foto15.scr — распространяемая во ВКонтакте зараза

Сегодня в социальной сети ВКонтакте мне пришло вот такое вот личное сообщение:

0_32284_faef7c04_L

Я к таким привык и обычно их удаляю не глядя. Но сегодня почему-то меня оно заинтересовало. Несчастную девушку взламывали на моей памяти уже три раза; стало интересно, как можно столько раз наступать на одни и те же грабли.

Внимание! У foto15.scr есть более опасный собрат типа «Windows заблокирована». О нем немного написано в конце.

Для начала решил глянуть на ссылку. В ней символы заменены кодами для большей конспирации, а имеет она вид http://vkontakte.ru/away.php?to=http://sitename, то бишь ведет на сторонний сайт. Адрес сайта меня ужаснул: http://www.21.http.vkontakte.ru.***.in — домен аж 6 уровня! Бррр.

При нажатии по ссылке сайт не открывается, зато скачивается файлик foto15.scr. SCR — файл скринсейвера, по-сути тот же исполняемый файл DOS/Windows. Честно скажу, не знаю как он себя ведет в Windows, но наверное все же его нужно запускать вручную. В моей же Ubuntu он выглядит вполне так безвредно и даже беспомощно. Файл имеет размер 95 кб, описание «Программа-заставка» и иконку JPG-изображения.

При запуске файла вылазит вот такая картинка:

f-image

По-идее, рядовой пользователь получил что он хотел — увидел изображение, пусть даже не то, которое было обещано. Этот маневр позволяет усыпить бдительность пользователя.

Также при запуске foto15.scr в автозагрузку прописывается svcgoost.exe. Этот процесс с определенной периодичностью перезаписывает файл hosts, не позволяя тем самым пользователю его отредактировать.

К слову сказать, файл hosts получает атрибуты «только чтение» и «скрытый», а его содержимое выглядит так:

f-hosts

При попытке зайти, например, ВКонтакте, пользователь увидит страницу с просьбой отправить SMS на короткий номер и ввести код активации.

Как избавиться от последствий?

Зайти в редатор реестра (regedit или аналогичные решения), перейти по ветке HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run и удалить ключ ATI helper
Запустить диспетчер задач (комбинация клавиш Ctrl + Alt + Del), вкладка «Процессы», завершить процесс svcgoost.exe.
Перейти в папку C:\Documents and Settings\имя_пользователя\Local Settings\ и полностью удалить папку Temp.
Если папка не удаляется, перезапустите компьютер и попробуйте снова пункт 3.
Удалить весь текст из файла hosts (расположен по адресу C:\Windows\system32\drivers\etc). Не забывайте, файл имеет атрибуты «скрытый» и «только чтение», их стоит предварительно снять. Также можно воспользоваться функцией «Откатить» программы WinHostEditor.
UPD. Как было сказано выше, у foto15.scr есть более опасный тезка из рода «Windows заблокирована». Для разблокировки можно воспользоваться следующими сервисами:

  • Dr.WEB
  • ESET
  • Virusinfo
  • Kaspersky

После этого стоит провести полную антивирусную проверку вашего компьютера.

P.S. Чтобы не стать жертвой злоумышленников, достаточно иметь немного серого вещества в голове. Оно на интуитивном уровне отличит хорошее сообщение от заведомо фейкового, а быстро сработавший инстинкт самосохранения не даст перейти по ссылке из фейкового сообщения. И уж тем более не следует запускать файлы с непонятными или подозрительными расширениями. Хотя иногда у людей любопытство пересиливает инстинкт самосохранения: «Что ж это за фото-то такое??7″. Тут медицина бессильна, лечит лишь свой печальный опыт.

Читайте так же:
Оставить комментарий

Последние публикации