Новинка от кибермошенников: подписка без уведомления.

«Лаборатория Касперского» предупреждает пользователей о появлении новой схемы работы кибермошенников с использованием СМС-блокеров. В отличие от традиционного алгоритма, когда для получения кода разблокировки компьютера необходимо было выслать на указанный номер платное СМС-сообщение, теперь злоумышленники пошли более «гуманным» путем. В окне, которое появляется на Рабочем столе, пользователя просят указать номер телефона, на который совершенно бесплатно приходит СМС с кодом разблокировки. На чем же зарабатывают мошенники?

После разблокировки на телефон «счастливчика» с завидной регулярностью и частотой начинают приходить СМС-сообщения сомнительного содержания, а его баланс стремится к нулю. Оказывается, что, введя свой номер мобильного телефона и подтвердив его подлинность, пользователь автоматически принимает условия некого лицензионного соглашения, которое помимо всего прочего включает услугу «Подписка», естественно, предоставляемую на платной основе.

Как правило, избавиться от подобной «услуги» можно, обратившись к оператору мобильной связи с требованием отписаться от ненужной Подписки. Существует и другой способ: не выполнять условия соглашения со своей стороны, то есть не оплачивать навязанную услугу. Для этого достаточно в течение определенного времени (обычно неделю) не пополнять баланс. Однако, согласитесь, сегодня прожить без мобильного телефона хотя бы день, может далеко не каждый, не говоря уже о неделе.

«Лаборатория Касперского» напоминает о необходимости соблюдения правил безопасной работы в сети, и предоставляет бесплатный сервис удаления баннера с Рабочего стола и разблокировки Windows без отправки СМС или перевода денег на счет:http://support.kaspersky.ru/viruses/deblocker.

Всем удачи!

 

28.02.2011 Опубликовано khlebalin | antiviruses | Комментарии отключены

Киберитоги января: новые схемы работы мошенников.

Согласно ежемесячному обзору вирусной активности, проводимому специалистами «Лаборатории Касперского», январь 2011 года был отмечен ростом количества мошеннических схем, применяемых злоумышленниками. В первую очередь их жертвами становятся любители «бесплатного сыра», но, как показывает практика, вовлеченными в них могут быть и обычные пользователи. В основном, вследствие собственной невнимательности.

Ключевым элементом большинства схем работы кибермошенников стали SMS-сообщения. Так, на ряде сайтов пользователям предлагалась возможность обновить популярный браузер Internet Explorer, однако процесс «установки» неожиданно завершался необходимостью «активировать» ПО с помощью SMS-сообщения, отправленного на указанный премиум-номер. В обмен на 300 рублей, потраченных на SMS, пользователь получал ссылку на официальный ресурс, с которого Internet Explorer 8 распространяется совершенно бесплатно.

Поживиться с помощью SMS пытались и мошенники, решившие воспользоваться популярностью продуктов «Лаборатории Касперского»: на сайте, название которого отличалось от kaspersky.ru всего на одну букву, пользователям предлагалось скачать «новогодний подарок» — бесплатный Kaspersky Internet Security 2011. Однако вместо подарка в систему попадал зловред, который перезагружал компьютер и после этого показывал «счастливчику» сообщение о выигрыше телефона Samsung Galaxy S. Для получения «приза» требовалось отправить SMS-сообщение, которое, естественно, оказывалось платным.

Достаточно часто в январе жертвами злоумышленников становились владельцы мобильных телефонов. Пройдя по полученной в SMS-сообщении ссылке на «виртуальную открытку», пользователь активировал троянскую программу, которая отправляла SMS на номер, используемый оператором связи для перевода денег с одного счета на другой. В результате подобной операции пользователь в среднем терял около 200 рублей.

Атаки через Twitter, ставшие популярными в декабре 2010 года, не потеряли свою актуальность: за ссылками, укороченными при помощи сервиса goo.gl, скрывались фальшивые антивирусы, предлагающие пользователю заплатить за удаление «найденных» вредоносных программ.

В январе в рейтинг самых распространенных угроз, заблокированных на компьютерах пользователей, попало сразу несколько зловредов, эксплуатирующих уязвимость, которая была исправлена еще в марте 2010 года. Это говорит о том, что данная брешь в ПО была закрыта далеко не на всех компьютерах. В связи с этим специалисты «Лаборатории Касперского» в очередной раз напоминают о необходимости своевременной установки обновлений.

Всем удачи!

 

21.02.2011 Опубликовано khlebalin | antiviruses | Комментарии отключены

Вирусная пандемия или как закалялась сталь…

Мы живем в самой прекрасной стране, и все остальные нам завидуют – так гласит нам одна из передач транслируемая по телевизору. И только русские люди могут спокойно ничего не делать, зная, что у них в локальной сети тучи вирусов.

Но речь собственно не об этом.

