Software

[kamat0z]

Появился троян, уничтожающий пользовательские файлы

08 июня 2009 года, 13:15 | Текст: Владимир Парамонов | Послушать эту новость

Компания «Доктор Веб» предупреждает о появлении вредоносной программы, уничтожающей пользовательские данные.

По классификации «Доктора Веба», новый троян получил название KillFiles.904; признаки его активности были зафиксированы в первые дни текущего месяца. Попав на компьютер жертвы, вредоносная программа сканирует локальные и съемные накопители в порядке от Z до A. На найденном диске троян пытается удалить все папки и файлы, перебирая их названия по алфавиту. Если уничтожить файл не удается (к примеру, из-за его использования), KillFiles.904 делает его скрытым.

Особенность новой вредоносной программы заключается в том, что она не удаляет системные каталоги. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит работу.

Эксперты отмечают, что, в отличие от получивших в последнее время широкое распространение программ-вымогателей, KillFiles.904 не просит ничего перечислить и не пытается что-либо украсть. По всей видимости, троян разрабатывался с тем, чтобы нанести максимальный урон пользовательской информации.

Процедуры защиты от KillFiles.904 уже занесены в антивирусные базы данных продуктов «Доктора Веба».

источник: http://soft.compulenta.ru/431992/

[Zork]

В контакте с Trojan.Hosts.75

Компания «Доктор Веб» сообщает, что в начале июня 2009 года был обнаружен очередной троянец - Trojan.Hosts.75. Данная вредоносная программа принадлежит к семейству Trojan.Hosts и вымогает деньги у зараженных пользователей популярной социальной сети «ВКонтакте». На сегодняшний день насчитывается около сотни различных модификаций этой угрозы.

http://news.drweb.com/show/?i=366&c=9&p=0

[Zork]

Трояны под видом обновлений Microsoft :
http://www.antiviruspro.com/company/news/229/12916/

[Zork]

В принципе, такие ситуации нередки - авторы вирусов, спама, вредоносного программного обеспечения - постоянно пытаются обманом заставить пользователя установить их модуль в систему или же расстаться с кровно заработанными деньгами. Один из ярких примеров приводит "Лаборатория Касперского", имя которой использовали в качестве приманки авторы троянской программы, пытающейся "развести" пользователя на платное SMS-сообщение.



Данная вредоносная программа, получившая название Trojan-Ransom.Win32.SMSer, устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки заражённого компьютера. После перезагрузки, стартовав вместо explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени "Kaspersky Lab Antivirus Online" с требованием отправить платное SMS-сообщение для излечения системы. Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до "смены алгоритма шифрования обнаруженного вируса".

Тем, кто столкнулся с такой неприятной проблемой - "Лаборатория Касперского" предлагает инструкции по удалению вредоносной программы.

[Zork]

ЛК жжет!!!

[youtube]upbe5Cs6gZw&[/youtube]

Интересно, а реально ли Джеки защищён нашим продуктом?

[Zork]

Обнаружен вирус, заражающий Delphi-приложения на этапе разработки.

Лаборатория Касперского сообщила о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi.

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

[Zork]

Вышла новая версия антивирусной утилиты AVZ - 4.32.

Архив с утилитой содержит базу вирусов от 21.08.2009 237871 сигнатура, 2 нейропрофиля, 56 микропрограмм лечения, 374 микропрограмм эвристики, 9 микропрограмм ИПУ, 115 микропрограмм поиска и устранения проблем, 135522 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований.

Основные модификации:

[+++] Скриптовой язык: усовершенствована чистка системы, добавлен ряд новых команд (IsWow64, GetAttr, SetAttr, GetFileVersion, RegKeyResetSecurity ...)
[+++] Менеджер автозапуска - добавлен анализ ряда новых нестандартных методов автозапуска, поддержка этих методов соответственно распространяется на эвристическую чистку системы (LSA провайдеры, Perfomance DLL службы, DLL расширения службы, расширение службы EventLog)
[+++] XML протокол - выводимая в него информация значительно расширена, оптимизирвоана и стандартизирована под
автоматическую обработку (добавлен вывод данных визардов, антируткита, менеджера SPI)
[+++] Новый визард в мастере поиска и устранения проблема - "Очистка системы", предназначен для чистки мусора в системе (временных файлов, различных протоколов и кешей)
[++] Менеджер автозапуска - сканирование ключей автозапуска и папок автозапуска для всех учетных записей, с автоматическим удалением повторов
[++] Менеджер расширений IE - добавлена обработка новых типов расширений, улучшено удаление BHO из скрипта, расширена сохраняемая в XML информация
[++] Менеджер расширений Explorer - добавлена обработка новых типов расширений
[++] HTML протокол - добавлены новые интерактивные функции (удаление BHO, остановка процессов, удаление ключей автозапуска)
[++] Доработан менеджер портов TCP/UPD - добавлена поддержка Vista, W2K8, Windows 7
[++] Изменена идеология удаления файлов и ключей реестра. В случае неуспешного
удаления производится попытка сбросить привилегии доступа к объекту и повтор попытки удаления
[++] Исследование системы - добавлена поддержка расширенного исследования системы с записью данных в XML,
процедуры расширенного исследования хранятся в обновляемой базе данных
[++] Добавлена базовая поддержка Windows 7
[+] Карантин файлов - в описание файла добавлены данные о его атрибутах
[+] В менеджере поиска в реестре добавлена функция "Открыть в Regedit" (вызывается из меню по правой кнопки
для списка найденных ключей)
[+] Новый ключ командной строки AM=Y - блокиратор базовых путей опознания окна AVZ
[-] Скриптовой язык: Исправлена работа DeleteFileMask и DeleteService - удаленные файлы не попадали в список удаленных для чистки системы и задания BC
[-] Устранена нестыковка расширений карантина BC с INI файлом (DTA/DAT)
[-] Исправлена работа системы отката изменений в мастере поиска и устранения проблем
[-] Устранена ошибка экспорта дефолтных параметров реестра в функции скрипта ExpRegKey и в
различных системах AVZ, экспортирующих ключи реестра в REG файлы

В новой версии в два раза расширена база чистых файлов и создана специальная автономная система для пополнения базы чистых - http://virusinfo.info/index.php?page=cyberhelper (передать файлы в систему для устранения ложных срабатываний можно через форму http://virusinfo.info/index.php?page=uploadclean (инструкция и результаты загрузки - http://virusinfo.info/showthread.php?t=3519)

[Zork]

Сайт телеканала СТС распространял вирусы

"Лаборатория Касперского" обнаружила заражение доменов files.ctc-tv.ru и club.ctc-tv.ru, принадлежащих телеканалу СТС, несколькими вредоносными программами. При загрузке сайта активизируется скрипт, с помощью которого на ваш компьютер пытаются подсадить ряд "троянов" и сетевых червей (Backdoor.Win32.Goolbot.an, Packed.Win32.Krap.w, Packed.Win32.TDSS.z, Trojan.Win32.Pasmu.gd, Backdoor.Win32.Kbot.acm, Email-Worm.Win32.Gibon.de, P2P-Worm.Win32.Palevo.kjf).

[no✖name]

Привет,подскажите что делать вот с этим Win32:FakeAlert-FC [Trj],это очередной развод отправить смс,поймал его
при выключенном avast т.к. работал myAC.
Ситуация такакя стоит win7,после перезагрузки комп был заблокирован этой хренью.Перезагрузил в безопасном,
восстановил систему,с восстановления пропал весь софт установленный после точки восст.(это не важно),запустив avast в подозрительных папках загрузок нашел и удалил Win32:FakeAlert-FC [Trj].После была сделана очистка реестра.

В общем могла ли остаться эта хрень где нить еще,и в дальнейшем навредить??За раннее спасибо.

[Zork]

«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе - специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки. Если вы не знаете точное имя троянской программы, попробуйте найти похожий скриншот.
Внимание! Некоторые варианты вируса проявляются одинаково, так что, если указанный код разблокировки вам не подошел, попробуйте поискать похожие изображения.

[Zork]

"Лаборатория Касперского" и портал VirusInfo представляют бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер - http://virusinfo.info/deblocker/

[Zork]

Полезная программа для тех, у кого по той или иной причине на компьютер попал и этот самый компьютер заблокировал вирус, выдающий себя за фальшивую активацию Windows. Программа является сборником кодов, которые надо ввести в соответствующее окно, чтобы эту самую блокировку снять - а дальше либо поставить антивирус и почистить компьютер, либо любым другим способом удалить вредоносную программу. Ведет поиск по номеру SMS и требуемым к отправке текстом.



http://softget.net/freeware/projects/Ra ... omhide.exe - всегда свежая версия.

[Oleg77]

спасиба, Zork, за сайты по разблокировке винды. спас друга. . От него тоже спасибо

[Zork]

Многие знают полезный ресурс VirusTotal, позволяющий проверять файлы на наличие вирусов с помощью десятков различных антивирусных служб. Аналогичные услуги предоставляет еще один сайт - No Virus Thanks. И вот теперь создатели последнего сделали логичный шаг, предоставив еще один сервис - проверку веб-сайтов.

Пользователь просто вводит адрес сайта в форму ввода URLVoid, и через несколько секунд получает краткий отчет вместе с полным списком всех служб, которые использовались при проверке.



Развернутую характеристику по обнаруженному вредоносному коду можно посмотреть, нажав на увеличительное стекло рядом с названием сервиса.
Такая же функциональность есть у Доктор Веба: Link Checker для IE, Firefox, Thunderbird и Opera.
В ФФ реализовано в виде плагина, добавляющего пункт проверки ссылки в ее контекстное меню.

[Zork]

Вирус перекрывающий доступ к поисковикам

Вирус распространяется в основном на сайте http://golosavk2.ru/ в виде программы для бесплатного добавления голосов к аккуанту в известной социальной сети «ВКонтакте®». Зачастую на этот сайт люди заходят добровольно, но бывают исключения в виде битых ссылок на сторонних небезопасных сайтах: нажимая на ссылку нас с желаемого сайта переадресовывают на вышеупомянутый сайт,
Далее без ведома или какого-либо согласия или действия пользователя начинается загрузка приложения-вируса при случайном запуске которого начинается изменение файла HOSTS, тесть добавление вредоносного текста, который как раз и блокирует наш аккуант в поисковиках, а при попытке авторизации на социальной сети «ВКонтакте» выдает сообщение якобы от службы безопасности контакта с предупреждением (ваш аккуант взломали, отправьте 1 платное смс (21р. без НДС) для восстановления работоспособности аккуанта. Вероятно, даже после отправки смс вы не сможете войти в эту соц. сеть.

1) В папке C:\WINDOWS\system32\drivers\etc лежит файл hosts
2) Открываем в блокноте и удаляем лишние строки, т.е. все, кроме самых первых, где идет описание файла
3) Перезагружаем компьютер