Comments 86
отправляйте обязательно )) а еще лучше дважды!
У нас на работе манагер отправил СМС, ему пришла СМС что надо подтвердить и отослать еще одну. Отослал и получил код — ввел и блокировка прошла :)
Я тоже писал тут про это два года назад — nesesser.habrahabr.ru/blog/15723/
Ну хоть не не важные документы зашифровал с требованием заплатить за расшифровку и то радует :)
обалдеть. представляю как гребут денюжку разработчики данного вируса
Гребуют боюсь по-страшному, полазил по форумам, вроде 500 р стоит, а в итоге ничего не разблокируется.
Смс стоит от 150 до 300 рублей в зависимости от оператора.
Ах вот оно что :D А вы откуда знаете?)
3649 — наверное самый популярный номер у кидал и AWM`ов, он же самый дорогой из поддерживаемых подавляющим большинством ОССов России.
Точную стоимость можно посмотреть например www.a1agregator.ru/main/tariff
А вообще, не думаю, что авторы виря подняли очень уж много денег. До первой-второй жалобы в биллинг, а там просто аккаунт заблокируют и все.
Хотя, я и не исключаю вероятности, что смс-траф идет на какую-нить порнопартнерку.
Точную стоимость можно посмотреть например www.a1agregator.ru/main/tariff
А вообще, не думаю, что авторы виря подняли очень уж много денег. До первой-второй жалобы в биллинг, а там просто аккаунт заблокируют и все.
Хотя, я и не исключаю вероятности, что смс-траф идет на какую-нить порнопартнерку.
Я уже не удивляюсь. Человек, которому я настраивал комп, схватил где-то вирус, который в IE показывал огромный баннер с просьбой отправить смс на номер N. Так он отправил дважды! Я пришёл, даже не знал, что сказать, удалил вирус, поставил Firefox.
UFO just landed and posted this here
У меня такое было на работе. Я в 5 ушел домой, а гендир с двумя замами остались чтото доделать. Увидели банер, отправили сообщение. В итоге потеряли полторы тысячи. А в понедельник комп не включился. На вопрос почему не позвонили сказали что думали сами справиться.
чтобы удалить информер:
открыть IE — меню Сервис — Надстройки — включение и отключение надстроек.
Затем ищи плагин с родительским dll nhslib.dll (возможно будет другой) и отключай его.
После этого найди в реестре nhslib.dll — и удали.
(с) журнал Хакер, какой-то выпуск
открыть IE — меню Сервис — Надстройки — включение и отключение надстроек.
Затем ищи плагин с родительским dll nhslib.dll (возможно будет другой) и отключай его.
После этого найди в реестре nhslib.dll — и удали.
(с) журнал Хакер, какой-то выпуск
красавцы =D
а регистрация короткого номера не опасна для разработчика вируса?
Номера принадлежат не разработчикам вируса, а sms-агрегаторам, которые потом отхватывают пиздюлей от операторов.
UFO just landed and posted this here
Только вот возвращать будет сам смс-оператор, к тому времени как они чухнутся, деньги со счета уже выведут
Там какбе тоже не дурочки сидят, служба безопасности для чего?
Ну да, да… антифрод, регистраторы… только вот с ростом популярности этих сервисов проскоков все больше и больше
UFO just landed and posted this here
А можна ли так кого-нибудь подставить? Например сделать такой вирус или спам на чужой номер.
К сожалению, часто можно даже без вирусов и спама. Просто написать жалобу, что с такого-то номера и префикса идет спам или «введение в заблужение относительно стоимости смс». После чего владельца префикса спросит служба безопасности биллинга\агрегатора: «Ты спамишь? Докажи что не спимишь!»
Как правило, доказать нечем. Так что если несколько жалоб на один префикс накатать, то наверняка вебмастер будет забанен.
Правда, стоит сделать маленькую оговорку. Если с на префикс идет много смс-трафика, то подставить уже труднее, — неохота биллингу терять крупного клиента, да и отмазы в духе: «У меня 50 000 пользователей на сайте, за всеми не уследишь, все равно кто-то спамить будет», — тоже работают (если есть такой сайт, разумеется :)
Как правило, доказать нечем. Так что если несколько жалоб на один префикс накатать, то наверняка вебмастер будет забанен.
Правда, стоит сделать маленькую оговорку. Если с на префикс идет много смс-трафика, то подставить уже труднее, — неохота биллингу терять крупного клиента, да и отмазы в духе: «У меня 50 000 пользователей на сайте, за всеми не уследишь, все равно кто-то спамить будет», — тоже работают (если есть такой сайт, разумеется :)
Возвращать будет смс-биллинг. В цепочке «Оператор — Агрегатор — Биллинг» самую беспроигрышную позицию занимает Оператор сотовой связи. Потому что расплачивается по смскам не раз в неделю, как большинство Биллингов, а раз в 2-3 месяца. То есть оператор платит только за те смс, на которые за 2 месяца притензий не поступало.
