Стеклохолст паутинка - стеклообои wellton. Menu

вирус подмены страниц

Попался мне на работе один ноутбук, с вредоносным кодом который принято называть «вирус подмены страниц». в любом браузере при запросе к yandex.ru или google.* открывается «Яндекс ой» или «Google ведите код по sms». при этом hosts файл чист, внутренние записи настроек браузеров, чистые, AVZ не находит, KAV молчит, CureIt вызывает ошибку самого себя и зависает. но к моему удивлению мошенники оказались на столько не осторожны, что забыли скрыть в строке статуса, запуск «скрипта прокси сервера…». это файл с расширением vbs и его роль заключалась всего лишь в подмене кода страницы, то есть ip сервера правильный, но в браузерах открывалась подменная страница, стоит открыть ее html код и все сразу будет ясно, такой html код не один адекватный webmaster не сделает, это просто копия реальной уже скомпилированной скорее всего для opera, страницы проверки от спам запросов яндекса с грубой вставкой скриптика запроса телефона и ввода кода, код мошенникам не нужен. это просто их «фишка» если указать в форме запроса мобильного номер, придет сообщение с вопросом. сколько вам лет? или нечто подобное. НИКОГДА НЕ ОТВЕЧАЙТЕ НА ЭТИ ВОПРОСЫ! ответ означает согласие на покупку или оплату услуги которой не существует. стоимость может быть любой, в зависимости от наглости мошенника.

потом как соберусь напишу как вылечить компьютер от этого вируса, хотя я не могу назвать эту заразу вирусом. это просто вредоносный код. если вы специалист то в тексте написано где надо копать. кстати там заменены несколько файлов обработчика сценариев vbs на уязвимые, но удалять их можно смело, они заменятся на нормальные.

после того как я удалил все файлы этой компьютерной заразы, все браузеры перестали понимать HTML5, пришлось переустановить Mozilla FireFox и о чудо все браузеры стали понимать HTML5 поэтому сейчас написать коротко что и где и чем удалить не получится, нужно понять что мне попалось под «горячую руку»  🙂

вирус подмены страниц, типичная ситуация в браузере
страница google, на зараженном компьютере, блокируется средствами браузера, если все же войти на страницу можно посмотреть существующий сертификат только он не google а от mail.ru
ScreenShot 4
так выглядит разблокированная страница google на зараженном компьютере
так выглядит страница yandex на зараженном компьютере, обратите внимание на url замечу что ip тоже принадлежит yandex, трафик скачивает равный полной странице yandex
вирус подмены страниц

Зерно мудрости...

Зачем ты пользы ждёшь от мудрости своей?
Удоя от козла дождёшься ты скорей.
Прикинься дураком — и больше пользы будет,
А мудрость в наши дни дешевле, чем порей.
Зачем копить добро в пустыне бытия?
Кто вечно жил средь нас? Таких не видел я.
Ведь жизнь нам в долг дана, и то -- на срок недолгий,
А то, что в долг дано, не собственность твоя.
Знаю сам я пороки свои. Что мне делать?
Я в греховном погряз бытии. Что мне делать?
Пусть я буду прощен, но куда же я скроюсь
От стыда за поступки мои? Что мне делать?
Ты формы отлива людей сотворил издавна.
Что ж наша природа различных изъянов полна?
Коль форма из глины прекрасна, зачем разбивать,
А если плоха эта форма, чья в этом вина?
Душа, ты собери, что нужно в этом мире,
Пусть только радости лужайка будет шире
Садись росой на луг зеленый в вечеру,
А поутру вставай, всю ночь пробыв на пире. Омар Хайям.

Добавить комментарий