Раздел форума:
Сегодня впервые столкнулся с интересным вредоносом. Не, может он и ранее кому-то попадался, но мне впервые.
Стандартный вирус-блокер. Блокировал не все сайты, а только Google.com и его национальные клоны.
Нашли и вылечили быстро. Спасибо Kaspersky Rescue Disk. НО!
Обнаружили что изменился файл hosts. KRD его заменил, но все также работает блокер.
Полез в свойства сетевого адаптера. Зачем? А черт знает зачем и обнаружил что стоит подмена DNS. …
Удалил - заработало.
Так для меня стало открытием что теперь и такое зверье есть, которое не просто подменяет hosts, а откровенно подменяет DNS.
Кстати, любителям бесплатных антивирусов.
Avast его не видит. Откуда знаю? Клиент привез комп домой.
Дома снова зашли туда же и снова его поймали, с чем я их снова поздравил.
Опять привезут сыну играться :) Хотя... Снова играться, снова платят!
>Обнаружили что изменился файл hosts
Какая стоит операционка и какой антивирус?
Судя по посту Влада, стоял бесплатный Аваст. А ОС, надо полагать, не линуксячья. :)
Это что... Один чувак словил зверя, что ссылки на прон-сайты рассылал. А в РБ за это статья.
>стоял бесплатный Аваст. А ОС, надо полагать, не линуксячья.
Хм, вирусу удалось ПРОБИТЬ защиту и изменить hosts?
1. Что такое "пробить защиту". Клиент работал с правами Администратора
2. Не только изменить hosts, но и изменить настройки сетевого адаптера, изменив DNS.
3. Более того, после повтора (вчера снова поймали то же самое), сегодня сын проверил ПК. Троянов нет, но... настройки DNS снова изменены. Троян поймали на сайте Фотострана.
> Троянов нет, но... настройки DNS снова изменены.
И?
Что и? Клиент не помнит на какую страницу сайта он заходил
И в истории пусто?
:) Что значит пусто? Есть. Скачивал отсюда подобную гадость, ссылка уже сдохла. Суки. Потерял 15 минут выходного дня. Сам сегодня утром поймал. Да. Поскольку это по сути не вирус, антивирус его не видит, запускается. Запускает два процесса "crypto" и "tor". Кстати, привет тем, кто пользуется тором. Не верю я Госдепу США. Там еще чего-то было, был хостс и настройка сетевой. Возврат, настройка, перезагрузка.
http://b241c862fb.servemp3.com/dropbox/?q=masshtabnaya_linejka.zip
>1. Что такое "пробить защиту". Клиент работал с правами Администратора
Обычно антивирус даже такому клиенту НЕ ДАЁТ возможность изменить hosts!
Если, конечно, в настройках антивируса специально НЕ отключена такая защита.
Вы видели такую настройку у Avast? Или у Windows Defender? Подскажите где она?
>Вы видели такую настройку у Avast? Или у Windows Defender?
У меня Avira. Если попытаться изменить hosts - всплывает окно сообщения - там можно отключить или включить эту возможность. Даже для администратора.
Впрочем, я ж не сидел за этим ПК :)