«Здравствуйте, я молдавский вирус»

on Фев 02 in Общие темы

«Здравствуйте, я молдавский вирус»

Притча:

«Здравствуйте, я молдавский вирус.

По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру.  Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество.»

А теперь перейдем к нашим баранам.

Сегодня по почте получил письмецо следующего содержания:

«Добрый день.
Веб дизайн студия «INTINITY» объявляет набор внештатных сотрудников
по специальностям :
дизайнеры, верстальщики,
переводчики иностранных языков,
копирайтеры, рерайтеры,
фотографы, художники (знание photoshop)
так же приглашаем к сотрудничеству агенства и студии
мы гарантируем достойную плату за вашу работу,
задание можно скачать тут ; http://narod.ru/disk/############.html
наш сайт www.intinity.org
Design Studio «INTINITY»»

Понял что что-то тут не чисто, но решил закачать файлик с ТЗ. Скачал, проверил Антивирусом Касперского – ничего. Распаковал архив, прогнал антивирусом – ничего.  Открываю папочку и вот что я вижу:

Согласитесь картина странная. Текстовый документ на 661 Кбайт, и ярлык. Если мне память не изменяет, то в 661 Килобайт влезет целая книга. Что там можно было за соглашение придумать? )

Открываю я свойства ярлыка, и что я вижу там:

Попался, ясно что код из файла идет на исполнение. А что же в текстовом  файлике?

Больше всего повеселила строчка «This program must be run under Win32».

Итог: не доверяйте незнакомым письмам и вложениям, а то может быть мучительно больно.

P.S. Если будет свободное время под виртуальной машиной опробую этот вирусняк )

Comments

  1. Alex Zaitsev

    Фев 2nd, 2010

    Я только что на эту удочку попался – постоянно ТЗ по почте получаю, даже и не подумал. :(
    Чего ожидать и как оно лечится? Avast как молчал, так и молчит.

  2. admin

    Фев 2nd, 2010

    По поводу лечения надо гуглить. Я еще не пробовал под виртуалкой его запускать.

    По сути исполняется файл самим пользователем. на хабре писали что троян. Касперский его тоже не засек.

  3. Nikius

    Фев 4th, 2010

    Вот что пишут на веблансе по поводу удаления этого вируса:

    Если Вы всё-таки запустили файл трояна, то избавиться от него достаточно просто.
    1. Перезагружаете компьютер кнопкой Reset (обязательно. В противном случае зловред сядет в автозагрузку). Вообще, возьмите за правило: при любом подозрении на вторжение сразу жать Reset. Это не очень полезно для системы, но во многих случаях помогает избежать заражения или ещё более тяжёлых последствий.
    2. После перезагрузки проверьте автозагрузку: Пуск – Программы – Автозагрузка. Если там есть запись «wmagent» – удаляйте её (правая кнопка мыши – Удалить) и снова перегружайтесь кнопкой Reset. Но её там быть не должно – похоже, зловред садится туда при нормальном завершении работы системы.
    3. Если после перезагрузки автозагрузка чистая, качайте бесплатную лечащую утилиту от Доктора Веба: http://freedrweb.com/cureit/, запускайте и ставьте полное тестирование диска С:. Нынешняя версия обнаруживает и вычищает все копии зловреда.
    4. После окончания работы утилиты вручную почистите временную папку Windows (обычно она находится по адресу C:\Document and Settings\\Local Settings\Temp. Для этого необходимо включить отображение скрытых файлов). Файлы, остающиеся там, скорее всего, безвредны, но на всякий случай…

    Замечание. Перезагрузка обязательна: активного зловреда CureIt из памяти не вычищает.

  4. admin

    Фев 5th, 2010

    Спасибо за пост с описанием процедуры лечения.

    Сегодня вечером буду делать видеозапись как вирь работает, короче под виртуальной машиной буду его запускать. Так что скоро будет новый пост )

Trackbacks and Pingbacks

Leave a Comment


Spam protection by WP Captcha-Free