spoon
10-07-2004, 11:37 PM
Отдел Контрвзлома предупреждает!!!
Появилась новая угроза Вашей безопасности!
Опасность заключается в ссылке на сайт с информацией о переводах всем известного Гоблина.
НЕ В КОЕМ СЛУЧАЕ НЕ ЗАХОДИТЬ ПО ССЫЛКЕ!
htp://goblinperevod.co (ошибка в адрессе допущена специально, чтобы защитить тех, кто в осадном, и все-таки хочет проверить действие сайта на себе.)
С виду совсем безобидный сайт, РВСом и близко не пахнет. Я на него не обратил никакого внимания, до тех пор, пока не увидел в папке "C:\windows\temp" файл с логом своих клавиатурных нажатий и содержанием буффера обмена. Кроме того в файле была вся информация о системе. Все это должно было отослаться злоумышленику. В файле присутсвовала вышеописуемая ссылка. Мне стало понятно, что я подцепил вирус, который нужно немедленно удалить...
Каким образом вирус попадает на компьютер? Посредством вот этих строчек на в html-коде странички:
А здесь был тот самый НЕРАБОЧИЙ огрызок кода!!!!!!!!!!!!!
Не буду объяснять что это означает, кто в этом разбирается, тот поймет. Просто знайте, что если у вас браузер IE и вы открыли эту ссылку, то на вашем компьютере уже есть вирус.
ЧТО ДЕЛАЕТ ВИРУС:
- копирует сам себя этими фалами
- системная папка на вашем компьютере. C:\windows\system на компьютерах с системой Windows 95/98/Me и C:\Windows\System32 на компьютерах с системой Windows XP
- папка автозагрузки для Windows 95/98/Me - C:\Windows\Главное меню\Программы\Автозагрузка Для Windows XP C:\Documents and Settings\имя пользователя\Главное меню\Программы\Автозагрузка
- создает несколько вредоносных файлов
и добавляет значение в ключе реестра HKEY_LOCAL_MACHINE
что позволяет загружаться вирусу в память при загрузке Windows
- создает и загружает .dll файл, который перехватывает клавиатурные нажатия. У меня это был prntsvr.dll
- изменяет значение Shell
в ключе реестра HKEY_LOCAL_MACHINENTс "explorer.exe" на "explorer.exe %System%\netdc.exe" , что также позволяет вирусу запускаться при загрузке Windows 95/98/Me.
- следит за окнами которые вы открываете. Если в нем содержаться слова подобные этим:
Bank bank bull Bull cash ebay ePass Fethard fethard Fidelity gold iKobo mull PayPal storm webmoney WM Keeper
+формы для авторизации, то вирус перехватывает клавиатурные нажатия и записывает их в лог-файл %Windir%\TEMP\fe43e701.htm
- запускает процесс, который перехватывает данные из буфера обмена и записывает их в лог-файл %Windir%\TEMP\feff35a0.htm
- переодически проверяет размер лог-файлов и, если они содержат достаточное к-во информации, отсылает на хорошо зашифрованые имейл адресса
- добавляет следуйщие строки в файл %System%\Drivers\Etc\Hosts
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
это приводит к тому, что вы не сможете зайти на сайты, указаные выше(это сайты ведущих антивирусных компаний).
Из всего этого следует, что имея на компьютере этот вирус, вся ваша конфидициальная информация может попасть в руки злоумышленика, что для некоторых фатально и грозит потерей денег на банковских счетах и т.п.
Как определить есть ли у вас этот вирус: следует просто-напросто посмотреть наличие вышеописуемых изменений в вашей системе. Например я у себя в папке "Автозгрузка" увидел файл "netdc.exe". Посмотреть содержимое папки "Автозагрузка" можно нажав кнопку "Пуск" далее "Программы", там и найдете эту папку.
Как избавится от вируса:
1. Нужно исправить ключи реестра, которые модифицировал вирус:
-нажимаем Пуск->Выполнить, вводим regedit(тем самым запускаем редактор реестра), находим в открывшемся окне следуйщий ключ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
в правой панели удаляем значение "load32"="%System%\netda.exe..."
-находим ключ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
в правой панели меням значение Shell с "explorer.exe %System%\netdc.exe" на "explorer.exe"
-закрываем редактор реестра
2. нажимаем Пуск->Выполнить, вводим msconfig. в открывшемся окне нажимаем на вкладку "Автозагрузка"и снимаем с автозагрузки файл netdb.exe
3. Ищем и удаляем с жесткого диска файлы
netda.exe
netdb.exe
netdc.exe
4. Находим на диске файл hosts и открываем его блокнотом, удаляем все строки кроме 127.0.0.1 localhost
Вот и все.
Прочитав все это, сделайте правильные выводы, относитесь серьёзно к безопасности, не заходите по незнакомым ссылкам, даже если они кажутся безобидными и вполне нормальными.
Обезательно установите антивирус, если у вас его до сих пор нету(таких людей много). Если антивирус есть, то почаще обновляйте антивирусные базы.
Как видите - опасность может исходить откуда ее совсем не ждут. Берегите себя.
