10 апреля 2009 года

Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
Текст для SMS:
Код активации:

Компания «Доктор Веб» в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS. Установленный на компьютере Dr.Web оперативно выявляет данную угрозу и уничтожает ее. При возможном заражении в случае применения другого антивирусного ПО, пользователь всегда может воспользоваться формой, разработанной специалистами «Доктор Веб».
http://news.drweb.com/show/?i=304&c=5

==============
Сисадмин из Барнаула предупреждает об эпидемии нового вируса:
Цитата
«Хочу поделиться информацией с людьми как от него избавиться. Я работаю сисадмином, - считаю своим долгом», - пояснил UncleS редакции ИА «Амител».

«Что я делал? (за сегодня уже несколько раз). Загружаемся с Live CD или другого жесткого диска (скачать можно по адресу ftp://ftp.drweb.com/pub/drweb/livecd/) и удаляем файлы blocker.exe и blocker.bin из паки c:docume~1All UsersApplication Data», - пояснил «UncleS» читателям ИА «Амител».

По словам сисадмина, он уже отправил данный вирус в антивирусные лаборатории.

=============
Еще на тему:
http://www.securitylab.ru/news/377686.php
http://www.avsoft.ru/forum/read.php?FID=23&TID=2014

===============
Троян Trojan.Winlock.19
Рубрика: Развод -> Размышления -> Новости -> Вирусы
Метки: virus
Среда, 15 апреля 2009 г.
Просмотров: 420
Подписаться на комментарии по RSS
Троян Trojan.Winlock
Сообщение напрямую не влияет на заработок. НО…

В сети появилась новая троянская программа. Имя ей Trojan.Winlock.19

Проявления действия трояна:

Распространяется через интернет в виде кодеков. При попадании на компьютер и перезагрузке появляется приглашение о вводе регистрационного кода для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить СМС сообщение на номер 3946.

Точная сумма стоимости этого сообщения пока неизвестна.

Радует то, что вирус имеет функцию самоуничтожения. Ликвидируется сам через два часа после активации. Правда за два часа можно такого напридумывать , что боже упаси. Представляю какие мысли лезут в голову.
К чему я это пишу? Сегодня ко мне обратилось парочка встревоженных пользователей с этой проблемой и вопросом: Что делать?

Да ничего. Пользуйтесь нормальными антивирусными программами и будет у вас все окей. Хорошо, что вирус практически безобидный, а если бы попался более зловредный. Прощай тогда все нажитое непосильным трудом .

Вот такие вот вымогатели стали все чаще и чаще появляться. Не попадайтесь на провокации и пользуйтесь всеми методами защиты информации.

Всего хорошего и успехов Вам.

===============
http://www.mr7.ru/news/hitech/story_11503.html

Народное творчество:

1. Лечиться досточно просто.
Загружаем с любого Boot CD (Эмулятор виндоуса).
Далаем откат системы до начальной точки, перезагружаемся внормальный режим виндоуса.
Далее ищем там файл finish.exe через regedit.
Снова запускаем бут сиди и и делаем отмену отката системы. После это перезагрузка - далее запускаем CureIt (www.freedrweb.com).
Удалям два файла билиотеки dll один сидит в windows/system32, другой где то в С:\Document and Settings\....

Вообще подобную программу видел еще в 2003-2004 годах.
И удалялась точно так же)))). Тока прописывалась чуть проще)))

2. Я поступил по другому: Грузите с диска ERD Commander. Ищите на диске в С:\Document and Settings\... и удаляете файл blocker.exe. В реестре в ветке HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon находите ключ Userinit, в нем оставляете только - C:\WINDOWS\system32\userinit.exe Все остальное что там есть удаляете. Загружаетесь и начинаете лечить комп от вирусов.

==============
Для особо пытливых умов была статья на хабре, где решали проблему вызывая залипание клавиш многократным нажатием шифта, оттуда попадали в настройки .печати, далее в справку windows, и открывали проводник. Через него уже удаляли файлы блокировки, лежащие в директории c:/documents and settings/all users/application data/

http://habrahabr.ru/blogs/i_am_clever/56923/ - собственно статья
http://habrahabr.ru/blogs/i_am_clever/57183/ - второй вариант обхода блокировки
http://news.drweb.com/show/?i=304&c=5 - ссылка на кейген для трояна=)

===============
Dr.Web LiveCD

Информация о Dr.Web LiveCD

Подробности работы Dr.Web LiveCD можно узнать в документации

Скачать Dr.Web LiveCD