По дате Май 31st, 2010

Порно информер требует отправить SMS с кодом 1011424 на номер 5121

Очередной порно информер, требующий для разблокировки Windows отправить SMS с кодом 1011424 на номер 5121. Эх, картинки нету… :(

Сделан довольно оригинально - внешне напоминает Internet Explorer с открытым сайтом .com. Однако,  если обратить внимание на стиль окон, видно, что это не совсем IE от Windows (да и с версей IE не ладится - значок от ie 6, а выглядит “под восьмерку”). И надпись - мол, мы не блокируем программы, мы не вирус :) Хотя, розовый стиль и легко одетые женщины уже порядком надоели…

Что ж… идем на сайт DrWeb и получаем код “1238396875″ (DrWeb позволяет отправлять бесплатные SMS на короткие номера???) . Конечно, вирус этот код не удалит, однако первое время работать можно будет.

Ручными поисками заниматься не стал - прогнал компьютер LiveCD со свежими базами. (вирус с бородой попался)

Нашел кучу всякой гадости типа NtRootkit в system_volume_information, Officla48 (в одном из tmp файлов и в C:\windows\srnh.lto). Последнее подгружалось в реестре (”расширенный” boot, shell  до Explorer.exe rundll32.exe srnh.lto iqfnr). Чистим до просто “Explorer”, не забываем поставить свежий антивирус.. и всё. :)

Удачи

Опубликовано Май 31, 2010 | автор: levik  |  Нет комментариев »