Сообщений в теме: 156

[13)]

Поступила жалоба.

Текст сообщения приходит по аське
Посмотри фотошоп на фокуе заметен или нет?

Дается ссылка (не вздумайте сейчас открыть!)
"http://poonyk-music.com/foto332.gif"

и после скачивания машина виснет наглухо
даже перезагрузка не помогает
появляется картинка похожая на экран смерти с требованием денег
путем посылки смс

[Alex]

Скачал файл по ссылке, запустил в ACDSee Photo Manager 2009 ни чего не открылось, в метафайле: foto332.gif on Microsoft Windows XP Workstation version 5.2600 No file version information available FileSize: 156160 bytes (152.500 KB, 0.149 MB). Эвpиcтичecкий aнaлиз в ESET NOD32 Antivirus 3.0.669.0 ни чего не обнаружил, ось продолжает крутится кто следующий?

[13)]

Вот в сети, похожая жалоба
http://habrahabr.ru/...security/59134/

Буквально несколько часов назад общался с другом в ICQ (оба через qip). Речь зашла о фотоаппратах, зерклаки VS. мыльницы, и так далее. И тут неожиданного от него приходит сообщения типа «Как думаешь эта фотка сделана с помощью фотошопа и ссылка… » на файл с расширением *.scr тоесть скринсейвер, ну думаю надо открыть, друг надежный — плохого не пришлет, открываю и вуаля — на первый взгляд обычный троян блокировки системы, про который уже писали. Но нет, тут синий экран смерти, глупые якобы системные надписи + текст ОТПРАВЬТЕ СМС с текстом oldПРОБЕЛoper на такой то номер и так далее, окно ввода и кнопка. Фокус автоматом переводится на окошко. Ни одна из комбинаций клавиш не работает (даже такие, как Win+U, 8 секунд шифта).
Перезагрузка ничего не помогает соответственно, генератор ключей от Dr.Web тоже отказывается, так как там только, текст в виде сообщения. Вводы «0» и слов «зачислено» тоже не работают.
Загрузился только в режиме отладки, просмотрел реестр загрузки, автозагрузку, обшарил антивирусом, поиском — ничего!
Перезагружаю компьютер снова тот же экран. Опять залезаю под «отладкой». Теперь еще от нескольких приходит сообщение с тем же текстом, плюс как оказывается и от меня тоже самое...

[Tim_111]

Маша, перестань! Есть ГугЫль, Доктор Уепп и еврей Касперский!

[13)]

Маша, перестань! Есть ГугЫль, Доктор Уепп и еврей Касперский!

Что перестань? У людей проблема, а прошлый раз её здесь так и не решили. Катерине никто так и не ответил.
Когда у кого-то виснет компьютер, очень хороший совет, лезть с него в Гугл

[agent]

и после скачивания машина виснет наглухо

после скачивания - нет. после запуска екзешника - м.б.

Скачал файл по ссылке, запустил в ACDSee Photo Manager 2009 ни чего не открылось, в метафайле: foto332.gif on Microsoft Windows XP Workstation version 5.2600 No file version information available FileSize: 156160 bytes (152.500 KB, 0.149 MB). Эвpиcтичecкий aнaлиз в ESET NOD32 Antivirus 3.0.669.0 ни чего не обнаружил, ось продолжает крутится кто следующий?

причем тут асидиси? это екзешник закамуфлированный... нод действительно молчит... ибо в базухе его пока нету..

Короче кроме мозга ничто не защитит...
Выводы... кип-накуй, левые линки-накуй...
ПыСы... там че тож пароль просит? на прошлый троян подходил пасс на бессмертие в Дум-2 (IDDQD)... ну по слухам опять же.

