Среда, 2024-12-04, 8:22 AM
 
Начало Форум Регистрация Вход
Вы вошли как Mangryang
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: _l_BOO_l_  
ВНИМАНИЕ - ОПАСНЫЙ ВИРУС!!!
MOKCДата: Понедельник, 2007-07-09, 5:06 PM | Сообщение # 1
HAGAKURE
Группа: Union Member
Сообщений: 1334
Статус: Offline
Вот-с, увидел на сайте своего провайдера ссылку на тему про вирус Уж незнаю правда или нет, но думаю, что сообщить об этом всё же надо.

Цитата:

"Этот вирус никаким файрволом и никакой проактивной защитой не определяется.
Приходит письмо следующего содержания:
Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: Вася Пупкин. Открытка ждёт Вас по адресу: http://Scrensaverscard.narod.ru/эту_...ер/SCardDR.scr Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.
Отправитель - ваш друг, адреса берутся из МАгента.
На деле файл не скринсейвер, а просто самораспаковывающийся зип-архив, который молча извлекается в папку Windows и запускает на выполнение по-очереди 4 скрипта VBScript. Скрипты слегка закодированы, весь код прописан в виде символьных констант вида "chr(79)" (первый скрипт начинается символами "a=chr(79)&chr(110)&chr(32)&chr(69)&chr(114)&chr(1 14)"), т.е. нечитаем напрямую. Скрипты рассылают копии вашим друзьям, прописывают файл one.exe в автозапуск (файл в папке Windows). Далее они рекурсивно на всех дисках заменяют файлы форматов mp3, avi, ogg, mpg, vob, wmv, wma, aac, aif, aiff, amr, wav и wave на первый прикрепленный к посту файл, файлы jpg, bmp, gif и png - на второй, и txt, xls, doc, htm и xl - на третий. При работе используется файл C:\DR.dr. Также вирус в реестре записывает параметры для блокировки диспетчера задач и редактора реестра. В любом случае, писали это откровенные сволочи и извращенцы, но, как оказалось, операционная система и средства защиты ничего подозрительного не заметили."

Инфа:

Вирусяга сидит в файле ScardDR.scr. Грохните его и файл one.exe.
Выгрузите из памяти wscript.exe.
Снесите все файлы с расширением .dr и файл dr.vbs (валяются в корне Cdry). Найдите файлы 01.vbs, 02.vbs, 03.vbs - и их туда же. И еще. Удалите ключ из реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\block - путь к one.exe.

Так-же антивирус Outpost может ругаться на попытку изменения файла wscript.exe из System32.

Вот.


Всё будет хорошо!

ps. да просто обязано!



Сообщение отредактировал MOKC - Понедельник, 2007-07-09, 6:33 PM
 
matchinaДата: Понедельник, 2007-07-09, 5:14 PM | Сообщение # 2
Basteon_RUS
Группа: Модераторы
Сообщений: 1497
Статус: Offline
Спасибо Макс.
Предупреждён - значит вооружён )


 
3eHuToBeuДата: Понедельник, 2007-07-09, 5:31 PM | Сообщение # 3
ZENIT_SP_RUS
Группа: Проверенный
Сообщений: 860
Статус: Offline
Жёсткая штука, спасиба за предупреждение! = )


 
daiver13Дата: Понедельник, 2007-07-09, 9:19 PM | Сообщение # 4
NightArchers
Группа: Union Member
Сообщений: 978
Статус: Offline
Слыхал уже про этот вирус...вот ток не помню где,и по какому поводу.
 
  • Страница 1 из 1
  • 1
Поиск: