Вирус Winlock просит отправить СМС с текстом T701016100 на номер 3381

Очередной вирус из серии “отправь СМС и разблокируй компьютер” (Winlock) с текстом T701016100 (Т701016100) на короткий номер 3381.

Порно баннер требует отправить СМС с текстом T701016100 на номер 33810

При загрузке всех программ из автозагрузки вылетает куча сообщений об ошибке “память не может быть written”. Чуть позже появляется баннер, закрывающий центральную часть экрана. Опять же розовый фон, порно-банер и дамы из фильмов по бокам (почти как при установке баннера для доступа на наш сайт) :) В разблокираторах от DrWeb и Kaspersky информации о таком номере, вирусе, баннере пока нет. Сканирование CureIt-ом выявило 6 файлов с тремя разными вирусами (один из них - разновидность winlock-а). Однако, после перезагрузки почти сразу появился порно баннер.

Касперский, нод и антивирусные утилиты не запускаются.

Для временной разблокировки подошел  код “279346830“, (подсмотрено на форуме - номер 3381 текст Т701016100 код F64W28E - не проверял.) Однако, естественно, что введенный код не гарантирует полного удаления программы с компьютера. Он вообще ничего не гарантирует - только (в лучшем случае) позволяет на некоторое время возобновить работу компьютера.

Загрузка с LiveCD (WinPE, можно записанный на USB), привязка реестра системного диска и просмотр утилитой HIjackThis выявил пару “сомнительных строчек”:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\… (далее следует довольно внушительный список exe-файлов с сомнительными именами)

Предварительно лучше вычистить все эти файлы (я копирую в отдельный каталог для “вирусов”, чтобы после лечения отправить, например, на virustotal - на момент отправки, обычно, вирус в файле распознают не больше 7-8 антивирусных программ.)

Отмечаем сомнительные пункты галочкой и кнопкой “FixIt” (не выходя из ХайДжека) автоматически исправляем значения реестра.

Про методы лечения можно посмотерть в статьях про блокирующий компьютер “липовый” Internet Security, Ubest NetSpeed Pro. Если судить по предыдущим подобным вирусным “блокираторам”, то в скором времени (не позднее пары дней) антивирусы внесут информацию о нем в базы.

UPD. Действительно, CureIt с новыми базами (от 21.05.2010) нашла две DLL-ки с короткими именами (bx.dll и mx.dll) в %WINDIR%\system32 с вирусом WIN32.HLLW.Autoruner.21042

Метки: , , ,

Опубликовано Воскресенье, Май 16, 2010 в 22:36 в следующих категориях: Без рубрики. Вы можете подписаться на комментарии к этому сообщению через RSS 2.0. Вы можете добавить комментарий, или trackback со своего сайта.

Автор будет признателен, если Вы поделитесь ссылкой на статью, которая Вам помогла:
BB-код (для вставки на форум)

html-код (для вставки в ЖЖ, WP, blogger и на страницы сайта)

ссылка (для отправки по почте)

Комментарии (15) к записи “Вирус Winlock просит отправить СМС с текстом T701016100 на номер 3381”

  1. Alex сообщает Май 17th, 2010 в 17:04 :

    Спасибо!
    подошел код 279346830

  2. Miha сообщает Май 20th, 2010 в 22:51 :

    Только вчера удалил порно экран кодом 279346830 но теперь комп тормозит жуть. Как мог поймать эту заразу ума не приложу, по порнухам не лазил… Как он вообще попадает на комп и как ему удается отключть антивирусы, неужели в антивирусах нет защиты?

  3. levik сообщает Май 21st, 2010 в 07:25 :

    Чтобы поймать такой “баннер” не обязательно посещать порно-сайты. В общем-то, любой может “закинуть” такой баннер. Другое дело, что не всегда умышленно и специально… В последнее время множество сайтов размещают на своих страницах рекламные скрипты (цепляющие заголовки в стиле “Вы не представляете…” Не исключено, что похожим способом находят своих клиентов и “порно-баннеры”.

    Miha,”вирусы” проникают на компьютер через “дырки” в системе. В Internet Explorer критическая уязвимость продержалась несколько лет.

    Пользуясь случаем (например, многие вирусы для проникновения используют уязвимости виртуальной машины Java), записывают файл на диск во временный каталог, доступный для браузера, а затем запускают его на выполнение.

