brusilov_14 (brusilov_14) wrote in ukraine_russia,
brusilov_14
brusilov_14
ukraine_russia

СМС-блокираторы .

Тут с ноября пошла перманентная атака в Интернете семейства вирусов "СМС-блокиратор". Особо страдают Россия и Украина.
Если кто не в курсе - то это баннер выскакивающий поверх всех окон, и блокирующий работу почти всех приложений, с наглым требованием послать платную СМС на короткий номер для разблокировки компьютера.

Умному человеку понятно что платить нельзя. Однако лохи платят. Есстественно, что или код разблокировки не присылают, или он не работает, или срабатывает на пару часов, а потом просит ещё послать СМС.

Есть мнение, что этот вирус ворует и отсылает автору все пароли с компьютеров жертв. И что до конца его не убьёшь.
Посему лучшим решением будет - переставить Винду, а потом поменять все пароли - на почте, интернет-банках, ЖЖ и т.д. Во избежание.

Ловится вирус преимущественно через ИЕ, Оперу и обновление продуктов Адобе (в первую очередь - Адобе Ридера). Почти не ловится через Мозиллу (и то, только в случаях если там нет AdBlock, NoScript и прикручен блядский "Яндекс-Бар").
Через браузер ловится путём установки или обновления "install_flash_player.exe". В том числе и официального Адобовского флешплеера.

Все антивирусы дружно сделали вид, что подобного вируса не существует. И уже 2-й месяц "героически" с ним борются. Особенно "героически" борются платные антивирусы.
Однако достаточно принести на флешке малюсенькую прогу HiJack и запустить на заражённой машине с параметром "do a system scan only". HiJack тут же покажет первой строкой:
F2 -REG:system.ini: Shell=Explorer.exe csrcs.exe
Второй строкой:
O4 -HKLM\...\Policies\Explorer\Run:[csrcs] C:\Windows\system32\csrcs.exe
Ну и ещё много вкусных строк и адресов, в том числе и в реестре, где прописался этот самый csrcs.exe (или sdra64.exe или... тысячи их)
То есть в system.ini и реестре прописан файл вируса csrcs.exe, который прицепом цепляется к исполняемым Виндовс-файлам и получает первичный приоритет в системе.
А наши платные антивирусы столько лет "героически" борются с вирусами, но не сподобились сделать элементарную проверку "Process monitor" на предмет - не цепляется ли чего прицепом к системным файлам, и не сподобились сделать проверку реестра на предмет не пишется ли чего туда, а конкретно в ключи Winlogon и Appinit_Dlls (поскольку любое изменение этих ключей означает заражение системы.). Они изменены кстати от этого вируса, и HiJack, к превеликому сожалению, не может их очистить, хотя остальные части вируса чистит на ура. Иначе проблема СМС-блокираторов была бы уже давно решена.

И после этого пусть попробуют доказать мне, что слухи о том, что конторы платных антивирусов(И в первую очередь - Касперский) сами пишут более чем 99% вирусов, чтобы дважды стричь бабло с лохов (за взлом и защиту) - всего лишь слухи и клевета. Доказательства - налицо.

К данному же семейству вирусов имеют отношение две хитрые конторы, действующие одна на Россию, другая на Украину. Вычислили их только благодаря телефонным базам (пусть какая-то мразь после этого скажет, что т/ф базы продавать на радиорынке - это плохо и противозаконно. Сразу будет видно соучастника).
Эти конторы якобы всего лишь предоставляют услуги "короткий номер". И поначалу гнали пургу в этом жанре "Мопед не мой, я просто объяву разместил, а хозяина не назову". Но после угроз приехать в офис с "аргументами", они мгновенно вспоминали код разблокировки. Неудивительно, да. Умному достаточно.
Сейчас вал звонков такой, что конторы не выёбываются, а уныло спрашивают код отправки и называют код разблокировки.
Однако лохов хватает и бизнес продолжается.

Поскольку наверняка есть пострадавшие от данных жуликов среди ментов, ГБ, прокурорских, МЧСовсцев, судейских и прочая... То я предоставляю им возможность не только получить полную сатисфакцию, но и неиллюзорный шанс на большие звёздочки и повышение по службе за раскрытие банды злостных интернет-мошенников, орудовавших в особо крупных размерах. Даже если конторы начнут отбояриваться что якобы сдавали номера в аренду, то их спокойно можно сажать в полном составе как минимум за "соучастие" и "недонесение". Тем более, что они не заблокировали эти номера после того, как стало известно, что это крупное мошенничество. Значит как минимум "соучастие" является полностью доказанным.

Также, если вышеперечисленным категориям граждан будет похуй, то по крайней мере заинтересует братву и просто "ахуенных пацанов с нашего раёна"(тм).
Просьба только видеоролик сделать о посещении и положить в Интернет. И назвать как-нибудь по простому. "Пила-7" например.

Вот адреса контор:
1. Украина.
Киев. Ярославов Вал 3, кв69. т/ф 5815714
ТОВ "Контент-провайдер перший альтернативний-Україна"

2. Россия:
Москва-105082, Переведеновский переулок д13/13 стр4
www.a1agregator.ru т/ф 8(495)3630661


UPD от 25.12.2009.
1. У ряда людей возникли непонятки по поводу апдейтов у Мозиллы. Поясняю. Для нормальной жизни:
AdBlock, NoScript - УСТАНОВИТЬ!
"Яндекс-Бар" - УДАЛИТЬ!

2. Так как я я этим сегментом Сети практически никогда не пользуюсь, посему забыл его упомянуть, как одно из главных мест заражения данной версией вируса. Спасибо за напоминание в камментах.
Это социальные Сети - Вконтакте, Одноклассники и т.д. Примерно 30% случаев заражения попадает на эти сети.

3.Не пишите глупых каментов в стиле "У меня полгода назад был подобный вирус! Удолил! Фигня". Раньше серия вируса была "I Max Downloader Manager" c исполняемым файлом вируса sdra64.exe
С декабря пошла новая серия "i Lite Net Accelerator" c использованием тела старого вируса csrcs.exe, который (какая неожиданность) наши платные антивирусы до сих пор "героически" не видят, хотя ему уже пару лет.

4.Не пишите глупых каментов в стиле "Зачем переставлять Винду и менять пароли, я вирус пролечил!"
Вирус захватывал полный контроль над системой и к тому же воровал пароли. Вы так уверенны, что полностью его уничтожили? И что не осталось его скрытой части, которая ворует пароли?
Это не времена Вин-95 и Вин NT, когда пляски с бубном при переустановке требовали суток, а то и более. Сейчас всё спокойно можно переустановить и поменять пароли на почте и т.д. не больше чем за час.
Subscribe

  • Post a new comment

    Error

    Comments allowed for members only

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments