Вирус Trojan.Winlock (с запросом SMS) и как с ним бороться
Столкнулся тут в эту среду с одной проблемой - заразили один из моих компов вирусом Trojan Winlock (какой именно модификацией – не знаю). Вирус этот действует следующим образом – при загрузке системы появляется огромное окно поверх остальных окон, которое невозможно ни свернуть, ни закрыть, и в окне этом сообщение имитируется проверка моего компа моим антивирусником (Kaspersky Internet Security 2009, на который у меня истекла лицензия ещё 30 ноября и которую я пока ещё не продлил). После этого в этом же окне вылезает сообщение «Работа системы заблокирована для предотвращения дальнейшего распостранения вредоносного ПО. Для продолжения работы и очистки вашей системы от вирусов и троянов необходимо активировать вашу копию. Чтобы получить код активации, отправьте СМС с кодом К206624100 на номер 4460 (ну и т.д. вощщем)» (скриншот сообщения скинул сюда: http://img42.imageshack.us/img42/8379/0470y.jpg).
Ясен пень, это вирусняк. Начал я его лечить. Сунулся в реестр – не работает… Панель управления не открывается… Попробовал восстановить систему из контрольной точки – этот вирус всё блокирует… Приложение ни одно открыть невозможно – всё блокируется… Надстройки IE, через которые произошло заражение, отключить тоже никак, т.к. Internet Explorer не открывается, как и другие приложения… Полная (_|_) короче… Восчем, вылез в нет с другого компа, нашёл решение данной проблемы и решил поделиться (т.к. вирус этот довольно распостранённый). Проникает он на комп под видом надстройки к браузеру (будь то Internet Explorer, Google Chrome и т.д.) Adobe Flash Player 10 – т.е. надстройки, используемой браузером для просмотра видео. После первой перезагрузки после «проникновения» эта сука полностью лочит комп, как я описал уже выше (вариаций таких сообщений, как появилось у меня на экране, великое множество в зависимости от версии и модификации вируса). Решение данной проблемы следующее: В качестве активационного кода вводим следующую комбинацию на основе этой таблицы:
К = 1--2--3--4--5--6--7--8--9
----------------------------------
0 = 8--9--1--2--3--4--5--6--7
----------------------------------
1 = 9--1--2--3--4--5--6--7--8
----------------------------------
2 = 1--2--3--4--5--6--7--8--9
----------------------------------
3 = 2--3--4--5--6--7--8--9--1
----------------------------------
4 = 3--4--5--6--7--8--9--1--2
----------------------------------
5 = 4--5--6--7--8--9--1--2--3
----------------------------------
6 = 5--6--7--8--9--1--2--3--4
----------------------------------
7 = 6--7--8--9--1--2--3--4--5
----------------------------------
8 = 7--8--9--1--2--3--4--5--6
----------------------------------
9 = 8--9--1--2--3--4--5--6--7
Суть в следующем – вместо каждой из букв и цифр указанного сообщения (которое нужно отправить на короткий номер), нужно поставить соответствующие цифры из одного из столбцов справа (столбец должен быть один для всего кода) - получаем 9 кодов, один из которых подойдёт :) То, какой именно будет код в вашем случае, зависит от текущей даты. Допустим в моем примере (с сообщением К206624100) код активации был 7752279655 для сегодняшней даты (13.01.2010) и 8863381766 для 15.01.2010 (дату можно поменять в BIOS , если кто не в курсе). После введения этого «активационного кода» в окошке изображается процесс «лечения» системы и потом всё работает нормально.
Вот таким вот образом некоторые неглупые ребята рубят огромные бабки (даже если 5% пользователей зараженных компов отправит SMS на короткий номер, уже приличная сумма получается). Может тоже подобной шнягой заняться? )))))))))))))
ПыСы Естественно, после всего этого просто необходимо пройтись нормальным антивирусником по компу и уничтожить гада (ибо он запустится опять при следующем обращении браузера к данной надстройке) :) Так что пришлось мне обновить KIS до 10-й версии и продлить лицензию ((((((((((((
ПыПыСы Вот ещё пара полезных сайтов, где можно найти генераторы ключей и советы по обезвреживанию данного вируса:
1) http://news.drweb.com/show/?i=304&c=9&p=0
2) http://seocekret.ru/udalenie-virusa-kotoryj-prosit-otpravit-kod-po-sms-chast-2/
Только авторизованные смотровчане имеют возможность добавлять комментарии.
Зарегистрируйтесь или войдите.