Эта история произошла со мной прошедшей ночью.
Время близилось к полуночи, когда я лазал по просторам и глубинам интернета в поисках текста одной красивой украинской песни. Введя в Яндекс поисковый запрос, открыл несколько табов с результатами поиска. Винт немножко потрещал, а потом выскочило подряд несколько окошек «Антивируса Касперского», с уведомлением что некий «xBXJ.exe» и несколько подобных файлов перемещены в группу «Слабые ограничения». Вслед за этим мелькнуло на долю секунды черное окошко, какое обычно выскакивает при запуске консольных программ.
Через долю секунды после этого я уже нырял (нет, не в глубины интернета) под стол в тщетной попытке успеть выдернуть пачкорд из сетевой карты компьютера.
Конфигурация системы:
— Win XP со всеми патчами и апдейтами, виндовый фаервол отключён.
— Kaspersky Internet Security 2009 с обновлениями от 24-го марта 2010 г, включён.
— Opera 10.51 (последняя версия на текущий момент)
Для начала я со второго компа (ноутбука) сменил пароли на почтовых ящиках и аське. Затем посмотрел логи «касперского»:
25.03.2010 23:53:24 xBXJ.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
25.03.2010 23:53:44 joSB.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
25.03.2010 23:53:46 MjyD.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
25.03.2010 23:53:53 del.bat Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
Честно говоря, меня удивило, что при дефолтных настройках и высоком значении рейтинга опасности «Касперский» молча пропустил файлы на исполнение.
Потом я пообщался в инете с народом, попробовал поискать имена файлов через гуглояндекс, но имена эти явно сгенерированные, видимо поэтому поиск результатов не дал. На часах было два часа ночи, я лёг спать.
Проснувшись, и включив комп (сетевой кабель так и не втыкал в него обратно), я увидел замечательную картинку: по центру экрана программный порнобаннер, который нельзя закрыть или свернуть; и который блокирует попытки открыть таскменеджер.
А ещё у меня появляется новый файл: C:\Program Files\plugin.exe
Сообщение от мошенника выглядело так:
Отправьте SMS с текстом 1275131 на номер 8353
Введите полученый код: [______](удалить банер)
При возникновении проблем, Вы всегда можете обратиться по адресу:
icq 558812836
email: lex-doroti@mail.ru
…
…
Ок, картина ясна и понятна, думаю, всем. Иду на сайт freedrweb.com/cure-it, и скачиваю бесплатную сканирующую утилиту. Которая, тем не менее, ничего не находит подозрительного (что странно, потому что обычно она помогает в таких случаях). Замечу, что поступал следующим образом: скачивал на ноутбук
программу, скидывал на флешку, флешку переключателем блокировал в read-only, и только после этого втыкал в заражённый компьютер.
Дальше я поступил следующим образом: пробиваю по интернету, кому принадлежит этот короткий номер «8353», провайдером оказывается «1-й Альтернативный провайдер» (через который чаще всего и работают мошенники). Захожу на сайт, звоню по указанному номеру. Девушка из call-центра переключает меня на 1-ю линию техподдержки (внутренний номер 555). Затем меня переключают на 2-ю линию техподдержки (прямой телефон 663-71-14), где звучат короткие гудки. Звоню второй
раз, и третий, и четырнадцатый. Наконец, раза с пятнадцатого дозваниваюсь, объясняю ситуацию, называю текст который троян требуют отправить по смс (1275131) на номер 8353. В ответ сотрудник называет мне код, который надо ввести в этот самый порнобаннер. Код вот этот: 1968845971. Я его ввожу, нажимаю кнопку «Удалить банер», окно с порнухой исчезает. При этом «касперский», сволочь, так же спокойно разрешает запуск файла del.bat, который подтирает за собой следы.
Работа над ошибками, или «что я сделал неправильно»:
Во-первых, если уж я выключил основной компьютер после обнаружения вируса, надо было не включая его отсоеденить винт, и через переходник (он у меня был) подключить к ноуту для полной проверки всех файлов на вирусы, или загрузиться с Live-CD с этой же целью.
