Опять вирус

Апнем темку.
За последнюю неделю зафиксировано как минимум три попытки вирусной атаки на пользователей сервиса. Создаётся проект, в котором предлагается сделать перевод интерфейса, справки или лицензионного соглашения к некой программе. Программа предлагается тут же, в аттаче. Разумеется, после запуска этого файла никакая программа не запускается, о чём наивные люди даже отписываются в своей заявке в проекте. Первый отловленный экземпляр не определялся вообще никаким антивирем (по данным virustotal.com), даже эвристическими методами.

Хочу в очередной раз напомнить о крайней нежелательности запуска посторонних программ на своём компьютере - в данном случае это наилучший метод защиты.

По теме ссылка, в которую не успел. В частности, для Crist.
Вирустотал - это просто набор антивирей, со всеми их недостатками. И ловятся им только совсем уж бестолковые взломщики, не потрудившиеся проверить свой инструмент на неуловимость. Более-менее грамотные люди это обходят с лёгкостью - как вышеупомянутый зверь, который на момент обнаружения не детектился ничем.

Кстати удалось выяснить, что за угроза.

Trojan Faketask origin

voron_76, да ты чо! А я лох, живу и не знаю, все ехешники запускаю, если антивирусы не нашли ничего!

Цитата ("Crist"):

voron_76, да ты чо! А я лох, живу и не знаю, все ехешники запускаю, если антивирусы не нашли ничего!

Ты, может, и чо. А я встречаю дофига людей, которые искренне удивляются, когда их лицензионный и ежедневнообновляемый Доктор Веб (Касперский, Нод, Аваст, Нортон - по вкусу) почему-то пропускает вируса. Поэтому я бы поостерёгся на публичном форуме писать такое:

Цитата:

Пользуйтесь ссылка и будет счастье. Все полученное проверяю им и если 0/42 - то все в порядке наверняка)

Слишком уж часто в последнее время свежее зверьё не детектится вообще ничем.

voron_76, ну я писал это не про ехешники, пожалуй) какой дурак ваще станет запускать ехе из незнакомого источника? а вот какой-нибудь вордовский файл не мешало бы проверить тоталом перед открытием )

и вообще, надо работать всегда под юзером с ограниченными правами, а не админом + антивирус не панацея, без фаервола что есть он что нет. Вот это был бы дельный совет)

Цитата ("Crist"):

а вот какой-нибудь вордовский файл не мешало бы проверить тоталом перед открытием

Зачем? Может проще включить повышенную безопасность в офисе, когда не запускаются скрипты или открывать в ООо, где скрипты на VBA вообще не работают

Цитата ("Crist"):

какой дурак ваще станет запускать ехе из незнакомого источника?

Тот, который послушает вашего доброго совета, процитированного выше.

Цитата ("Crist"):

надо работать всегда под юзером с ограниченными правами

И что? Если говорить А, то сразу и Б. Например, почему промолчали про включенный UAC?

Цитата ("Crist"):

антивирус не панацея, без фаервола что есть он что нет

И с файерволом тоже всякое бывает. Не всякая опасность ловится файерволом, и если пользователь запускает какой-то экзешник в полной уверенности его правильности, то на запрос файервола может автоматом ответить "разрешить"

Самое мощное оружие против зловреда - мозги пользователя. Если их нет, то никакие технические ухищрения не помогут.

Цитата ("shapod"):

И с файерволом тоже всякое бывает. Не всякая опасность ловится файерволом, и если пользователь запускает какой-то экзешник в полной уверенности его правильности, то на запрос файервола может автоматом ответить "разрешить"

Особливо если на форуме написано - "это кейген, который файрволом блочится, посему отключайте файрвол, когда запускать будИтИ"

Ну вот и я попалась, по дурости(( Пришло письмо со знакомым именем какбе, там ссылка на "посмотреть сообщение", я на автомате и тыркнула. Тут же поняла, что попала - открылась весьма странная страничка с какой-то загрузкой. Ну, тут же выскочила оттуда, перегрузила комп, а вот.. поздно, Клава, пить нарзан..
Сейчас при каждом переходе на любую страницу в инете выбрасывается окошко о незащищенном соединении: (и сайт, на котором надо было войти в личный кабинет, ругнулся тем же и не пустил автоматом)
Вот текст, в котором мне дико не нравится слово wmtransfer (ну понятно, по какой причине(((

Advisordb.wmtransfer.com:443 использует недействительній сертификат безопасности.
Сертификат еще не действителен. Он станет действителен с 13.04.2010
Код ошибки sec_error_expired_certificate
Это может быть проблемой с конфигурацией сервера или кто-то же пытается подменить нужный вам сервер другим
Просмотреть Отказаться

чистка на вирусы вчера многократная (нодом) ничего не дала, отловил немного, конечно, но теперь показывает, что все чисто, а окошко все равно выбрасывается.
Помогите, пож., глупому девушко.. Где искать заразу? В кипер боюсь и заходить((

Цитата ("jab"):

Помогите, пож., глупому девушко.. Где искать заразу? В кипер боюсь и заходить((

Посмотрите вот этот файл:
C:\WINDOWS\system32\drivers\etc\hosts
В нём должно быть только это:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

#

# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.

#

# Этот файл содержит сопоставления IP-адресов именам узлов.

# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен

# находиться в первом столбце, за ним должно следовать соответствующее имя.

# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

#

# Кроме того, в некоторых строках могут быть вставлены комментарии 

# (такие, как эта строка), они должны следовать за именем узла и отделяться

# от него символом '#'.

#

# Например:

#

#      102.54.94.97     rhino.acme.com          # исходный сервер

#       38.25.63.10     x.acme.com              # узел клиента x


127.0.0.1       localhost

Если есть что-то ещё, киньте содержимое этого файла сюда.

