinyj.livejournal.com]

Слово побороть тут не очень корректно. Т.к. я решил проблему весьма хирургическим путём. Если кратко, то у меня был второй акаунт в винде. Я загрузился в нём, и эта пакость в нём не работала. В результате я сбекапил всё из первого ака и удалил онный. ИМХО не совсем корректный метод, но под пивко потянет

[serejik.livejournal.com]

Ага, прилетала такая кака. Не стал разбраться, удалил. Вообще наверно с пол года ничего не писал в комментах ни у кого. А тут 1 коммент вчера написал и поплыли эти каки в журнал. Спамом уже завалили за день.