Новый вирус на фотохостинге lostpic.net Опции

[Кантор]

ОЧЕНЬ ВАЖНО!

Если кто как и я пользовался этим хостингом и не имеет серьёзной антивирусной защиты срочно проведите проверку вашего компьютера КИС или если он у вас не установлен загрузитесь с любого ЛАЙВ СД и запустите - Антивирусная лечащая утилита AVPTool (около 100 Мб, производитель – «Лаборатория Касперского»)

А теперь какие действия надо произвести в первую очередь.

ну в кратце... ->тут

видео факты >>> ТУТ <<< (видео ~~11 метров так что ждем пока скачается...)

доковырял не до конца... времени на поспать нефига не остается...
на выходных наверно засяду дальше ковИрять...


в качестве временной меры... добавить в файл c:\Windows\System32\drivers\etc\hosts
строчки....


127.0.0.1 lostpic.net
127.0.0.1 korefun.net

на данный момент пролечено... что б не вляпаться пока вирмейкер не пронюхал

удаляем блок с хостов

Код

127.0.0.1   lostpic.net
127.0.0.1   korefun.net

добавляем эту шляпу))

Код

127.0.0.1   trafogonka.in

коротко о метОде быстрого удаления:

сохраняем все свои документы, закрываем все что было открыто... выключаем аськи, скайпы и прочее что в системе запущено...

нам понадобиться http://technet.microsoft.com/ru-ru/sysinternals/bb963902

запускаем AutoRuns, ждем пока он прочтет все записи и переходим во вкладку "Appinit"

Скрытый текст

внимательно рассматирваем все записи которые там имеются... обращаем особое внимание на файлы с расширением dll
заходим по указанным путям и находим указанные авторунсом файлы ...
если:
1 файл появился относительно недавно ~~ конец октября
2 его вес ~~40-60кб

то это скорее всего наш клиент)))

Скрытый текст

заходим снова в авторунс и снимаем галочку с нашего клиента))

перегружаемся... снова заходим в авторунс галочки напротив клиента стоять не должно))

Скрытый текст

скачиваем любой свежий антивирусный сканер (например ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) ... сканим систему - он покажет ск0ка еще зверья на ваших тачках))) ну за одно и причешет его

по поводу деструктивной активности этой "шляпы"... основываясь на косвенных данных могу предположить, что это нагон траффика на нужные сайты... конечному пользователю (если у него анлим) в принципе ничем не грозит... но это только предположение... дождемся ремЮзэ от авир аналитиков топовых антивирусников))

Скрытый текст

написала в лабораторию касперского, как уже не раз делала в подобных случаях, к сабжу приложила злополучный файл. да нужно было раньше, уже определили без меня, вот пришел ответ:
rmsfokb.dll - Trojan-Ransom.Win32.Cidox.gen
В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
С уважением, Лаборатория Касперского
"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700

Вот такая засада. Ну у себя я проверил вроде ничего нет. Слава КПСС КИС. Как бы его не хаяли а за 2 года активного юзания не словил ни одного зверька. А всё потому что стоит у меня он на максимальной параноидальности и подозрительности.

Если кому интересно историю обнаружения можно почитать по самой верхней ссылке в шапке.
С уважением Кантор. советую провериться всем и каждому. Мало ли где ещё есть эта дрянь.

[Di_3x]

Ты его случаем не рекламировал не давно?
все пользуются радикалом

[Кантор]

Ага. Но кто ж знал. Вирус там был от сторонней фирмы-партнера, чья реклама размещалась на их сайте. Щас всё почистили.

все пользуются радикалом

В топку радикал. И кто все? Самый неудобный пикхостинг после фастоглюка.

[Paagrio]

Я юзаю только piccy.info
PS: Радикал - гумно.

[Кантор]

Обновление от 15.11.2011. Человек, пожелавший остаться неизвестным, никнейм pork, в аське сообщил более полную и страшную правду о заражении. По его плачевному опыту удалось выяснить точную дату начала распространения - это 10 октября 2011 г. Также он заметил то, что уязвимость находилась в пиратской сборке ОС Windows, предположительно Zver поскольку у него стояла именно она. И только при просмотре сайта в браузере Opera. Причем фишинг наблюдался полный, Opera писала про заражение и рекомендовала поставить обновление от Microsoft. Так вирус влезал на компьютер жерты, сразу и без ведома пользователя перезагружал ПК, встраивался в автозагрузку. Друзья, все у кого сейчас стоит пираткая сборка и кто посещал наш сайт с 1 октября по 11 ноября, проверьте, пожалуйста, автозагрузку! Затем, pork запустил WM Keeper. Установленный KIS моментально заблокировал какой-то процесс, делающий запрос к хранилищю паролей, а также нашёл и удалил вирус. Для верности pork снёс сборку и поставил подлинную ОС Windows. И что примечательно, сайт притормаживал, но никакой вредосносный код уже не пролезал. Получаем следующее сочетание: Браузер Opera + пиратская сборка (Zver) = 100% заражение.

[АндрейР™]

Сижу я себе на своём маке и не парюсь. Как и всегда! ))))))

[кавайщик]

Вот поэтому следует юзать только чистые инсталлеры Win, а не говносборки.

[WoITeK]

А у меня фуряфокса. Авастом всё просканил - всё в норме.

[кавайщик]

А у меня фуряфокса. Авастом всё просканил - всё в норме.

Аваст - ерунда. Трояны толпами проходят мимо. Проверял.