(c) http://www.blizzard.ru/forum/archive/index.php/t-1869.html
Появилась новая угроза Вашей безопасности!
Опасность заключается в ссылке на сайт с информацией о переводах всем известного Гоблина.
НЕ В КОЕМ СЛУЧАЕ НЕ ЗАХОДИТЬ ПО ССЫЛКЕ!
htp://goblinperevod.co (ошибка в адрессе допущена специально, чтобы защитить тех, кто в осадном, и все-таки хочет проверить действие сайта на себе.)
С виду совсем безобидный сайт, РВСом и близко не пахнет. Я на него не обратил никакого внимания, до тех пор, пока не увидел в папке "C:\windows\temp" файл с логом своих клавиатурных нажатий и содержанием буффера обмена. Кроме того в файле была вся информация о системе. Все это должно было отослаться злоумышленику. В файле присутсвовала вышеописуемая ссылка. Мне стало понятно, что я подцепил вирус, который нужно немедленно удалить...
Каким образом вирус попадает на компьютер? Посредством вот этих строчек на в html-коде странички:
А здесь был тот самый НЕРАБОЧИЙ огрызок кода!!!!!!!!!!!!!
Не буду объяснять что это означает, кто в этом разбирается, тот поймет. Просто знайте, что если у вас браузер IE и вы открыли эту ссылку, то на вашем компьютере уже есть вирус.
ЧТО ДЕЛАЕТ ВИРУС:
- копирует сам себя этими фалами
- системная папка на вашем компьютере. C:\windows\system на компьютерах с системой Windows 95/98/Me и C:\Windows\System32 на компьютерах с системой Windows XP
- папка автозагрузки для Windows 95/98/Me - C:\Windows\Главное меню\Программы\Автозагрузка Для Windows XP C:\Documents and Settings\имя пользователя\Главное меню\Программы\Автозагрузка
- создает несколько вредоносных файлов
и добавляет значение в ключе реестра HKEY_LOCAL_MACHINE
что позволяет загружаться вирусу в память при загрузке Windows
- создает и загружает .dll файл, который перехватывает клавиатурные нажатия. У меня это был prntsvr.dll
- изменяет значение Shell
в ключе реестра HKEY_LOCAL_MACHINENTс "explorer.exe" на "explorer.exe %System%\netdc.exe" , что также позволяет вирусу запускаться при загрузке Windows 95/98/Me.
- следит за окнами которые вы открываете. Если в нем содержаться слова подобные этим:
Bank bank bull Bull cash ebay ePass Fethard fethard Fidelity gold iKobo mull PayPal storm webmoney WM Keeper
+формы для авторизации, то вирус перехватывает клавиатурные нажатия и записывает их в лог-файл %Windir%\TEMP\fe43e701.htm
- запускает процесс, который перехватывает данные из буфера обмена и записывает их в лог-файл %Windir%\TEMP\feff35a0.htm
- переодически проверяет размер лог-файлов и, если они содержат достаточное к-во информации, отсылает на хорошо зашифрованые имейл адресса
- добавляет следуйщие строки в файл %System%\Drivers\Etc\Hosts
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
это приводит к тому, что вы не сможете зайти на сайты, указаные выше(это сайты ведущих антивирусных компаний).
Из всего этого следует, что имея на компьютере этот вирус, вся ваша конфидициальная информация может попасть в руки злоумышленика, что для некоторых фатально и грозит потерей денег на банковских счетах и т.п.
Как определить есть ли у вас этот вирус: следует просто-напросто посмотреть наличие вышеописуемых изменений в вашей системе. Например я у себя в папке "Автозгрузка" увидел файл "netdc.exe". Посмотреть содержимое папки "Автозагрузка" можно нажав кнопку "Пуск" далее "Программы", там и найдете эту папку.
Как избавится от вируса:
1. Нужно исправить ключи реестра, которые модифицировал вирус:
-нажимаем Пуск->Выполнить, вводим regedit(тем самым запускаем редактор реестра), находим в открывшемся окне следуйщий ключ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
в правой панели удаляем значение "load32"="%System%\netda.exe..."
-находим ключ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
в правой панели меням значение Shell с "explorer.exe %System%\netdc.exe" на "explorer.exe"
-закрываем редактор реестра
2. нажимаем Пуск->Выполнить, вводим msconfig. в открывшемся окне нажимаем на вкладку "Автозагрузка"и снимаем с автозагрузки файл netdb.exe
3. Ищем и удаляем с жесткого диска файлы
netda.exe
netdb.exe
netdc.exe
4. Находим на диске файл hosts и открываем его блокнотом, удаляем все строки кроме 127.0.0.1 localhost
Вот и все.
Прочитав все это, сделайте правильные выводы, относитесь серьёзно к безопасности, не заходите по незнакомым ссылкам, даже если они кажутся безобидными и вполне нормальными.
Обезательно установите антивирус, если у вас его до сих пор нету(таких людей много). Если антивирус есть, то почаще обновляйте антивирусные базы.
Как видите - опасность может исходить откуда ее совсем не ждут. Берегите себя.
(c) http://www.blizzard.ru/forum/archive/index.php/t-1869.html