В прошлую пятницу, придя на работу ничто, не предвещало беды. Как обычно, налив чашечку утреннего ароматного кофе, приступил к рутинным ежедневным делам. Но тут случилось непредвиденное: случайно заглянул на сетевой  диск и пришел просто в ужас, все папки превратились в exe файлы. Меня сразу же охватило недоброе предчувствие.

А теперь немного из истории:

До марта месяца 2010 года у нас в компании стоял Kaspersky Total Space Security, но по неведомым мне причинам лицензию отказались продлить. В итоге нам пришлось его «пристрелить». А это не много немало 250 хостов и 25 серваков. Через некоторое  время так же по неведомым для меня причинам у нас появился Symantec Corporate 11 версии. Мы его успешно развернули во всей сети и со временем обнаружили, что сервер антивируса стал показывать столько вирусов в сетке, а она у нас распределенная по нескольким  регионам, что волосы стали шевелиться. В очередной раз сложилось впечатление, что данный антивирус ничего не ловит, либо ловит, но ничего с ними не делает (некоторое время назад, в одной из компаний, где я благополучно трудился  у нас как раз и стоял Symantec Corporate тогда еще 6 версии и на Exchange 2003 у нас постоянно всплывали 10 окошек о том, что сервак буквально кишит вирусняками, но они так и продолжали благополучно всплывать рассылая письма счастья во все концы с нашего сервака), здесь судя по всему произошло тоже самое. Об этой ситуации было незамедлительно доложено руководству, но, к сожалению, а воз и ныне там.

Как говорится: «Пока гром не грянет, мужик не перекрестится» вот он и грянул.

Ну, собственно говоря, после драки кулаками не машут, наступил судный день, пришлось решать проблему.

Для начала снесли Symantec, установили Kaspersky Server (триальную лицензию), тут началось: каспер стал пристреливать экзешники, но они стали появляться снова, стало понятно, что масса компьютеров поражена данным вирусом и они бомбардируют сервак, хорошо, что Каспер показывает с каких адресов, в итоге пришлось отключить с десяток ПК в различных подсетях от сети до излечения, и это все при установленном антивируснике на всех компах.

В итоге после некоторых манипуляций и отключения зараженных компов от сети, ситуация нормализовалась, Каспер нашел 26 пораженных файлов,  но появилась следующая картинка (папки стали скрытыми при том галку скрытый нельзя было никак убрать, и появился autorun.inf , но уже другого содержания). Вот тут Каспер любезно сообщил, что сервер защищен и больше, делать что-либо отказался.

На сервере были видны все папки, но они стояли со статусом скрытые (я затер здесь названия папок):

У пользователей соответственно это выглядело вот так:

Соответственно сам autorun.inf  выглядел вот так:

В инете по запросу slsrv.exe открылось всего 3 ссылки, но там было написано, что это вирус (а это собственно и так понятно) ну и пару вариантов решения. Вот здесь начались наши дальнейшие изыскания:

Пробовали вот это и еще ряд манипуляций с реестром:

1) Пуск –> Выполнить… Пишем regedit и нажимаем «Enter».
2) Находим ключик: HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL – Удаляем параметр CheckedValue в правом окне.
3) Щёлкаем правой кнопкой мыши в этом же окне (справа) и выбраем «создать –> параметр DWORD». Называем его CheckedValue. Cтавим значение «1» (0×00000001) и нажимаем ОК.
4) Заходим в «Сервис» –> «Свойства папки» –> «Вид», находим «Скрытые файлы и папки», отмечаем «Показывать скрытые файлы и папки».

Не помогло…

Пробовали вот это:

http://forum.esetnod32.ru/forum6/topic1187/

Тоже  не помогло.

Далее стали экспериментировать с различными антивирусами AVZ например ничего не показал в принципе. На нем же пробовал запускать различные скрипты типа для излечения, но все тщетно.

Прогнали с для верности еще раз загрузчиком Каспера и Др. веба, но ничего также не было обнаружено.

Далее попробовали прогнать еще  бесплатной утилитой CureIt, здесь выявили интересную особенность: Когда выбираешь просканить локальные диски, ничего не находит, когда выбираешь просканить сетевые диски то показывает вот это:

Находить находит удаляет, но через пару минут файлик появляется снова.

День различных манипуляций результата не принес.

На следующий день с утра появилась новая идея, честно сказать последняя:

Для начала пришлось вернуться к моему любимому Tiny Firewall (в свое время я активно его юзал), установили серверную версию отмониторили все процессы, заблокировали все на наш взгляд подозрительные айпишники. Далее решили еще раз поставить Каспера но уже Антивирус Касперского 2011, просканили в итоге он пристрелил данный autorun.inf.

Появилась возможность сделать скрытые папки видимыми.

В итоге полноценно удалось восстановить работу файл-сервера в субботу к  вечеру (напомню, что упал он в пятницу утром). Вот к чему приводит экономия на антивирусных продуктах.

Всем удачи!

 

16.02.2011 Опубликовано khlebalin | antiviruses | Комментарии (2)