Дата: Понедельник, 20.09.2010, 20:30 | Сообщение # 1
Генерал-майор
Группа: Администраторы
Сообщений: 298
Статус: Выкл...
На прошлой неделе через социальную сеть «ВКонтакте» под видом нового приложения, изменяющего тему оформления персональной странички, начал распространяться троянец, модифицирующий на зараженном компьютере файл hosts ОС Widows. Чтобы при открытии файла hosts данные, добавленные троянцем, не были видны сразу, они записаны в конец файла после пустой незаполненной области, получившейся в результате перевода строк. В измененном файле hosts прописано около 100 наиболее популярных у российских пользователей сайтов.
При попытке пользователя зараженного компьютера выйти на любой из этих сайтов (кроме vkontakte.ru), он перенаправляется на сервер, который выводит в браузере следующее сообщение, оформленное в стиле Web-антивируса ЛК:
Недавно Дмитрий Бестужев в своем блогпосте рассказал о фальшивом антивирусе с похожим на продукт «Лаборатории Касперского» оформлением. Как видим, интерфейс антивирусных решений используется злоумышленниками не только для распространения лже-антивирусов. В данном случае сообщение, очень похожее на сообщение KIS, используется, чтобы, не вызвав подозрений у пользователя, отослать его к поддельному сайту vkontakte.ru. При попытке пользователя зайти на сайт vkontakte.ru, он перенаправляется на фальшивую главную страницу социальной сети. Расположена она на том же сервере, который выдает фальшивое сообщение KIS. Введенные логин и пароль отправляются злоумышленникам, после чего сервер возвращает информацию о якобы заблокированной странице пользователя — в связи с рассылкой с данного компьютера спам-сообщений. Для предоставления доступа к сайту пользователю предлагается отправить SMS на короткий номер:
Многие пострадавшие пытаются самостоятельно справиться с проблемой и ищут помощи на форумах, где им советуют в первую очередь найти и проверить файл hosts. Этот файл троянец делает скрытым, но в той же папке создает файл hosts.txt, видимый пользователям. Текст, который в нем содержится, мошенники явно адресовали своим жертвам:
Если пользователь попадется на удочку мошенников и отправит платную SMS (цена которой, по свидетельству пострадавших, превышает указанные 100 руб.), полученный им код активации никак не изменит ситуацию: hosts файл на компьютерах жертв невозможно вернуть к исходному состоянию со стороны сервера. Данный троянец детектируется «Лабораторией Касперского» как Trojan.Win32.Qhost.ncw и представляет собой .NET-приложение. Источник
А мне то что делать??? Вышла у меня эта... *****, не могу теперь зайти на Маил, Яндекс, рамблер, ВКонтакт! Что делать, может кто-нибудь поделиться? <3 gJIuHy
Первое - комп надо вылечить. Любым хорошим антивирусом. Например можно использовать DrWebCureIt
Если троян уже прибит, а проблема осталась, тогда надо вручную поправить файл hosts. Найдите этот файл поиски и в текстовом редакторе удалите строки, содержащие имена заблокированных сайтов
хм, странно... Открываю hosts, а там пусто... до этого мне Wampir посоветовал удалить все записи, но там была толь одна "лучше отправьте смс и не мучайтесь и т.п." Я все там удалил, и сохранил, поэтому сейчас там пусто... <3 gJIuHy
Многие пострадавшие пытаются самостоятельно справиться с проблемой и ищут помощи на форумах, где им советуют в первую очередь найти и проверить файл hosts. Этот файл троянец делает скрытым, но в той же папке создает файл hosts.txt, видимый пользователям. Текст, который в нем содержится, мошенники явно адресовали своим жертвам:
Отсюда вывод - найдите СКРЫТЫЙ файл с именем hosts и очистите его. Чтоб увидеть скрытые файлы, надо включить опцию "Отображать скрытые файлы" в используемом файловом редакторе. В TotalComander это в Настройках - Экран Я в джаббере - mukasov@gmail.com
Можно и удалить Лучше переместить его куда-нибудь А открывать можно любым текстовым редактором. Хоть Блокнотом. В TotalCommander можно открыть и отредактировать по F4 Я в джаббере - mukasov@gmail.com
На мой взгляд. вариант тут только один - вирус продолжает жить в системе. И пока его не вычистить - проблема не устранится. Я бы скачал загрузочный диск DrWeb LiveCD и пролечил бы систему загрузившись с этого диска.
Как вариант - приносите системник в школу на допзанятия. Следующее - в понедельник в 17.30
Дата: Воскресенье, 10.10.2010, 14:13 | Сообщение # 13
Сержант
Группа: Местные
Сообщений: 25
Статус: Выкл...
Спасибо вам большое, prepod! Я устранил этот вирус!!! Оказывается, я удалил лишнюю строчку, которую должен был оставить в hosts!!!! Посмотрел в Нигме и понял свою ошибку!!! Но все равно ОГРОМНЕЙШЕЕ ВАМ С П А С И Б О !!!!
Добавлено (10.10.2010, 14:13) --------------------------------------------- ВЫ МНЕ ОЧЕНЬ ПОМОГЛИ! ДА, И wAMPIRU ТОЖЕ БОЛЬШОЕ СПАСИБО!
Ещё раз повторяю, если возникли подобные проблемы, в первую очередь проверяем файл hosts, который находится по адресу C:\WINDOWS\system32\drivers\etc\hosts что бы отредактировать его, Вам нужно после hosts добавить формат файла .txt Если там имеются какие либо строчки в которых указан адрес сайтов vkontakte или mail, смело стираем их. Если проблема не решилась, проверяем свой ПК хорошим антивирусом, и для большей безопасности ещё раз проверяем файл hosts. Потом уже если проблема не решилась, задаём вопрос на форуме.
Пожалуйста! А да, если именно файл hosts "сломан", тогда скинь его на флешку или ещё куда, и выложи его сюда на сайт или мне в почту скинь nekit95_09@mail.ru , оч надо. Именно тот, который исправил вирус. Зарание спасибо!