Очередной способ отъёма денег у населения:
Данная картинка — результат работы вируса на компьютере.
Вирус охватывает как минимум Вконтакте и Одноклассников. Для одноклассников снимок тоже есть, он чуть ниже.
1. Не вводите никаких данных в поля для ввода
Несмотря на то, что в адресной строке браузера отображается правильный адрес сайта, эта страница находится у злоумышленников. Любая введённая информация попадёт к ним. В том числе логины, пароли и номера мобильных телефонов.
2. Ни в коем случае не отсылайте никаких смс.
Да да, несмотря на заявления, что вам придёт код доступа (см. текст всплывающего окна), наоборот, отправить СМС потребуют от вас. Надо ли говорить, что после отправки СМС доступ к системе всё равно не появится?
3. Сразу после лечения вируса — смените свой пароль
Смотри пункт первый. Ваш пароль уже находится у злоумышленников. Они могут его поменять и вымогать деньги за восстановление аккаунта.
Кстати, очень подлая клиент-серверная схема развода. При первом входе очень сложно определить, что сайт подставной, и вы скорее всего попытаетесь авторизоваться. Введённый после этого телефон будет привязан к вашему аккаунту. В базе мошенников. А отправленная СМС обнулит ваш баланс.
Внимательный пользователь напряжётся на фразе «Услуга недоступна абонентам некоторым регионам Мегафона». Она дикая и по форме, и по содержанию.
Совсем внимательный пользователь заметит, что окно с «валидацией» появляется при переходе по любой ссылке на сайт, чего быть не должно.
В винде сидит простенький модуль, который делает следующие вещи:
Модификацию вируса, с которой разбирался я, на момент лечения не обнаруживал ни один из популярных антивирусов.
* Вирус постоянно модифицируется. Информация о его работе может оказаться устаревшей, несмотря на то, что эта заметка постоянно дополняется.
Что важнее: процедура лечения — не изменилась. Она стандартная.
1. Скачать свежий Dr.Web CureIt! (http://www.freedrweb.com/cureit) и просканировать им систему. Там где есть один вирус, могут быть и другие. В любом случае хуже точно не будет.
2. Скачать и запустить любой сторонний редактор реестра (например, RegWorks 1.3.3 (http://soft.oszone.net/download/2736/RegWorks.html)). В нём надо посмотреть значение ключа
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
Обычно в этом ключе лежит путь к системному файлу userinit.exe (например, C:\WINDOWS\system32\userinit.exe). В нашем случае сюда записан ещё и путь к вирусу, через запятую. Запоминаем путь и имя исполняемого файла.
3. Убиваем вирусный процесс. Чтобы не ошибиться можно воспользоваться утилитой ProcessExplorer, она показывает пути к файлам. Но можно и из диспетчера задач.
После этого удаляем вирусный файл и восстанавливаем ключ реестра.
4. Чистим файл hosts из %windir%\system32\drivers\etc\. В нём должна остаться единственная запись:
127.0.0.1 localhost
Ещё раз заостряю внимание: изменённый вирусом, этот файл содержит кучу пустых строк и пробелов. То есть, внешне (если открыть через блокнот) может выглядеть нормальным (если не обращать внимание на полосы прокрутки). Для надёжности имеет смысл его вообще удалить и создать новый с таким же названием.
Второй важный момент: по умолчанию в системе не отображаются скрытые и системные файлы, но hosts не является ни скрытым, ни системным. В некоторых случаях вирус скрывает настоящий файл, а рядом создаёт ещё один, видимый, но с русской буквой «о» в названии. При этом вирус может блокировать отображение скрытых и системных файлов.
Правка файла с русской буквой в имени ни к какому результату, естественно, не приведёт.
Для того, чтобы гарантированно открыть настоящий hosts, необходимо выполнить (System+R) команду:
notepad %windir%\system32\drivers\etc\hosts
которую нужно набрать от руки.
4*
Также поступила информация, что вирус может заменить DNS в настройках сети, не трогая файл hosts.
Смысл — тот же: подменить официальный адрес сайта на "левый".
Строго рекомендуется проверить сетевые настройки и сравнить их с провайдерскими.
Дополнительная информация: Где Windows хранит IP-адреса (?p=1901).
5. Очищаем локальный кэш DNS. Для этого набираем в командной строке:
ipconfig /flushdns
Запуск командной строки:
Пуск → Выполнить (или System+R), команда «cmd»
Дело в том, что система кэширует полученные из DNS адреса, для ускорения обработки запросов. Кэшируются и записи из hosts. То есть, несмотря на то, что файл почищен, вредоносные записи могут ещё использоваться какое-то время.
При нормальной работе системы эти записи должны будут удалиться автоматически и достаточно быстро (~1-3 мин.), но для надёжности лучше очистить кэш вручную.
Подробнее про очистку кэшей сетевых адресов можно прочитать здесь (http://www.it-simple.ru/?p=5674).
Перезагружаться нет необходимости, всё должно заработать сразу.
⚠ Если вы всё сделали по инструкции, но ничего не помогло — задайте свой вопрос в комментариях.
При этом помните: чем подробнее вы опишете проявления вируса и свои действия по его лечению, тем больше вероятность, что вам помогут.
Некоторые персонажи в интернете советуют удалять всю папку etc. Делать это категорически нельзя, несмотря на то, что это и правда помогает.
Дело в том, что в etc находятся служебные системные файлы, к которым система периодически обращается. После удаления папки каждое такое обращение будет завершаться с ошибкой. Восстанавливать эту папку (как, например, %TEMP%) система не умеет, восстанавливать файлы в ней — тоже.
В итоге удаление всего каталога etc может привести к непредсказуемым последствиям.
Для удобства я удалил лишние пробельные символы, разбил содержимое на два блока и убрал однотипные записи из второго.
193.218.156.156 www.vkontakte.ru 193.218.156.156 www.vk.com 193.218.156.156 vkontakte.ru 193.218.156.156 vk.com 193.218.156.156 www.odnoklassniki.ru 193.218.156.156 odnoklassniki.ru 127.0.0.1 downloads.kaspersky-labs.com 127.0.0.1 downloads0.kaspersky-labs.com #........ 127.0.0.1 downloads10.kaspersky-labs.com 127.0.0.1 dnl-geo.kaspersky-labs.com 127.0.0.1 dnl-00.geo.kaspersky.com #........ 127.0.0.1 dnl-20.geo.kaspersky.com
Второй блок не даёт обновляться антивирусу касперского.
Первый блок перенаправляет любые запросы к одноклассникам и вконтакту на ip-адрес 193.218.156.156. Это один из первых адресов, которые использовали злоумышленники. Он был заблокирован за считанные дни, а в заметке оставлен только для примера.
Провайдеры (и хост-провайдеры) обычно дорожат своей репутацией и оперативно блокируют мошенников. Поэтому ip-адреса для перенаправлений меняются очень часто, и отслеживать их — бессмысленно. Пусть этим занимаются правоохранительные органы.