█ 11.02.2010 13:21
сегодня у меня нехилый улов.. наконец-то поймал и посадил в баночку ту букашку, из которой потом вырастает бяка, после чего возникают указанные в топике проблемы 
букашка относительно безобидная, но хитрая. теперь по-порядку.. позвонил знакомый, грит, так и так, потянуло сам знаешь куда. выскочило какое-то окошко, нажал принять, что-то установилось и теперь после включения компьютера выскакивает окошко и просит отправить смс. прихожу, запускаю комп, смотрю. окошко уведомления растянуто не на весь экран, а расположено точно по центру, но при этом не мешает запустить мой компьютер. само собой, находится в фокусе, и "за ним" ничего не видно. пробую перезапустить эксплорер - окошко не пропадает, значит, запущено отдельным процессом. зохожу в реестр в секцию автозапуска и нахожу там строку запуска бяки. ссылается на темповую папку. запускаю Process Killer, нахожу подозрительный процесс и грохаю его вместе с дочерними процессами. Окошко пропадает. захожу в тем и копирую бяку на флэшку. Исходный файлик грохаю, также чищу секцию автозагрузки в реестре. Перезагружаю - всё ОК, окошко не выскакивает. Прихожу домой, устанавливаю последнюю версию каспера, обновляю его, включаю максимальный уровень защиты. Вставляю флэшку, указываю файлик, проверяю на вирусы. В ответ тишина 
Думаю, ладно, бяка не страшная, нуна её запустить. Запускаю. Выскакивает окошко с лицензионным соглашением и сразу пропадает. После этого появляется банер. Особенно улыбнуло в нём лицензионное соглашение:
з.ы. забыл сказать, диспетчер задачь ещё блокируется после активиции указанной бяки.
букашка относительно безобидная, но хитрая. теперь по-порядку.. позвонил знакомый, грит, так и так, потянуло сам знаешь куда. выскочило какое-то окошко, нажал принять, что-то установилось и теперь после включения компьютера выскакивает окошко и просит отправить смс. прихожу, запускаю комп, смотрю. окошко уведомления растянуто не на весь экран, а расположено точно по центру, но при этом не мешает запустить мой компьютер. само собой, находится в фокусе, и "за ним" ничего не видно. пробую перезапустить эксплорер - окошко не пропадает, значит, запущено отдельным процессом. зохожу в реестр в секцию автозапуска и нахожу там строку запуска бяки. ссылается на темповую папку. запускаю Process Killer, нахожу подозрительный процесс и грохаю его вместе с дочерними процессами. Окошко пропадает. захожу в тем и копирую бяку на флэшку. Исходный файлик грохаю, также чищу секцию автозагрузки в реестре. Перезагружаю - всё ОК, окошко не выскакивает. Прихожу домой, устанавливаю последнюю версию каспера, обновляю его, включаю максимальный уровень защиты. Вставляю флэшку, указываю файлик, проверяю на вирусы. В ответ тишина Думаю, ладно, бяка не страшная, нуна её запустить. Запускаю. Выскакивает окошко с лицензионным соглашением и сразу пропадает. После этого появляется банер. Особенно улыбнуло в нём лицензионное соглашение: Цитата:
получается, программа типа легальна и пользователь берёт на себя все условия лицензионного соглашения. есть даже номер телефона, по которому можно позвонить и типа отказаться от использования программы. улавливаете, насколько всё продумано? не каждый ведь будет читать лицензионное соглашение до конца. и придраться нельзя к авторам этой бяки. в общем, кому интересно проверить свой антивирус, могу скинуть бяку в исходном виде. ПОЛЬЗОВАТЕЛЬСКОЕ СОГЛАШЕНИЕ
Перед использованием программного обеспечения, пожалуйста, ознакомьтесь с условиями настоящего пользовательского соглашения.
Пользователь вправе использовать программное обеспечение на условиях, определенных настоящим Пользовательским соглашением. Любое использование программного обеспечения означает полное и безоговорочное принятие условий описанных в настоящем пользовательском соглашении.
Пользователю запрещается:
- Вносить любые изменения в программное обеспечение.
- Передавать программное обеспечение третьим лицам.
- Использовать программное обеспечения с целью получения коммерческой выгоды.
Тестирование программного обеспечения производилось для операционных систем:
- Microsoft Windows XP (SP1, SP2, SP3, SP4)
- Microsoft Windows Vista ( SP1, SP2, SP3)
- Microsoft Windows 7
В случае, если программное обеспечение установлено на операционную систему, для которой не производилось тестирование, работоспособность программного обеспечения не гарантируется. В том числе работоспособность программного обеспечения не гарантируется в случае установки на эмуляторы указанных ранее операционных систем.
После установки программное обеспечение будет автоматически запускаться вместе с запуском операционной системы.
