0

Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение

Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение

18-19 мая 2010 года Антивирусный портал VirusInfo зафиксировал вспышку инфекции.

Наименование:

Trojan.Win32.Agent2.cqzi (Лаборатория Касперского)
Trojan.DownLoad1.59108 (Dr. Web)
Gen:Variant.Oficla.2 (BitDefender)
Win32:Rootkit-gen [Rtk] (avast!)

Самоназвание:

неизвестно

Симптомы:

Вредоносное ПО отображает пользователю навязчивый рекламный баннер порнографического содержания и для его отключения предлагает отправить SMS-сообщение с определенным текстом на короткий номер 3381. Из обращений пользователей известно, что вымогатель способен противодействовать работе антивирусных инструментов.

Состав вредоносной программы:

Основным компонентом Trojan.Win32.Agent2.cqzi является объект %system32%\srnh.lto. В протоколах AVZ отображается в качестве модуля, внедренного в процесс svchost.exe; в результатах исследования системы утилитой HijackThis виден в секции F2 (ключ Winlogon / Shell):

Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe srnh.lto iqfnr

Также на пораженных ПК были отмечены вредоносные модификации ключа реестра

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

Содержимое ключа варьируется в зависимости от конкретного образца вредоносной программы.

Рекомендации в случае заражения:

Если ваш ПК заражен вредоносным ПО Trojan.Win32.Agent2.cqzi, то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Так как основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя этого вредоносного программного обеспечения не может быть сформирован. Наиболее простым способом дезактивации рекламного баннера является обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер», которой принадлежит короткий номер, используемый злоумышленниками.

Телефонные номера технической поддержки поставщика услуг:

  • +7 800 100 7337 (федеральный)
  • +7 495 363 1427 (московский)

Назовите оператору необходимые сведения о вредоносном ПО, чтобы получить код разблокирования.

Обращаем ваше внимание на то, что обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер» и последующая разблокировка не позволяют полностью излечить пораженную ОС. После дезактивации вредоносного ПО мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

Самостоятельное лечение:

Также вы можете уничтожить вредоносную программу самостоятельно с помощью загрузочного диска Kaspersky Rescue Disk 10, который позволяет вылечить компьютер, не загружая зараженную операционную систему Windows.

  1. Скачайте образ диска.
  2. Запишите его на CD или DVD.
  3. Вставьте записанный диск в лоток и перезагрузите компьютер.
  4. Следуйте указаниям программы.

Дополнительная информация о Kaspersky Rescue Disk 10: http://virusinfo.info/showthread.php?t=77717

Примеры жалоб:

http://virusinfo.info/showthread.php?t=78437
http://virusinfo.info/showthread.php?t=78620
http://virusinfo.info/showthread.php?t=78651
http://virusinfo.info/showthread.php?t=78664
http://virusinfo.info/showthread.php?t=78671

Источник: Антивирусный портал VirusInfo

__________________

Метки: , ,

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Создание и продвижение сайтов WebLine Studio © 2008-2020