    Файл, запущенный с правами администратора может хозяйничать на компьютере. (Лучший способ - не использовать права администратора без необходимости. Для установки-удаления есть функция Run As “Выполнить от имени”.. В windows Vista - “Запустить с правами администратора”)

    Проблему с компьютерными “тормозами” может решить “чистка реестра” и удаление лишних файлов из автозагрузки (и, возможно, планировщика задач)

  4. Александр сообщает Май 23rd, 2010 в 08:26 :

    Не понятно, однако - почему мошенников ни кто не ловит??? Номер, куда отправляются $$$ совсем не анонимный и оператор 100-процентно знает, кому перевёл Ваши деньги!!!

  5. levik сообщает Май 23rd, 2010 в 10:52 :

    Дело в том, что номер “числится” за так называемой компанией-агрегатором. Оператор переводит денежные средства на их счет, после чего они, взимая комиссию за пользование сервисом, перечисляют оставшуюся часть третьим лицам. Такая схема оплаты очень удобна как для пользователей (можно воспользоваться мобильным телефоном, который практически всегда под рукой), так и для получателей средств (вся денежная часть ложится на профессионалов).
    Однако, “мошенники” умело пользуются наличием такой схемы, а также уязвимостями операционных систем. Остается лишь доказать причастность конкретных лиц к созданию и распространению вредоносного ПО, и…

  6. Виталий сообщает Май 25th, 2010 в 12:00 :

    Та же шняга..только у меня пишет отправьте смс с тестом N110261725385 на номер 3381,можете дать код активации?

  7. levik сообщает Май 25th, 2010 в 19:41 :

    На сервисах смотреть надо.. точно работающего кода пока нет:
    http://support.kaspersky.ru/viruses/deblocker

  8. mickon сообщает Май 26th, 2010 в 15:34 :

    Дадут бесплатно. Целый день сидел, ничего не помогло! Позвонил - все ок.
    +7 800 100 7337 (федеральный)
    +7 495 363 1427 (московский)
    http://corp.alt1.ru/about/43

  9. rizota сообщает Июнь 17th, 2010 в 09:56 :

    А у меня текс-44155344 просит отправить на 3381,обыскала все сайты,решения моей проблемы нет нигде. Че делать? (((((((((((((((((((

  10. levik сообщает Июнь 17th, 2010 в 13:42 :

    rizota , попробуйте один из кодов:
    290954419
    900301939

    Надеюсь, поможет. Однако, помните, что исчезновение окна не означает полное удаление вируса с компьютера. Скорее всего через некоторое время проблема с вирусом возникнет повторно.. возможно, в другом виде.

    Рекомендую обновить антивирус (можно подписаться на лицензионный).

  11. Надежда сообщает Июль 4th, 2010 в 19:37 :

    Помогите 35104613 на номер 3381

  12. D сообщает Июль 6th, 2010 в 11:33 :

    http://support.kaspersky.ru/viruses/deblocker
    очень помог, спасибо!!
    ключ подошел!

    для 35104613 на номер 3381 выдает ключ 6688439

  13. TAPAH55 сообщает Август 26th, 2010 в 11:43 :

    Инструменты для борьбы с вирусами блокирующими Windows.
    http://indor.g-service.ru/index.php?option=com_content&view=article&id=75:-windows&catid=47:2010-06-29-03-02-02&Itemid=73
    site: indor.g-service.ru/

  14. настя сообщает Сентябрь 7th, 2010 в 16:22 :

    помогите пожалуйста!!
    В связи с тем, что с вашего аккаунта происходила рассылка спам-сообщений, мы временно ограничили Вам доступ. Вам необходимо пройти активацию вашего аккаунта.

    Для активации и получения кода отправьте смс с текстом:

    1525250567205 на номер 3381

    помогите пожалуйста!!
    vkontakte.ru

  15. saw сообщает Ноябрь 15th, 2010 в 01:08 :

    Генератор кодов, паролей против смс БАННЕРОВ, сразу говорю что, ко всем баннерам пароль не додбирает, но для 50-60% подходит!!! Вот ссылка /download/94386.98d147022d0f6caa582d2a82ae21/Generator_kodov_bonus.rar.html
    {spam_detected}

Добавить комментарий