В продолжение темы.
Вчера мне в руки наконец-то попался образец такого СМС-вымогателя.
А помогла в этом аська, точнее спамеры, которые своими бесконечными запросами на авторизацию и рекламными сообщениями не дают нам скучать.
В общем, пришло мне сообщение следующего содержания:
Запрос авторизации:
Качайте суперскую программу. http://... (Далее была ссылка на один известный файлообменник, я ее по понятным причинам не привожу здесь)
Она умеет:
1. Оповещать вас когда вам приходит сообщение Вконтакте (так же есть возможность оповещать на мобильний телефон средством смс).
2. Даёт возможность качать из сайта В (Здесь сообщение обрывается)
Естественно, я не мог удержаться от того, чтобы не скачать эту суперскую программу.
Чудо-прогой оказался файлик размером 526 кб, под скромным названием reg.exe, украшенный значком выше упомянутой социальной сети.
Написан, кстати, на Дельфи.
Запустил я ее на виртуальной машине и...
и мои надежды оправдались! Это действительно оказался троян, блокирующий систему.
Сразу же после запуска весь экран заполонило окошко, маскирующее себя под страницу Вконтакте и нагло заявляющее, что компьютер пользователя заблокирован за попытку взлома базы данных сайта Вконтакте. Для разблокировки следует отправить СМС с кодом на указанный номер. Для граждан России, Украины, Белоруссии и Казахстана указаны разные номера. Далее нас уверяют, что смс БЕССПЛАТНОЕ (Именно так, заглавными буквами и с двумя "С")
Это окно меня реально позабавило...
Загрузить свои фотоЗакрыть его или переключить мне не удалось ни одной комбинацией клавиш, как я ни старался. На какую-то долю секунды можно было изредка вызвать меню Пуск клавишей Win, но толку от этого никакого. Соответственно, работа с системой стала невозможной.
А вот уничтожение вируса оказалось делом банальным и неинтересным.
Достаточно перезагрузить комп, загрузиться в безопасном режиме, удалить файл вируса(он оставался на прежнем месте), затем открыть Regedit, найти раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и удалить параметр QuickTimer, значением которого является путь к файлу вируса.
Такая вот очередная модификация winlock'ера...
Проверка файла онлайн-сервисом
http://virusscan.jotti.org/ru дала следюущие результаты: 10 антивирусов из 21
опознали вредителя. Касперский идентифицировал его как Trojan-Ransom.Win32.Agent.as