По сети "ВКонтакте.ру" началось распространение деструктивного червя

4761 подписчиков

Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении опасного червя среди подписчиков популярной социальной сети "ВКонтакте.Ру". Червь определяется антивирусом Dr.Web как Win32.HLLW.AntiDurov. Вирус рассылает с инфицированных машин другим пользователям сети "ВКонтакте.Ру" ссылку на картинку в формате .jpg, ведущую на ресурс злоумышленника в сети Интернет. Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является файлом червя. Будучи запущенным на компьютере жертвы, червь сохраняет на диске саму картинку, которая и вызвала любопытство неосторожного пользователя, и запускает штатное приложение, используемое в системе для просмотра файлов jpeg. Таким образом, пользователь видит то, что ожидал увидеть, не подозревая, что стал жертвой злоумышленника. А между тем на его компьютере происходят весьма неприятные события. Скопировав себя в папку C:\Documents and Settings\*UserDir*\Application Data\Vkontakte под именем svc.exe, червь устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к "Вконтакте.Ру" в cookies, используемых броузером. Если пароль находится, то червь получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку. Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена): Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом! Одновременно с этим начнется удаление с диска C: всех файлов, спастись от которого можно только моментально выключив компьютер. PS Итак, меня начали спрашивать как удалить этот вирус... начнем-с: нажмите CTRL+ALT+DEL и откройте Диспетчер Задач, вкладку "Процессы": http://vkontakte.ru/photos.php?act=show&id=-3056665_113175774 Там найдите все процессы svc.exe (их может быть несколько) и завершите их. Следующим шагом зайдите Пуск/Выполнить..., в открывшемся окошке введите CMD и нажмите ОК. Далее в новом окошке вводим сначала: cd %APPDАТА%\Vkontakte (cd[пробел]%APPDАТА%\Vkontakte) и жмем Enter, потом: del /f svc.exe (del[пробел]/f[пробел]svc.exe) и жмем Enter. http://vkontakte.ru/photos.php?act=show&id=-3056665_113175775 Если вы сделали все правильно, то вирус должен покинуть ваш компьютер. Дополнительно кому хочется и кто знает как - можно удалить оставшиеся хвосты из служб и из автозагрузки, но это уже особо и не нужно. PPS Попал на эту встречу сам - пригласи друзей - они могли тоже пострадать Вопросы можно задавать мне в личку или на ICQ 230616060 PPPS Подводя итог самых частых вопросоз за вчерашний день (ОСОБЕННО МНЕ ПОНРАВИЛИСЬ КРЫСАВИЦЫ И КРЫСАВЧЕГИ, КОТОРЫЕ ПИСАЛИ В 3 ЧАСА НОЧИ!!!!!!!!), хочу отметить следующее: 1. Если у вас изначально нет процессов SVC.EXE - да, это значит, что вы не заражены (хотя лучше перезагрузить компьютер и проверить - не появятся ли они после перезагрузки) 2. Нет, процесс SVCHOST.EXE, NVSVC.EXE, CISVC.EXE и прочие процессы кроме именно SVC.EXE не являются вирусами и снимать их НЕ НАДО! Надо снимать только SVC.EXE!!! 3. Чтобы проверить в конце концов удалось ли вам удалить вирус - перезагрузите компьютер и посмотрите - не появились ли после перезагрузки процессы SVC.EXE. Если их нет - то и вируса больше нет. 4. Если ничего не помогает - достаньте винчестер и прокипятите его не менее 10 минут. Это поможет вам простерилизовать всю систему и удалить все вирусы со своего компьютера. 5. Я не несу ответственности за ваши действия - любые действия вы производите на свой страх и риск.