ウクライナの美しい歌のテキストを探してインターネットの広がりと深さを登ったとき、時間は真夜中に近づいていました。 Yandexで検索クエリを入力したら、検索結果のあるタブをいくつか開きました。 ネジが少し割れてから、Kaspersky Anti-Virusのいくつかのウィンドウが連続してポップアップし、特定の「xBXJ.exe」およびいくつかの類似ファイルが「弱い制限」グループに移動したことを通知しました。 これに続いて、黒いウィンドウが一瞬点滅し、通常はコンソールプログラムの起動時にポップアップします。
その後すぐに、コンピューターのネットワークカードからパッチコードを引き抜こうとする無駄な試みで、私は既にテーブルの下で潜っていました(いいえ、インターネットの奥ではありません)。
システム構成:
-すべてのパッチとアップデートを適用したWindows XPで、Windowsファイアウォールが無効になっています。
-2010年3月24日からの更新を含むKaspersky Internet Security 2009が含まれています。
-Opera 10.51(現在の最新バージョン)
まず、2番目のコンピューター(ラップトップ)からメールボックスとICQのパスワードを変更しました。 それから彼はカスペルスキーのログを見ました:
03/25/2010 23:53:24 xBXJ.exeアクティビティフィルタリンググループに入れる弱い制限ヒューリスティックに計算されたハザードレーティングの値が高い
03/25/2010 11:53:44 p.m. joSB.exeアクティビティフィルタリンググループに入れる弱い制限ヒューリスティックに計算されたハザードレーティングの値が高い
03/25/2010 11:53:46 p.m. MjyD.exeアクティビティフィルタリンググループに入れる弱い制限ヒューリスティックに計算されたハザード評価の値が高い
03/25/2010 11:53:53 p.m. del.batフィルタリングアクティビティグループに入れる弱い制限ヒューリスティックに計算されたハザードレーティングの値が高い
正直なところ、デフォルト設定と高いハザード評価により、カスペルスキーは静かにファイルを実行のためにスキップしました。
その後、インターネット上の人々と話し、Googleインデックスを介してファイル名を検索しようとしましたが、これらの名前は明確に生成されているため、検索結果が得られなかったようです。 時計は朝の2時で、私は寝ました。
目を覚ましてコンピューターの電源を入れたとき(ネットワークケーブルを接続しなかった)、素晴らしい画像が表示されました。画面の中央には、閉じたり最小化できないソフトウェアポルノバナーがあります。 また、タスクマネージャーを開こうとする試みをブロックします。
そして、私は新しいファイルを持っています:C:\ Program Files \ plugin.exe
詐欺師からのメッセージは次のようになりました。
テキスト1275131を含むSMSを番号8353に送信します
受信したコードを入力:[______](バナーを削除)
問題がある場合は、いつでもアドレスに連絡できます。
icq 558812836
メール:lex-doroti@mail.ru
...
...
わかりました、誰にとってもその写真は明確で理解しやすいと思います。 freedrweb.com/cure-itにアクセスして、無料のスキャンユーティリティをダウンロードします。 ただし、疑わしいものは何も見つかりません(通常、このような場合に役立つため、奇妙です)。 私は次のように行動したことに注意してください:ラップトップにダウンロードしました
プログラム、USBフラッシュドライブ、スイッチがブロックしたフラッシュドライブを読み取り専用でスローし、その後、感染したコンピューターで停止しました。
その後、私は次のことを行いました。この短い番号「8353」が属するインターネットでのパンチ、プロバイダーは「最初の代替プロバイダー」です(これは詐欺師が最も頻繁に使用します)。 私はサイトに行き、指定された番号に電話します。 コールセンターの女の子が私を最初のテクニカルサポートライン(内線555)に切り替えます。 次に、短いビープ音が鳴る2番目のテクニカルサポートライン(直通電話663-71-14)に切り替えます。 2番目の呼び出し
回、および3番目と14番目。 最後に、15回目から状況を説明し、SMS(1275131)を介して番号8353に送信するために必要なテキストを呼び出します。これに応じて、従業員はこの同じポルノバナーに入力する必要のあるコードを呼び出します。 コードは1968845971です。 入力して「バナーを削除」ボタンをクリックすると、ポルノのウィンドウが消えます。 同時に、「カスペルスキー」の野郎は、静かにdel.batファイルの起動を許可します。これにより、痕跡が消去されます。
バグに取り組む、または「私が間違ったこと」 :
まず、ウイルスが検出された後にメインコンピューターの電源を切った場合、ネジを含めずにネジを外し、アダプターを介してラップトップに接続して(持っていた)、すべてのファイルのウィルスを完全に確認するか、Live CDから起動する必要があります同じ目標。
次に、Cure-ITをダウンロードして実行し、コンピューターをシャットダウン/再起動する必要がありました。 それから、おそらく、ポルノの窓は出てこないでしょう。 ただし、これは考えにくい ハーフスクリーンにロードされたソフトウェアポルノバナーでCure-ITユーティリティを実行しても、トロイの木馬は明らかになりませんでした。
第三に、標準のWindowsファイアウォールが無効になりました。 付属のKISで十分だと思いましたが...-
4番目に、システムの脆弱性をスキャンしたときに、「穴」のある古いプログラムが見つかりました:winamp、adobe reader、quicktime。 これらのプログラムの脆弱性により、攻撃者は悪意のあるコードを実行できました。
第五に、...聴衆への質問:他に私が間違ったことは何ですか? (OS、ブラウザ、アンチウイルス、肌の色、居住国などを変更することはお勧めしません;-)
他に言いたいことがあります:そのような詐欺スキームはすべて、PPSOとサービスプロバイダー(この場合は1番目の代替プロバイダー)の低い制御でのみ動作します。同様のプログラムで作業するには不利です。 誰もがそのような方法を考え出すことができると思います-そして、お金の支払いの延期、およびSMSなどを制御 など 彼らが言うように、それが依存している人々は欲望を持っているでしょう。
一般的に、比較的「ハッピー」な終わり。 もう1つの質問は、どのサイトでウイルスをキャッチしたのか、また、必要な状況の再発を防ぐためにどのアクションを実行したのかが明確ではないということです。 トロイの木馬をダウンロードする前にアクセスした個人的な電子メール(ブラウザーの履歴から抜粋)で疑わしいページへのリンクを送信できます。 これらのページはすべて疑わしいものです。各ページには、さまざまなネストされた、理解できないJavaスクリプトを備えた隠れたiframeがたくさんあります。
そのようなこと。
UPD。 KISはすでにこの不備をキャッチしています。 つまり 3月25日にアップデートをキャッチしませんでしたが、3月26日にすでにアップデートをキャッチしました。