Программное обеспечение позволяет осуществить просмотр видео роликов, на тех и только тех веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение.
Установленное программное обеспечение позволяет осуществлять просмотр видео роликов в течении часа с момента установки на безвозмездной основе, и не оповещая пользователя о необходимости произведения оплаты.
По истечении часа с момента установки программного обеспечения, Пользователь будет уведомлен о необходимости произведения оплаты.
Уведомление пользователя происходит в виде отображения окна, содержащего напоминание о необходимости оплаты и всех необходимых для оплаты данных.
Оплата производится путем отправки двух смс сообщений на номер 9691. Стоимость одного смс сообщения на номер 9691 состовляет от 170 до 310 рублей, точную стоимость можно узнать у оператора. Текст для отправки первого смс сообщения указан в уведомлении. Текст для отправки второго смс сообщения будет указан в ответном смс сообщении к первому смс сообщению.
Уведомление будет отображаться до тех пор, пока Пользователь не произведет оплату в соответствии с инструкцией расположенной в окне уведомления.
В течении тридцати дней с момента произведения Пользователем оплаты программное обеспечении позволяет осуществлять просмотр видео роликов, на тех и только тех веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение.
По истечению тридцати дней с момента оплаты программное обеспечение не будет позволять осуществлять просмотр видео роликов.
По истечению тридцати дней с момента оплаты, для получения возможности просматривать видео ролики на веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение, Пользователю необходимо повторно установить настоящее программное обеспечение, предварительно удалив предыдущий экземпляр программного обеспечения.
Программное обеспечение позволяет осуществить просмотр видео роликов только на том компьютере и той операционной системе на которых оно было установлено.
Не гарантируется работоспособность программного обеспечения в случае, если после его установки производилась переустановка операционной системы, изменение характеристик компьютера или других действий влияющих на ресурсы, необходимые для корректной работы программного обеспечения.
Пользователь подтверждает свое безоговорочное согласие со всеми условиями, изложенными в настоящем Пользовательском соглашени с момента установки программного обеспечения.
В случае если качество оказываемой Вам услуги Вас не устраивает, Вы можете отказаться от нее по телефону 8 (800) 333-33-71.
Перед использованием программного обеспечения, пожалуйста, ознакомьтесь с условиями настоящего пользовательского соглашения.
Пользователь вправе использовать программное обеспечение на условиях, определенных настоящим Пользовательским соглашением. Любое использование программного обеспечения означает полное и безоговорочное принятие условий описанных в настоящем пользовательском соглашении.
Пользователю запрещается:
- Вносить любые изменения в программное обеспечение.
- Передавать программное обеспечение третьим лицам.
- Использовать программное обеспечения с целью получения коммерческой выгоды.
Тестирование программного обеспечения производилось для операционных систем:
- Microsoft Windows XP (SP1, SP2, SP3, SP4)
- Microsoft Windows Vista ( SP1, SP2, SP3)
- Microsoft Windows 7
В случае, если программное обеспечение установлено на операционную систему, для которой не производилось тестирование, работоспособность программного обеспечения не гарантируется. В том числе работоспособность программного обеспечения не гарантируется в случае установки на эмуляторы указанных ранее операционных систем.
После установки программное обеспечение будет автоматически запускаться вместе с запуском операционной системы.
Программное обеспечение позволяет осуществить просмотр видео роликов, на тех и только тех веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение.
Установленное программное обеспечение позволяет осуществлять просмотр видео роликов в течении часа с момента установки на безвозмездной основе, и не оповещая пользователя о необходимости произведения оплаты.
По истечении часа с момента установки программного обеспечения, Пользователь будет уведомлен о необходимости произведения оплаты.
Уведомление пользователя происходит в виде отображения окна, содержащего напоминание о необходимости оплаты и всех необходимых для оплаты данных.
Оплата производится путем отправки двух смс сообщений на номер 9691. Стоимость одного смс сообщения на номер 9691 состовляет от 170 до 310 рублей, точную стоимость можно узнать у оператора. Текст для отправки первого смс сообщения указан в уведомлении. Текст для отправки второго смс сообщения будет указан в ответном смс сообщении к первому смс сообщению.
Уведомление будет отображаться до тех пор, пока Пользователь не произведет оплату в соответствии с инструкцией расположенной в окне уведомления.
В течении тридцати дней с момента произведения Пользователем оплаты программное обеспечении позволяет осуществлять просмотр видео роликов, на тех и только тех веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение.
По истечению тридцати дней с момента оплаты программное обеспечение не будет позволять осуществлять просмотр видео роликов.
По истечению тридцати дней с момента оплаты, для получения возможности просматривать видео ролики на веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение, Пользователю необходимо повторно установить настоящее программное обеспечение, предварительно удалив предыдущий экземпляр программного обеспечения.
