Baterpillar ferret (![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small} vladgr) wrote,@ 2009-07-03 19:49:00 |
|
Новый вирус
Прописывает в $system32/drivers/etc/hosts более тысячи строк из знаков '--' и в конце следующие строки:
91.212.198.21 www.vkontakte.ru
91.212.198.21 vkontakte.ru
91.212.198.21 www.yandex.ru
91.212.198.21 yandex.ru
91.212.198.21 www.ya.ru
91.212.198.21 ya.ru
91.212.198.21 www.odnoklassniki.ru
91.212.198.21 odnoklassniki.ru
91.212.198.21 www.google.ru
91.212.198.21 google.ru
91.212.198.21 www.rambler.ru
91.212.198.21 rambler.ru
91.212.198.21 www.google.com
91.212.198.21 google.com
91.212.198.21 www.youtube.com
91198.21 www.youtube.com
9.21 www.youtube.com
91.212m
9.21 www.youtube.com
91.21
9.21 www.youtube.com
91.212.198.21 youtube.com
91.212.198.21 www.narod.ru
91.212.198.21 narod.ru
91.212.198.21 www.torrents.ru
91.212.198.21 torrents.ru
91.212.198.21 www.zaycev.net
91.212.198.21 zaycev.net
91.212.198.21 www.qip.ru
91.212.198.21 qip.ru
91.212.198.21 www.icq.com
91.212.198.21 icq.com
91.212.198.21 www.loveplanet.ru
91.212.198.21 loveplanet.ru
при открытии любой из вышеуказаных ссылок запускает копию страницы vkontakte.ru и предлагает ввести пароль и отправить куда-то SMS за деньги. Вобщем смысла отсылать смс нет никакого ;-) Достаточно удалить эти строчки из файла или грохнуть сам файл. Ну и конечно срочно сменить все пароли введеные через эту или другие формы. Других следов в системе я не обнаружил, сообщений антивируса тоже нет, похоже какой-то скрипт просто пишет в файл эти строки. Похоже не опасный...
Прописывает в $system32/drivers/etc/hosts более тысячи строк из знаков '--' и в конце следующие строки:
91.212.198.21 www.vkontakte.ru
91.212.198.21 vkontakte.ru
91.212.198.21 www.yandex.ru
91.212.198.21 yandex.ru
91.212.198.21 www.ya.ru
91.212.198.21 ya.ru
91.212.198.21 www.odnoklassniki.ru
91.212.198.21 odnoklassniki.ru
91.212.198.21 www.google.ru
91.212.198.21 google.ru
91.212.198.21 www.rambler.ru
91.212.198.21 rambler.ru
91.212.198.21 www.google.com
91.212.198.21 google.com
91.212.198.21 www.youtube.com
91198.21 www.youtube.com
9.21 www.youtube.com
91.212m
9.21 www.youtube.com
91.21
9.21 www.youtube.com
91.212.198.21 youtube.com
91.212.198.21 www.narod.ru
91.212.198.21 narod.ru
91.212.198.21 www.torrents.ru
91.212.198.21 torrents.ru
91.212.198.21 www.zaycev.net
91.212.198.21 zaycev.net
91.212.198.21 www.qip.ru
91.212.198.21 qip.ru
91.212.198.21 www.icq.com
91.212.198.21 icq.com
91.212.198.21 www.loveplanet.ru
91.212.198.21 loveplanet.ru
при открытии любой из вышеуказаных ссылок запускает копию страницы vkontakte.ru и предлагает ввести пароль и отправить куда-то SMS за деньги. Вобщем смысла отсылать смс нет никакого ;-) Достаточно удалить эти строчки из файла или грохнуть сам файл. Ну и конечно срочно сменить все пароли введеные через эту или другие формы. Других следов в системе я не обнаружил, сообщений антивируса тоже нет, похоже какой-то скрипт просто пишет в файл эти строки. Похоже не опасный...
