Стеклохолст паутинка - стеклообои wellton. Menu

вирус подмены страниц

Попался мне на работе один ноутбук, с вредоносным кодом который принято называть «вирус подмены страниц». в любом браузере при запросе к yandex.ru или google.* открывается «Яндекс ой» или «Google ведите код по sms». при этом hosts файл чист, внутренние записи настроек браузеров, чистые, AVZ не находит, KAV молчит, CureIt вызывает ошибку самого себя и зависает. но к моему удивлению мошенники оказались на столько не осторожны, что забыли скрыть в строке статуса, запуск «скрипта прокси сервера…». это файл с расширением vbs и его роль заключалась всего лишь в подмене кода страницы, то есть ip сервера правильный, но в браузерах открывалась подменная страница, стоит открыть ее html код и все сразу будет ясно, такой html код не один адекватный webmaster не сделает, это просто копия реальной уже скомпилированной скорее всего для opera, страницы проверки от спам запросов яндекса с грубой вставкой скриптика запроса телефона и ввода кода, код мошенникам не нужен. это просто их «фишка» если указать в форме запроса мобильного номер, придет сообщение с вопросом. сколько вам лет? или нечто подобное. НИКОГДА НЕ ОТВЕЧАЙТЕ НА ЭТИ ВОПРОСЫ! ответ означает согласие на покупку или оплату услуги которой не существует. стоимость может быть любой, в зависимости от наглости мошенника.

потом как соберусь напишу как вылечить компьютер от этого вируса, хотя я не могу назвать эту заразу вирусом. это просто вредоносный код. если вы специалист то в тексте написано где надо копать. кстати там заменены несколько файлов обработчика сценариев vbs на уязвимые, но удалять их можно смело, они заменятся на нормальные.

после того как я удалил все файлы этой компьютерной заразы, все браузеры перестали понимать HTML5, пришлось переустановить Mozilla FireFox и о чудо все браузеры стали понимать HTML5 поэтому сейчас написать коротко что и где и чем удалить не получится, нужно понять что мне попалось под «горячую руку»  🙂

вирус подмены страниц, типичная ситуация в браузере
страница google, на зараженном компьютере, блокируется средствами браузера, если все же войти на страницу можно посмотреть существующий сертификат только он не google а от mail.ru
ScreenShot 4
так выглядит разблокированная страница google на зараженном компьютере
так выглядит страница yandex на зараженном компьютере, обратите внимание на url замечу что ip тоже принадлежит yandex, трафик скачивает равный полной странице yandex
вирус подмены страниц

Зерно мудрости...

. На блёстку дней, зажатую в руке,
Не купишь Тайны где-то вдалеке.
А тут — и ложь на волосок от Правды,
И жизнь твоя — сама на волоске. . Хоть превзойдешь наставников умом, —
Останешься блаженным простаком.
Наш ум, как воду, льют во все кувшины.
Его, как дым, гоняют ветерком. . Омар Хайям.

Добавить комментарий