Во-вторых, мне надо было скачать и запустить Cure-IT _до_ выключения/перезагрузки компьютера. Тогда, может быть, окно с порнухой не вылезло бы. Впрочем, это маловероятно, т.к. запуск утилиты Cure-IT при загруженном на пол-экрана программном порнобаннере не выявил никаких троянов.
В третьих, у меня был отключен виндовый стандартный фаервол. Я полагал, что включенного KIS хватит, но — …
В четвертых, при скане системы на уязвимые места, нашел следующие устаревшие программы с «дырками»: winamp, adobe reader, quicktime. Уязвимости в этих программах позволяли злоумышлинникам запускать вредоносный код.
В пятых,… вопрос к залу: что я ещё сделал не так? (просьба не советовать сменить операционку, браузер, антивирус, цвет кожи, страну проживания, etc. ;-)
Что мне ещё хочется сказать: все подобные схемы мошенничества работают только при низком контроле ОПСОСов и сервис-провайдеров (в данном случае — 1-го Альтернативного провайдера), ибо при желании можно создать такие схемы работы, которые настолько затруднят заработок мошенникам, что им будет невыгодно работать с подобными программами. Думаю, каждый может таких способов придумать — и отсрочки выплат денег, и контрольные смс-ки, и т.д. и т.п. Как говорится, было бы желание у тех, от кого это зависит.
В общем, относительно «happy» end. Другой вопрос, что непонятно, на каком сайте я словил вирус, и какие действия для недопущения повторения ситуации мне нужно предпринять. Желающим могу в личку скинуть ссылки на подозрительные страницы (выдернул из истории браузера), на которые я заходил перед загрузкой троянов. Страницы все подозрительные — на каждой куча скрытых ифреймов с разной вложенностью, и непонятные жава-скрипты.
Такие дела.
UPD. В настоящее время KIS уже ловит эту бяку. Т.е. с обновлениями от 25 марта не ловил, а с обновлениями от 26-го марта уже ловит.
Время близилось к полуночи, когда я лазал по просторам и глубинам интернета в поисках текста одной красивой украинской песни. Введя в Яндекс поисковый запрос, открыл несколько табов с результатами поиска. Винт немножко потрещал, а потом выскочило подряд несколько окошек «Антивируса Касперского», с уведомлением что некий «xBXJ.exe» и несколько подобных файлов перемещены в группу «Слабые ограничения». Вслед за этим мелькнуло на долю секунды черное окошко, какое обычно выскакивает при запуске консольных программ.
Через долю секунды после этого я уже нырял (нет, не в глубины интернета) под стол в тщетной попытке успеть выдернуть пачкорд из сетевой карты компьютера.
Конфигурация системы:
— Win XP со всеми патчами и апдейтами, виндовый фаервол отключён.
— Kaspersky Internet Security 2009 с обновлениями от 24-го марта 2010 г, включён.
— Opera 10.51 (последняя версия на текущий момент)
Для начала я со второго компа (ноутбука) сменил пароли на почтовых ящиках и аське. Затем посмотрел логи «касперского»:
25.03.2010 23:53:24 xBXJ.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
25.03.2010 23:53:44 joSB.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
25.03.2010 23:53:46 MjyD.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
25.03.2010 23:53:53 del.bat Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
Честно говоря, меня удивило, что при дефолтных настройках и высоком значении рейтинга опасности «Касперский» молча пропустил файлы на исполнение.
Потом я пообщался в инете с народом, попробовал поискать имена файлов через гуглояндекс, но имена эти явно сгенерированные, видимо поэтому поиск результатов не дал. На часах было два часа ночи, я лёг спать.
Проснувшись, и включив комп (сетевой кабель так и не втыкал в него обратно), я увидел замечательную картинку: по центру экрана программный порнобаннер, который нельзя закрыть или свернуть; и который блокирует попытки открыть таскменеджер.
