Пользователей Skype атаковал вирус


Пользователи сервиса Skype начали получать от своих друзей в списке контактов ссылку, которая ведёт на сайт с вредоносным файлом. В сообщении, сопровождающем ссылку, спрашивают, действительно ли это новое изображение пользовательского профиля.

Как рассказали в службе технической поддержки антивирусной компании «ВирусБлокАда», «Вы можете получить личное сообщение от одного из ваших контактов вида: «ey eto vasha novaya kartina profil'?» со ссылкой. НИ В КОЕМ СЛУЧАЕ НЕ ПЕРЕХОДИТЕ ПО ССЫЛКЕ! Обязательно проверьте настройки скайпа, чтобы избежать распространения вируса».

Сделать это можно, проверив настройки клиента Skype:

Настройки > Дополнительно > Расширенные настройки > Контроль доступа других програм к Skype – не должно быть никаких программ.



Перед тем, как перейти по сокращенной ссылке, проверьте её с помощью сервиса расшифровки линков, например longurl.org. При расшифровке обратите внимание на доменное имя сайта, который может перенаправить вас на фишинговую или заражающую вирусом страницу.

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с заражённого компьютера.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, необходимо своевременно устанавливать обновления безопасности для ОС Windows.

Вирусный аналитик компании «ВирусБлокАда» Алексей Герасименко отмечает:

–  По ссылке пользователю предлагается скачать архив ZIP, содержащий .exe файл. Этот файл представляет из себя сетевой червь Worm.NgrBot (или Dorkbot), известный уже достаточно давно. После запуска копирует себя в папку %APPDATA% со случайным именем наподобие Yojwju.exe, регистрирует этот файл в автозапуске Windows (в частности, в ветку HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run). Содержит в себе бэкдор-компоненту для подключения заражённого компьютера в ботнет. Команды от управляющего сервера передаются по IRC протоколу. Крадёт пароли к учётным записям от таких сервисов, как YouTube, Gmail, Facebook, Letitbit, Sms4file, Vip-file, и др. Блокирует доступ к сайтам, доменные имена которых содержат следующие строки:

webroot., fortinet., virusbuster., nprotect., gdatasoftware., virus., precisesecurity., lavasoft., heck.tc, emsisoft., onlinemalwarescanner., onecare.live., f-secure., bullguard., clamav., pandasecurity., sophos., malwarebytes., sunbeltsoftware., norton., norman., mcafee., symantec, comodo., avast., avira., bitdefender., eset., kaspersky., trendmicro., iseclab., virscan., garyshood., viruschief., jotti., threatexpert., novirusthanks., virustotal.


Содержит функционал для проведения DDoS-атаки и перенаправления пользователя на вредоносные сайты. Характерная черта Worm.NgrBot – для определения IP-адреса заражённого компьютера обращается на сайт api.wipmania.com. Может распространяться через флэш-носители, используя широко известный механизм автозапуска посредством файла autorun.inf. При этом вредоносный файл располагается в скрытой папке RECYCLER. Распространяется через социальные сети, отправляя ссылки на себя в популярных социальных сетях и сервисах обмена мгновенными и сообщениями (Vkontakte, Facebook, Twitter и т.д.)



Один из вариантов лечения:


Так как файл вредоносной программы скрыт от обнаружения стандартными средствами Windows благодаря установленным в системе перехватам API функций, для его обнаружения и удаления можно использовать специальные утилиты, например Vba32 AntiRootkit.

1. После запуска антируткита в появившемся диалоге ответить “No” и дождаться его загрузки;
2. Выбрать в меню Tools > Low Level Disk Access Tool;
3. В левой части окна утилиты «Level Disk Access Tool» выбрать путь к папке %APPDATA%.
Например, в ОС Windows XP путь к %APPDATA% имеет вид "Х:Documents and SettingsUsernameApplication Data", в Windows Vista и 7 – “X:UsersUsernameAppDataRoaming”, где X: - имя системного диска, Username – имя пользователя;
4. При этом в правой панели утилиты станет виден вредоносный файл с бессмысленным именем наподобие Yojwju.exe;
5. Щелчком правой кнопки мыши по файлу вызвать контекстное меню, в котором нужно выбрать команду «Delete File» (см. рисунок);
6. В появившемся диалоге подтвердить удаление файла нажатием на кнопку «Yes»;
7. Выйти из антируткита и перезагрузить компьютер.





Если вы заметили ошибку в тексте новости, пожалуйста, выделите её и нажмите Ctrl+Enter
4 балла
--+

Комментарии:
  Андрей Гусаров / 08 October 2012 10:37 0
Вирус присылает сообщение на том языке, который чаще использует пользователь и тексты разные всегда практически:) Забавно смотреть за его развитием
  AmiGo / 08 October 2012 13:41 0
две собразительные дэушки на работе уже пооткрывали......

Открыл настройки клиента, а там в кдпи SKypeNames2.exe....
  pcrp / 15 October 2012 08:42 0
в своем Андроиде не нашла подобных настроек, скайп на планшете -- какая-то редакция для блондинок, три кнопки и ничего "Расширенного".

Для добавления комментария надо зарегистрироваться и авторизоваться.
Добавить комментарий можно после авторизации через Loginza. Yandex Facebook Google Вконтакте Mail.ru Twitter Loginza MyOpenID OpenID


SEO персоны

Ваня Равовой
Компания: ISD Studio
Должность: штатный SEO специалист
Александр Волосевич
Компания: Best Masters
Должность: Администратор
Дмитрий Бобров
Компания: ABIATEC
Должность: Технический директор
ТОП SEO персон

SEO компании

OOO "Интернет-Маркетинг"
Seo, реклама, интернет, маркетинг, создание сайтов
Abiatec
Разработка и продвижение сайтов для бизнеса
ООО "Вебернетик"
Поисковый маркетинг, контекстная реклама, баннерная реклама...
ТОП SEO компаний

Популярные материалы

Михаил Райцин: ''Мы не против стать Китаем на SEO-рынке''

Михаил Райцин, мУркетолог, разработчик бирж Miralinks и WebEffector, дал специальное интервью для Raskrutka.by, где рассказал о годе трафика, WebEffector и конкурентах, а также своих увлечениях.

11.03.2010
  candy hard 23 балла 16

Извилистые пути Девушки-из-Сети

Что думает о байнете и кризисе одна из известнейших белорусских блоггерш Алена aka Девушка, живущая в Сети.

02.03.2009
  candy hard 17 баллов 12

Банковские пластиковые карты Яндекс.Деньги для белорусов: так ли все однозначно?

На прошлой неделе Яндекс запустил новую услугу – выпуск банковских пластиковых карт для Яндекс.Деньги. Об этом Raskrutka.by уже писала ранее. Несмотря на заявление о том, что пользоваться этой карточкой белорусы могут свободно, нас обуяли сомнения: все ли так однозначно?

02.05.2012
  admin 14 баллов 15

Последние вакансии

Программист

Компания: LetItBuild LLC
Должность: Программист
Зарплата (у.е.): 2000

03.12.2014

Программист

Компания: LetItBuild LLC
Должность: Программист
Зарплата (у.е.): 2000

03.12.2014

Программист

Компания: LetItBuild LLC
Должность: Программист
Зарплата (у.е.): 2000

03.12.2014