Жаль, что здесь нельзя прицепить что-то кроме картинки. У меня есть маленькая программка как раз для редактирования подобных файлов.

Цитата ("elosoft"):

Жаль, что здесь нельзя прицепить что-то кроме картинки. У меня есть маленькая программка как раз для редактирования подобных файлов.

У всех есть. Блокнот называется.

Цитата ("voron_76"):

Цитата ("jab"):

Помогите, пож., глупому девушко.. Где искать заразу? В кипер боюсь и заходить((

Посмотрите вот этот файл:
C:\WINDOWS\system32\drivers\etc\hosts
В нём должно быть только это:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

#

# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.

#

# Этот файл содержит сопоставления IP-адресов именам узлов.

# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен

# находиться в первом столбце, за ним должно следовать соответствующее имя.

# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

#

# Кроме того, в некоторых строках могут быть вставлены комментарии 

# (такие, как эта строка), они должны следовать за именем узла и отделяться

# от него символом '#'.

#

# Например:

#

#      102.54.94.97     rhino.acme.com          # исходный сервер

#       38.25.63.10     x.acme.com              # узел клиента x


127.0.0.1       localhost

Если есть что-то ещё, киньте содержимое этого файла сюда.

voron_76, спасибо. Папку etc открыла блокнотом, потому что другим она не открывалась: в ней тот же текст, который вы указали. Может, надо как-то по-другому смотреть? Чем ее открывать?

Цитата ("voron_76"):

У всех есть. Блокнот называется.

Так-то оно так, только знаете сколько вопросов задают по этому поводу: как попасть в системную папку, как найти системный файл, как открыть файл без расширения, как пользоваться меню "Открыть с помощью...". Хотя я писал конечно не для этого. Мне этот файл часто приходится менять и проверять и чтобы по папкам не лазить я потратил 15 минут для программки.

Цитата ("jab"):

Папку etc открыла блокнотом, потому что другим она не открывалась: в ней тот же текст, который вы указали. Может, надо как-то по-другому смотреть? Чем ее открывать?

Папку etc или файл hosts? Текст должен быть в файле hosts, который находится в папке etc. Если же блокнотом папка etc открывается как файл, то это значит, что зверь что-то накрутил с ней.

Хелп! Продолжение банкета: не могу ни на один сайт зайти в личный кабинет - все ругаются, пишут о неподтвержденном сертификате (стандартная форма с предупреждением). Т.е. зараза на месте, пароли воровать хочет, насколько я понимаю.

Цитата ("voron_76"):

Цитата ("jab"):

Папку etc открыла блокнотом, потому что другим она не открывалась: в ней тот же текст, который вы указали. Может, надо как-то по-другому смотреть? Чем ее открывать?

Папку etc или файл hosts? Текст должен быть в файле hosts, который находится в папке etc. Если же блокнотом папка etc открывается как файл, то это значит, что зверь что-то накрутил с ней.

Ошиблась, все правильно, текст в файле hosts. Содержание файла один в один как в Вашем примере.

Цитата ("jab"):

Цитата ("voron_76"):

Цитата ("jab"):

Папку etc открыла блокнотом, потому что другим она не открывалась: в ней тот же текст, который вы указали. Может, надо как-то по-другому смотреть? Чем ее открывать?

Папку etc или файл hosts? Текст должен быть в файле hosts, который находится в папке etc. Если же блокнотом папка etc открывается как файл, то это значит, что зверь что-то накрутил с ней.

Ошиблась, все правильно, текст в файле hosts. Содержание файла один в один как в Вашем примере.

Значит, возможно, что это активный троян. Зовите спеца.

Привет всем. Давно не виделись.

Столкнулся с проблемкой - вдруг перестал запускаться Webmoney Keeper Classic 3.9.2.1. После нажатия на ярлык идет вроде бы как загрузка, а потом ничего - ни окна программы, ни в запущенных процессах его нет (только агент вебмани, который запускается еще при загрузке ОС, который в трее, как должно быть, тоже не появляется). Что ни делал - ничего не помогло, ни обновление до последней версии, ни переустановка с полным удалением всех папок кипера с чисткой реестра, ни запуск в защищенном режиме... Сталкиваюсь с таким поведением кипера впервые, ни один совет из интернета пока не помог, служба поддержки Вебмани не знает в чем дело.

Подозреваю, что затесался троян, т.к. компьютером после праздников пользовалась в основном семейка...
Всю систему прошерстил на наличие вирусов - все чисто. Ручками пока не ковырялся - времени не хватает. Может быть кто сталкивался уже?

PS Сейчас нашел по этой теме кое-какую информацию ссылка
Пока не пробовал еще...

Цитата ("owlteam"):

Столкнулся с проблемкой - вдруг перестал запускаться Webmoney Keeper Classic 3.9.2.1. После нажатия на ярлык идет вроде бы как загрузка, а потом ничего - ни окна программы, ни в запущенных процессах его нет (только агент вебмани, который запускается еще при загрузке ОС, который в трее, как должно быть, тоже не появляется). Что ни делал - ничего не помогло, ни обновление до последней версии, ни переустановка с полным удалением всех папок кипера с чисткой реестра, ни запуск в защищенном режиме... Сталкиваюсь с таким поведением кипера впервые, ни один совет из интернета пока не помог, служба поддержки Вебмани не знает в чем дело.

Посмотрите в системных событиях, что происходит в момент запуска Кипера. Может, это что-то даст.

Цитата:

PS Сейчас нашел по этой теме кое-какую информацию ]http://support.kaspersky.ru/faq?qid=208636281

Маловероятно. Тут, скорее, речь идёт о краже реквизитов к банковским картам.