История
Сижу утром на кухне с нетбуком, заглянул вконтакт: на стене ссылка от подруги, кликаю, скачивается файл podarochek.exe. Я благополучно его удаляю и пишу подруге, чтобы пароль вконтакте сменила и почистила комп.
Через минут 20 захожу в комнату, там любимая мне жалуется, что открыла файлик и теперь не может зайти на свою страницу. После моих нравоучений по-поводу открытия файлов *.exe началась эпопея.
Первым делом я удалил тело вируса — сам скачанный файл podarochek.exe, после чего запустил Avast на сканирование, который успешно показал, что вирусов нет.
Далее заходим вконтакт, пытаемся авторизоваться и получаем окно «Ваша страница взломана, Вы получите СМС с кодом активации в течение 15 минут». СМС не приходит. Вторая попытка, третья. Далее написано «Если СМС по каким-либо причинам не доходит, то отправьте СМС с кодом таким-то туда-то». Что меня и насторожило.
Далее пытаемся восстановиться минуя телефон. Форма «Забыли пароль?» не открывается. Я матюгаю вконтакт, что мол глупая система — не даёт восстановиться по e-mail, после чего до меня дошло.
Пингую vkontakte.ru и получаю 194.8.251.148, затем пингую со своего компьютера и получаю 87.240.188.250.
Поскольку компьютеры подключены через один WiFi -> СТРИМ, разные DNS быть не могут, тут-то и стала понятна суть работы этого вируса.
Уверенным шагом я топаю в C:\Windows\System32\Drivers\etc\
Удаляю hosts, после чего повторяю проверку, но по-прежнему грузится левый сайт.
Пробую сбросить DNS: ipconfig /flushdns
Повторяю проверку — ничего не изменилось.
Почесав репу, иду перезагружать роутер, чтобы и там сбросить DNS.
Опять ничего не изменилось.
«Видимо проблема не в hosts»,- подумал я и пошёл искать по содержимому диска C:\ IP адрес левого сайта, но поиск результатов не дал.
Потом я решил записать новый файл hosts с правильно прописанным IP вконтакте. Решение временное, но могло внести ясность. Сохраняю новый файл и вижу «Файл hosts уже существует. Заменить?». Тут-то я и вспомнил все благие слова про славную Windows 7 и его UAC. Оказалось, что я удалил подставной hosts, а настоящий по-прежнему прописывал для домена vkontakte.ru левый IP-адрес.
Заменив в итоге настоящий hosts на чистый файл, компьютер всё-таки загрузил настоящий вконтакте.
Инструкция по удалению вируса
1.Удалить тело вируса — скачанный файл podarochek.exe.
2.Удалить подставной файл hosts в каталоге С:\Windows\System32\Drivers\etc
3.1. (Для Windows XP)
Открыть С:\Windows\System32\Drivers\etc, открыть настоящий hosts (Блокнотом), и удалить строки, содержащие «vkontakte.ru»
3.2. (Для Windows Vista/7)
Открыть C:\Windows, найти файл Notepad, кликнуть правой кнопкой мыши, затем «Открыть от администратора». Далее нажать «Файл — Сохранить», выбрать каталог С:\Windows\System32\Drivers\etc, название файла hosts, расширение txt убрать (выбрать «все файлы»).
«Что за стерлядь взяла мою удочку?»
Пробивая IP-адрес с фишинговой страницей я ожидал увидеть какой-нибудь серый шаред где-нибудь в Голландии. Однако, результат меня поразил.
IP относится к блоку, принадлежащему известной строительной компании «Дон-строй».
inetnum: 194.8.250.0 - 194.8.251.255
netname: Donstroy-1
descr: Donstroy Ltd.
country: LV
org: ORG-DL107-RIPE
admin-c: JS1050
tech-c: JS1050
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: MNT-DONSTROY
mnt-routes: MNT-DONSTROY
mnt-domains: MNT-DONSTROY
source: RIPE # Filtered
% Information related to '194.8.250.0/23AS29557'
route: 194.8.250.0/23
descr: donstroy-route-1
origin: AS29557
mnt-by: MNT-DONSTROY
source: RIPE # FilteredПосле чего я полез к ним на сайт и позвонил. Достаточно быстро меня соединили с их IT-отделом, где достаточно компетентный человек меня выслушал и проверил, сообщив, что адрес не их.
Надо сказать, что трассировка слабо похожа на Дон-строй, т.к. ведёт в латвию.
12 143 ms 215 ms 158 ms telialatvia-ic-136955-hls-b2.c.telia.net [80.239.193.250]
13 152 ms 88 ms 104 ms 78.28.193.251
14 * * * Превышен интервал ожидания для запроса.
15 134 ms 97 ms 97 ms 194.8.251.253
16 235 ms 223 ms 197 ms 194.8.251.148Возможно, что проброс идёт всё-таки с их адреса, но куда-то в Латвию. Оставим это на совесть их IT-отдела.
Abuse адрес компании telia.net я найти не сумел. На этом мой энтузиазм закончился.