А ещё у меня появляется новый файл: C:\Program Files\plugin.exe
Сообщение от мошенника выглядело так:
Отправьте SMS с текстом 1275131 на номер 8353
Введите полученый код: [______](удалить банер)
При возникновении проблем, Вы всегда можете обратиться по адресу:
icq 558812836
email: lex-doroti@mail.ru
…
…
Ок, картина ясна и понятна, думаю, всем. Иду на сайт freedrweb.com/cure-it, и скачиваю бесплатную сканирующую утилиту. Которая, тем не менее, ничего не находит подозрительного (что странно, потому что обычно она помогает в таких случаях). Замечу, что поступал следующим образом: скачивал на ноутбук
программу, скидывал на флешку, флешку переключателем блокировал в read-only, и только после этого втыкал в заражённый компьютер.
Дальше я поступил следующим образом: пробиваю по интернету, кому принадлежит этот короткий номер «8353», провайдером оказывается «1-й Альтернативный провайдер» (через который чаще всего и работают мошенники). Захожу на сайт, звоню по указанному номеру. Девушка из call-центра переключает меня на 1-ю линию техподдержки (внутренний номер 555). Затем меня переключают на 2-ю линию техподдержки (прямой телефон 663-71-14), где звучат короткие гудки. Звоню второй
раз, и третий, и четырнадцатый. Наконец, раза с пятнадцатого дозваниваюсь, объясняю ситуацию, называю текст который троян требуют отправить по смс (1275131) на номер 8353. В ответ сотрудник называет мне код, который надо ввести в этот самый порнобаннер. Код вот этот: 1968845971. Я его ввожу, нажимаю кнопку «Удалить банер», окно с порнухой исчезает. При этом «касперский», сволочь, так же спокойно разрешает запуск файла del.bat, который подтирает за собой следы.
Работа над ошибками, или «что я сделал неправильно»:
Во-первых, если уж я выключил основной компьютер после обнаружения вируса, надо было не включая его отсоеденить винт, и через переходник (он у меня был) подключить к ноуту для полной проверки всех файлов на вирусы, или загрузиться с Live-CD с этой же целью.
Во-вторых, мне надо было скачать и запустить Cure-IT _до_ выключения/перезагрузки компьютера. Тогда, может быть, окно с порнухой не вылезло бы. Впрочем, это маловероятно, т.к. запуск утилиты Cure-IT при загруженном на пол-экрана программном порнобаннере не выявил никаких троянов.
В третьих, у меня был отключен виндовый стандартный фаервол. Я полагал, что включенного KIS хватит, но — …
В четвертых, при скане системы на уязвимые места, нашел следующие устаревшие программы с «дырками»: winamp, adobe reader, quicktime. Уязвимости в этих программах позволяли злоумышлинникам запускать вредоносный код.
В пятых,… вопрос к залу: что я ещё сделал не так? (просьба не советовать сменить операционку, браузер, антивирус, цвет кожи, страну проживания, etc. ;-)
Что мне ещё хочется сказать: все подобные схемы мошенничества работают только при низком контроле ОПСОСов и сервис-провайдеров (в данном случае — 1-го Альтернативного провайдера), ибо при желании можно создать такие схемы работы, которые настолько затруднят заработок мошенникам, что им будет невыгодно работать с подобными программами. Думаю, каждый может таких способов придумать — и отсрочки выплат денег, и контрольные смс-ки, и т.д. и т.п. Как говорится, было бы желание у тех, от кого это зависит.
В общем, относительно «happy» end. Другой вопрос, что непонятно, на каком сайте я словил вирус, и какие действия для недопущения повторения ситуации мне нужно предпринять. Желающим могу в личку скинуть ссылки на подозрительные страницы (выдернул из истории браузера), на которые я заходил перед загрузкой троянов. Страницы все подозрительные — на каждой куча скрытых ифреймов с разной вложенностью, и непонятные жава-скрипты.
Такие дела.
UPD. В настоящее время KIS уже ловит эту бяку. Т.е. с обновлениями от 25 марта не ловил, а с обновлениями от 26-го марта уже ловит.