Версия для печати темы

Нажмите сюда для просмотра этой темы в обычном формате

Манга и Аниме Форум _ Хард и Софт _ Новый вирус на фотохостинге lostpic.net

Автор: Кантор 12.11.2011, 7:30

ОЧЕНЬ ВАЖНО!

Если кто как и я пользовался этим хостингом и не имеет серьёзной антивирусной защиты срочно проведите проверку вашего компьютера КИС или если он у вас не установлен загрузитесь с любого ЛАЙВ СД и запустите http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

А теперь какие действия надо произвести в первую очередь.

Цитата

ну в кратце... ->http://meh.no-ip.org/forum/index.php?/topic/19-%d0%bd%d0%be%d0%b2%d1%8b%d0%b9-%d0%b2%d0%b8%d1%80%d1%83%d1%81-%d0%bd%d0%b0-%d1%84%d0%be%d1%82%d0%be%d1%85%d0%be%d1%81%d1%82%d0%b8%d0%bd%d0%b3%d0%b5-lostpicnet/

видео факты http://mkey.no-ip.info/files/achtung/lostpic.net/vir%20%D0%BD%D0%B0%20lostpic2.html (видео ~~11 метров так что ждем пока скачается...)

доковырял не до конца... времени на поспать нефига не остается...
на выходных наверно засяду дальше ковИрять...

в качестве временной меры... добавить в файл c:\Windows\System32\drivers\etc\hosts
строчки....

127.0.0.1 lostpic.net
127.0.0.1 korefun.net

Цитата

на данный момент пролечено... что б не вляпаться пока вирмейкер не пронюхал

удаляем блок с хостов

Код

127.0.0.1 lostpic.net
127.0.0.1 korefun.net

добавляем эту шляпу))

Код

127.0.0.1 trafogonka.in

Цитата

коротко о метОде быстрого удаления:

сохраняем все свои документы, закрываем все что было открыто... выключаем аськи, скайпы и прочее что в системе запущено...

нам понадобиться http://technet.microsoft.com/ru-ru/sysinternals/bb963902

запускаем AutoRuns, ждем пока он прочтет все записи и переходим во вкладку "Appinit"

Скрытый текст

внимательно рассматирваем все записи которые там имеются... обращаем особое внимание на файлы с расширением dll
заходим по указанным путям и находим указанные авторунсом файлы ...
если:
1 файл появился относительно недавно ~~ конец октября
2 его вес ~~40-60кб

то это скорее всего наш клиент)))

Скрытый текст

заходим снова в авторунс и снимаем галочку с нашего клиента))

перегружаемся... снова заходим в авторунс галочки напротив клиента стоять не должно))

Скрытый текст

скачиваем любой свежий антивирусный сканер (например ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) ... сканим систему - он покажет ск0ка еще зверья на ваших тачках))) ну за одно и причешет его

по поводу деструктивной активности этой "шляпы"... основываясь на косвенных данных могу предположить, что это нагон траффика на нужные сайты... конечному пользователю (если у него анлим) в принципе ничем не грозит... но это только предположение... дождемся ремЮзэ от авир аналитиков топовых антивирусников))

Скрытый текст

Цитата

написала в лабораторию касперского, как уже не раз делала в подобных случаях, к сабжу приложила злополучный файл. да нужно было раньше, уже определили без меня, вот пришел ответ:
rmsfokb.dll - Trojan-Ransom.Win32.Cidox.gen
В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
С уважением, Лаборатория Касперского
"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700

Вот такая засада. Ну у себя я проверил вроде ничего нет. Слава ~~КПСС~~ КИС. Как бы его не хаяли а за 2 года активного юзания не словил ни одного зверька. А всё потому что стоит у меня он на максимальной параноидальности и подозрительности.

Если кому интересно историю обнаружения можно почитать по самой верхней ссылке в шапке.
С уважением Кантор. советую провериться всем и каждому. Мало ли где ещё есть эта дрянь.

Автор: Di_3x 12.11.2011, 8:28

Ты его случаем не рекламировал не давно?
все пользуются радикалом

Автор: Кантор 12.11.2011, 9:26

Ага. Но кто ж знал. Вирус там был от сторонней фирмы-партнера, чья реклама размещалась на их сайте. Щас всё почистили.

Цитата(Di_3x @ 12.11.2011, 12:28)

все пользуются радикалом

В топку радикал.

И кто все? Самый неудобный пикхостинг после фастоглюка.

Автор: Paagrio 13.11.2011, 21:17

Я юзаю только piccy.info
PS: Радикал - гумно.

Автор: Кантор 15.11.2011, 16:41

Цитата

Обновление от 15.11.2011. Человек, пожелавший остаться неизвестным, никнейм pork, в аське сообщил более полную и страшную правду о заражении. По его плачевному опыту удалось выяснить точную дату начала распространения - это 10 октября 2011 г. Также он заметил то, что уязвимость находилась в пиратской сборке ОС Windows, предположительно Zver поскольку у него стояла именно она. И только при просмотре сайта в браузере Opera. Причем фишинг наблюдался полный, Opera писала про заражение и рекомендовала поставить обновление от Microsoft. Так вирус влезал на компьютер жерты, сразу и без ведома пользователя перезагружал ПК, встраивался в автозагрузку. Друзья, все у кого сейчас стоит пираткая сборка и кто посещал наш сайт с 1 октября по 11 ноября, проверьте, пожалуйста, автозагрузку! Затем, pork запустил WM Keeper. Установленный KIS моментально заблокировал какой-то процесс, делающий запрос к хранилищю паролей, а также нашёл и удалил вирус. Для верности pork снёс сборку и поставил подлинную ОС Windows. И что примечательно, сайт притормаживал, но никакой вредосносный код уже не пролезал. Получаем следующее сочетание: Браузер Opera + пиратская сборка (Zver) = 100% заражение.

Автор: АндрейР 15.11.2011, 19:41

Сижу я себе на своём маке и не парюсь. Как и всегда! ))))))

Автор: кавайщик 16.11.2011, 6:44

Вот поэтому следует юзать только чистые инсталлеры Win, а не ~~говно~~сборки.

Автор: WoITeK 16.11.2011, 7:30

А у меня фуряфокса. Авастом всё просканил - всё в норме.

Автор: кавайщик 16.11.2011, 7:34

Цитата(WoITeK @ 16.11.2011, 12:30)

А у меня фуряфокса.

Авастом всё просканил - всё в норме.

Аваст - ерунда. Трояны толпами проходят мимо. Проверял.

Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)