Сегодня любимая обрадовала меня новостью, что и она наконец подхватила вирус, просящий отправить смс. До сих пор думал, что семью ITшника такая штука обойдёт стороной, ан нет — не обошла.
Всё началось с какого-то приложения из вконтакта.
Благо ОС не блокировалась, «вирус» работал просто: блокировал самые популярные сайты, в том числе поисковики, сайты антивирусов и электронной почты. При запросах в окне браузера появлялось
Естественно, первое, что приходит на ум: «левые» процессы, сегодня уже упомянутые AVZ, HiJackThis. С этим всё оказалось в порядке, но разум дал о себе знать — идём в c:/windows/system32/drivers/etc. Там hosts и hosts.txt. С первым на первый взгляд всё чисто, а во втором я вижу заботу создателя о наших с вами финансах:
Так-то. Снова открыв файл hosts я увидел, что это ещё не конец файла, через полсотни символов перевода строки следует длинный список тех самых популярных сайтов:
Ларчик просто открывался. Непонятно только каким боком здесь Касперский.
Важный UPD: забыл указать, что на самом сайте вконтакте появляется заглушка, на которой указан номер. А стоимость смс не 100, а 250 ру.
Примерно так. Скриншота уже нет.
UPD2: Группу вконтакте (http://vkontakte.ru/club11255695), распространявшую эту пакость, говорят прикрыли.
Всё началось с какого-то приложения из вконтакта.
Благо ОС не блокировалась, «вирус» работал просто: блокировал самые популярные сайты, в том числе поисковики, сайты антивирусов и электронной почты. При запросах в окне браузера появлялось
Естественно, первое, что приходит на ум: «левые» процессы, сегодня уже упомянутые AVZ, HiJackThis. С этим всё оказалось в порядке, но разум дал о себе знать — идём в c:/windows/system32/drivers/etc. Там hosts и hosts.txt. С первым на первый взгляд всё чисто, а во втором я вижу заботу создателя о наших с вами финансах:
127.0.0.1 localhost
#Отправьте смс и не мучайтесь… Реальная стоимость смски 100 рублей, а вызов программиста рублей 500 минимум:)Так-то. Снова открыв файл hosts я увидел, что это ещё не конец файла, через полсотни символов перевода строки следует длинный список тех самых популярных сайтов:
Ларчик просто открывался. Непонятно только каким боком здесь Касперский.
Важный UPD: забыл указать, что на самом сайте вконтакте появляется заглушка, на которой указан номер. А стоимость смс не 100, а 250 ру.
Ваша страница заблокирована!
Поскольку с вашего компьютера происходила рассылка спам-сообщений, мы временно ограничили Вам доступ. Подробнее...
Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что вы являетесь настоящим владельцем данной страницы, для этого отправьте бесплатную смс c текстом 151432 на номер 8353.
В ответном сообщение Вы получите Ваш личный код активации. Примерно так. Скриншота уже нет.
UPD2: Группу вконтакте (http://vkontakte.ru/club11255695), распространявшую эту пакость, говорят прикрыли.