[Doctor B]

значится так,
жалоба была от меня, на все вопросы, пришло сыну на мобильный qip, пока отлучился от компа, это уже успели ввести и загрузить и видимо запустить.
прошло само где-то через час,
что обратило внимание загрузится в безопасном режиме не удалось
(выскочил экран смерти)
, NOD-4 молчит, хотя в журнале отметил 5 атак,
слетела список контактов PidGin-а востановилось после проведения сканирования диска.
и перед сканированием вычистил реестр и временные папки
Большое спасибо 13) за поддержку, и присланные ссылки.
p.s. день когда я заведу тв-тюнер под Uuntu, будет последним днем Windows на моей машине дома

[Kkaterina]

...Катерине никто так и не ответил.
..

я этому и не удивилась, проблема решилась в тот же день.

[С.В.]

Новый троян - убийца файлов - появился в Сети. Об этом сообщила фирма "Доктор Веб", занимающаяся разработкой и защитой программного обеспечения. По классификации "Доктор Веб", программа получила название KillFiles.904. Признаки его активности были зафиксированы в первые дни текущего месяца.

Эксперты "Доктор Веб" выяснили, что, попав на компьютер жертвы, вредоносная программа сканирует локальные и съемные накопители в порядке от Z до A. На найденном диске троян пытается удалить все папки и файлы, перебирая их названия по алфавиту. Если уничтожить файл не удается (например, по причине его использования), KillFiles.904 делает его скрытым.

Причем троян не удаляет системные каталоги. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу. Кроме того, специалисты "Доктор Веб" отмечают, что новый вредитель не просит перечисления каких-либо средств и не пытается что-либо украсть. Он просто уничтожает данные и стремится нанести максимальный урон пользовательской информации.

Отметим, что в середине апреля известная компьютерная компания Symantec опубликовала отчет EMEA Internet Security Threat Report. Согласно этому отчету, 2008-й стал годом очередного ошеломляющего скачка в объеме вредоносных приложений. Компания зафиксировала 1,6 млн новых вирусов, в то время как в 2007-м их было зарегистрировано всего 624,3 тысячи.

Ежегодное исследование Symantec является одним из самых исчерпывающих в отрасли. Оно основывается как на статистике, собранной продуктами самой компании, так и на сторонних данных из более чем 200 стран. По мнению компании, учитывая сложившуюся ситуацию, пользователи больше не могут рассчитывать только на себя и антивирусные программы. Для эффективного решения проблемы Symantec призывает к международному сотрудничеству в борьбе с создателями вредоносных программ.

http://www.utro.ru/a...08/819340.shtml

[Гик]

Свежая уязвимость WinXP

07.07.09, Вт, 11:16, Мск


В Windows XP обнаружена вторая серьезная уязвимость за последние несколько месяцев. Посетив зараженный веб-сайт пользователь открывает злоумышленнику доступ к своему компьютеру. Предыдущая аналогичная «дыра» была найдена в мае.

Корпорация Microsoft накануне вечером сообщила о серьезной уязвимости в компоненте Microsoft Video ActiveX Control (msvidctl.dll), позволяющей злоумышленнику получить доступ к компьютеру жертвы с правами текущего пользователя. Атака выполняется через браузер Internet Explorer, использующий этот компонент. Когда пользователь открывает зараженный веб-сайт, на вход одному из объектов ActiveX передается файл параметров, приводящий к переполнению стека и выполнению произвольного кода.

По сообщению Symantec, уязвимыми оказались наиболее популярные версии Internet Explorer – 6 и 7, работающие в среде Windows XP и Windows Server 2003. Пока идет работа над соответствующим патчем, пользователи могут отключить ActiveX Control, загрузив и запустив специальный файл с веб-сайта Microsoft. Ссылка на файл находится здесь
http://support.microsoft.com/kb/972890
(изображение под надписью Enable workaround). Позже пользователи вновь смогут включить ActiveX, воспользовавшись этой же веб-страницей (Disable workaround).

По данным Microsoft и компании Symantec, которая обнаружила уязвимость, она не затрагивает Windows Vista, Windows Server 2008 и Internet Explorer 8. В последнем передача параметров на объект ActiveX заблокирована. Тем не менее, компания все же рекомендует пользователей этих версий программного обеспечения также отключить ActiveX Control, пока не будет выпущена заплатка.