Программное обеспечение позволяет осуществить просмотр видео роликов только на том компьютере и той операционной системе на которых оно было установлено.
Не гарантируется работоспособность программного обеспечения в случае, если после его установки производилась переустановка операционной системы, изменение характеристик компьютера или других действий влияющих на ресурсы, необходимые для корректной работы программного обеспечения.
Пользователь подтверждает свое безоговорочное согласие со всеми условиями, изложенными в настоящем Пользовательском соглашени с момента установки программного обеспечения.
В случае если качество оказываемой Вам услуги Вас не устраивает, Вы можете отказаться от нее по телефону 8 (800) 333-33-71.
з.ы. забыл сказать, диспетчер задачь ещё блокируется после активиции указанной бяки.
█ 11.02.2010 14:47
Хех...
Цитата:
olegon@oops /home/ftp/exchange $ bdc --list --files *.exe
BDC/Linux-Console v7.1 (build 2559) (i386) (Jul 6 2005 16:28:53)
Copyright (C) 1996-2004 SOFTWIN SRL. All rights reserved.
/home/ftp/exchange/userhhqs.exe ok
BDC/Linux-Console v7.1 (build 2559) (i386) (Jul 6 2005 16:28:53)
Copyright (C) 1996-2004 SOFTWIN SRL. All rights reserved.
/home/ftp/exchange/userhhqs.exe ok
Цитата:
oops exchange # fpscan -s 4 -u 4 --adware *.exe
F-PROT Antivirus version 6.2.1.4252 (built: 2008-04-28T16-56-20)
FRISK Software International (C) Copyright 1989-2007
Engine version: 4.4.4.56
Virus signatures: 2010021100293098c54da5851b45681e7896ab4317c9
(/opt/f-prot/antivir.def)
Scanning: /
Results:
Files: 1
Skipped files: 0
MBR/boot sectors checked: 0
Objects scanned: 1
Infected objects: 0
Files with errors: 0
Disinfected: 0
Running time: 00:00
F-PROT Antivirus version 6.2.1.4252 (built: 2008-04-28T16-56-20)
FRISK Software International (C) Copyright 1989-2007
Engine version: 4.4.4.56
Virus signatures: 2010021100293098c54da5851b45681e7896ab4317c9
(/opt/f-prot/antivir.def)
Scanning: /
Results:
Files: 1
Skipped files: 0
MBR/boot sectors checked: 0
Objects scanned: 1
Infected objects: 0
Files with errors: 0
Disinfected: 0
Running time: 00:00
Цитата:
oops exchange # clamscan --detect-pua=yes *.exe
userhhqs.exe: OK
----------- SCAN SUMMARY -----------
Known viruses: 713105
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.18 MB
Data read: 0.16 MB (ratio 1.07:1)
Time: 1.469 sec (0 m 1 s)
userhhqs.exe: OK
----------- SCAN SUMMARY -----------
Known viruses: 713105
Engine version: 0.95.3
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.18 MB
Data read: 0.16 MB (ratio 1.07:1)
Time: 1.469 sec (0 m 1 s)
█ 11.02.2010 14:50
Ловит только NOD... Опять зауважал...
█ 11.02.2010 15:03
Цитата:
опять же, возникает резонный вопрос, а обычная версия НОДа поймает эту бяку? одно дело антивирусный сканер и совсем другое антивирусный монитор. OlegON ➤ Ловит только NOD...
| Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 21 сообщение(ий)): У вас нет прав чтобы видеть скрытый текст, содержащийся здесь. |
█ 11.02.2010 15:15
закрыт доступ не нестандартные порты... хотел проверить макафи
перевыложите куда-нито, а?
перевыложите куда-нито, а?
█ 11.02.2010 15:27
| Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 21 сообщение(ий)): У вас нет прав чтобы видеть скрытый текст, содержащийся здесь. |
█ 11.02.2010 15:56
Nod32 древняя версия 2.7, сегодняшние базы - ловит.
█ 11.02.2010 16:03
Цитата:
респект и уважуха НОДу за это. интересно, если отписаться касперу на тему этой бяки, как скоро они добавят соответствующие сигнатуры в свои базы? может, проверим, ради эксперимента? правда, я уже одним глазом сплю.. vdm ➤ Nod32 древняя версия 2.7, сегодняшние базы - ловит.
█ 11.02.2010 16:14
отправил бяку касперу, посмотрим на реакцию..
█ 11.02.2010 16:35
макафи не ловит... вообще хитрая бяка... держит в памяти 2 копии. одну грохаешь, вторая снова запускает еще один процесс... + меняет ип-адрес на какой-то левый. соответственно сетка не доступна. минут 5 парился прежде чем догадался адрес проверить...
Часовой пояс GMT +3, время: 17:44.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.