На левый паспорт и через вебмаги
UFO just landed and posted this here
UFO just landed and posted this here
>щас KIDO всех мучает
А на *nix-фронте всё спокойно :)
А на *nix-фронте всё спокойно :)
UFO just landed and posted this here
Вы хотели сказать так?
>тупые школьники которые работая из под рута сносят убунту
Ни один здравомыслящий человек не будет сидеть под рутом.
PS Вас кстати не смущает, что по дефолту в XP вы тоже всё делаете с правами рута?)
>тупые школьники которые работая из под рута сносят убунту
Ни один здравомыслящий человек не будет сидеть под рутом.
PS Вас кстати не смущает, что по дефолту в XP вы тоже всё делаете с правами рута?)
В убунту нет рута. Только судоеры. Как опытный тупой школьник вам говорю :)))
А что мешает набрать в терминале su, а потом rm -rf?)
Самые суровые школьники включают аккаунт рута и из-под него сидят.
UFO just landed and posted this here
Эпидемия как раз таки в самом разгаре в локальных сетях.
А загрузка в безопасном режиме не поможет?
Вирус старый, у знакомого еще года 2 назад такой лечил. Задумка очень злобная, слабо знакомые с компьютером люди обязательно будут слать смски.
это же мошенничество в чистом виде, уголовно наказуемое + вымогательство.
неужели компетентные органы не могу отследить кому деньги уходят и прикрыть лавочку?
неужели компетентные органы не могу отследить кому деньги уходят и прикрыть лавочку?
Смех-смехом, а зараза шагает по планете. Вот сейчас на работе на одном компе словили такое.
Файлы blocker.exe и blocker.bin нашли — убрали. Он еще и в реестре себя прописывает:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] «Userinit»=«C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe»
Убрали эту приписку — C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe
Пока не перезагружали комп, сканим антивирусом. Но вряд ли найдет — в самих blocker.exe и blocker.bin антивирус ничего плохого не видит.
Файлы blocker.exe и blocker.bin нашли — убрали. Он еще и в реестре себя прописывает:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] «Userinit»=«C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe»
Убрали эту приписку — C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe
Пока не перезагружали комп, сканим антивирусом. Но вряд ли найдет — в самих blocker.exe и blocker.bin антивирус ничего плохого не видит.
Господа, этой истории сто лет в обед. Неужели до сих пор кто-то вылавливает экземпляры этого бреда?
UFO just landed and posted this here
Докажи что ты не лох!!! Отправь сообщение «Я НЕ ЛОХ!» на номер 1081. Чем больше отправишь, тем круче ты не лох!
Было тоже самое, просто открыл диспетчер задач и выполнил exe'шник антивируса, все ok
Надо было им написать: а также в подарок вы получите мелодию для мобильного телефона и гороскоп!!! ))
Скоро майкрософт так винду будет просить активировать… тьфу тьфу тьфу
хочу такойже вирус под убунту…
а то как-то в линуксе жить нудно…
а то как-то в линуксе жить нудно…
Не на хабр нужно писать, а СМС биллингу. Гугл подсказал принадлежность номера A1Агрегатору. Написал письмо в саппорт (с ссылкой на топик) и через пару часов получил ответ.
Обращаем внимание, что на Ваше обращение по заявке #13414# от 2009-04-09 23:18:37 (Распространение вируса) пришёл ответ.
Данное сообщение получено вами в рамках сервисной рассылки биллинговой системы А1 агрегатор.
С уважением, A1 Агрегатор
— Поддержка А1 Агрегатор №13 2009-04-09 23:51:00
Добрый вечер.
Спасибо за информацию. Меры приняты. Партнер наказан.
На самом деле не факт, что blocker.exe будет в указанных выше папках, я находил его в c:\temp под именем mrw36.tmp, по этому просто нужно почистить строчку в реестре и привести ее к виду:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] «Userinit»=«C:\\WINDOWS\\system32\\userinit.exe"
При том, если комп в сети, то можно удаленно подключиться к его реестру и удалить мусор из ключа.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] «Userinit»=«C:\\WINDOWS\\system32\\userinit.exe"
При том, если комп в сети, то можно удаленно подключиться к его реестру и удалить мусор из ключа.
я вылечил очень легко, сделал откат на предыдущую удачную загрузку системы. окно не появлялось больше.
Сегодня знакомый тоже столкнулся с той же проблемой. Вылечился удалив файлы. Оповестил своих блогочитателей www.polyakov.net.ru/blog/2009-04-10-152 предложив заодно и решение топикстатера.
Можно ли убрать это не имея лайв CD?
Знакомый подхватил, а не я, не он лайв CD не имеем.
Знакомый подхватил, а не я, не он лайв CD не имеем.
Да, вот тут описан очень оригинальный способ habrahabr.ru/blogs/i_am_clever/56923/
Sign up to leave a comment.
Заблокировался Windows… забавным образом :)