Очередная уязвимость в Windows XP позволяет выполнить произвольный код

В Symantec заявляют, что к настоящему моменту в интернете насчитывается уже несколько тысяч зараженных веб-сайтов. Из них большая часть находится в Китае и некоторых других странах Азии.

ActiveX-объект Microsoft Video Control подключает фильтры Microsoft DirectShow для захвата, записи и воспроизведения видео. Этот компонент используется в Windows Media Center для записи и воспроизведения телевизионных программ.

В «Лаборатории Касперского» CNews рассказали, что детектируют javascript, который использует уязвимость компонента MSVidCtl (Microsoft Video Streaming ActiveX), с 6 июля. «Использование эксплойта в текущей реализации требует наличия javascript-файла, содержащего опасный шелл-код, который может загрузить произвольную троянскую программу из интернета, - комментирует Виталий Камлюк, ведущий антивирусный эксперт «ЛК». - Эксплойт также требует наличия специально сформированного файла, распространяющегося с расширениями .gif или .jpg, который, будучи загруженным в компонент MSVidCtl, вызывает срабатывание уязвимости».

Официальный патч от Microsoft пока не доступен, поэтому уязвимость оценивается как критическая. В антивирусные базы уже добавлено эвристическое детектирование .gif/.jpg файлов, вызывающих срабатывание уязвимости. Тем пользователям, которые не используют защиту от вредоносного ПО, в «ЛК» рекомендуют отключить опасный ActiveX-компонент путем редактирования записи в системном реестре. Для этого в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF} необходимо создать/изменить значение "Compatibility Flags", установив его в 00000400 (значение в формате DWORD).

Напомним, что это вторая серьезная уязвимость, связанная с Microsoft DirectShow за последние месяцы. Предыдущая была обнаружена в мае и также открывала доступ к компьютеру с правами пользователя. Для этого будущей жертве достаточно было открыть видеофайл в формате QuickTime. Уязвимость касается Windows 2000 Service Pack 4, Windows XP и Windows Server 2003 и опять же обходит стороной Windows Vista. Патч к ней пока не выпущен.

http://pda.cnews.ru/...09/07/07/353187

[Гик]

Осторожно! SMS-мошенники на яндексе!

Подмена сайта

Если вы зашли на один из сайтов Яндекса (Почту, Поиск, ...) или, нажав на один из результатов поиска, оказались не там, где ожидали, возможно, ваш компьютер заражен вирусом.

Обращаем ваше внимание, что Яндекс никогда не требует денег с пользователей за регистрацию и использование своих сервисов, а также не предлагает подтвердить регистрацию при помощи SMS.


Как это выглядит?

При попытке зайти на главную страницу http://www.yandex.ru, http://mail.yandex.ru или http://passport.yandex.ru предлагается ввести логин, пароль и отправить SMS на короткий номер. Страница похожа на ту, что используется для входа на почту.

Распространяется этот вирус в основном через социальные сети.

Действие вируса может выглядеть так:

http://help.yandex.r...rch/?id=1061423

[PROVODNIK]

На днях по Аське прислали ссылку типа с Photo)
Качнул, расширение написано JPG,но отображается как неопознаный файл...
Кликнул и появилось окно похожее на скрин! С текстом типа отправь СМС и Винда разблокируется) Я думаю многие слышали об этой бяки)
Я на работе часто сталкиваюсь с этим((( Обычно клиенты судорожно трясутся при виде этого вируса и говорят у нас наверное не лицензионная винда и нас пропалили)))

Кто что посоветует?
Вирусняк работает как прога типа скрина... открывается первоначальной прогой! Поверх всех окон!

[Ky3bMu4]

Аналогичная ситуация была уже 3 раза. Только без всякого скачивания и кликанья по неизвестным файлам. Только на проверенных ресурсах гулял.
Первый раз удалось при перезагрузке запустить диспетчер задач и завершить процесс - он там какое-то время отбражался. Потом почистил в файлах.
Второй раз только в безопсном режиме получилось, так как диспетчер задач он уже блокировал.
Ну а на 3-й ни безопасный режим, ни загрузка оболочки с диска не помогли. Скрин появлялся во всех случаях. Причём за 3 раза поменялся текст с запросом на смс. Сперва он прилично просил прислать смс и гнал что-то про нелицензионную ХР и Microsoft. Потом текст сократился до 2 строчек, типа подтверждение активной копии ХР, а в последний раз без церемоний - смс на номер и будет счастье.
После этого я как-то подофигел от такой наглости, да и день к тому же почему-то не удался. Помогло то, что на этот день я планировал форматнунть всё нафиг и поставить новую операционку... конечно же лицензионную

[PROVODNIK]

Ммм, ну я сталкивался с 2мя разными, текстовками...
Ни безопасный ниадминистратор, ничего не помогало... Диспетчера блокировал в общем всё всё!!!!
Но подумав минуту я всётаки решил что процесс этот имеет дырки...
И попробывал не кликать диспетчера, а зажать и держать данную комбинацию клавиш... Тогда диспечер проглядывал сквозь скин, мелькал кое как...
В общем полу вслепую, держа клавиши я кое как дотронулся до мышки и ели закрыл процесс... Он гад и не закрывался ещё!
Но тем ни менее...
Конечно же сразу потянулся к оболочке... Стандартной Виндовской не пользуюсь т.к. она никакая!
Пользуюсь Акронисовской! Вот это то что надо прога!

[agent]

Ммм, ну я сталкивался с 2мя разными, текстовками...
Ни безопасный ниадминистратор, ничего не помогало... Диспетчера блокировал в общем всё всё!!!!
Но подумав минуту я всётаки решил что процесс этот имеет дырки...
И попробывал не кликать диспетчера, а зажать и держать данную комбинацию клавиш... Тогда диспечер проглядывал сквозь скин, мелькал кое как...
В общем полу вслепую, держа клавиши я кое как дотронулся до мышки и ели закрыл процесс... Он гад и не закрывался ещё!
Но тем ни менее...
Конечно же сразу потянулся к оболочке... Стандартной Виндовской не пользуюсь т.к. она никакая!
Пользуюсь Акронисовской! Вот это то что надо прога!

ПРям триллер какой-то... " полу вслепую... истекая кровью ...я дотянулся до спускового крюка .. " ктрл+шифт+еск не пробовал?

[PROVODNIK]

Пробывал конечно!
А трилер не в тему)

[Ky3bMu4]

Ммм, ну я сталкивался с 2мя разными, текстовками...

Возможно предстоит столкнуться с 3-ей. На 2-х первых номер вроде был одинаковый, на 3-ем на него не обратил внимания.

[Tippy]

Ну так что, нет других мыслей? Может быть скинуть кому-нибудь свой дистрибутивчик, пусть кто-нибудь посмотрит. Мне бы хотя бы выяснить, где искать проблему - в Текстпаттерне или в настройках Апача/PHP.

[Ky3bMu4]

Люди добрые, подскажите!!! В последние 3 дня исходящий трафик в сотни раз стал превосходить входящий! Отправленные МЕГАБАЙТЫ тикают в счётчике на глазах!!!
Какой-то вирь рассылкой занимается? Или ещё что-то? Как с этим побороться? Где проблему искать?

[agent]

Люди добрые, подскажите!!! В последние 3 дня исходящий трафик в сотни раз стал превосходить входящий! Отправленные МЕГАБАЙТЫ тикают в счётчике на глазах!!!
Какой-то вирь рассылкой занимается? Или ещё что-то? Как с этим побороться? Где проблему искать?

а поставить фаервол и мониторить трафф религия не позволяет?
из фриварных пойдет и Comodo...
можешь список процессов прилепить сюда? может там что-то явно криминальное сидит...