Регистрация Вход
Город
Город
Город

Вирус-мошенник и социальные сети.


В общем, хочу рассказать Вам об одном из видов мошенничества практикуемого ныне в Интернете. Надеюсь, что эта информация, поможет кому-нибудь в дальнейшем не налететь на кругленькую сумму.  В общем, для примера возьмём мой конкретный вчерашний случай.

1.
Если Вы хотите войти в свой аккаунт вконтакте и видите вот такое объявление....



2. ....или Вам нужно попасть в одноклассники и Вы видите это объявление, то...


...знайте, что на Вашем компьютере поселился очень хитрый вирус, который подменяет оригинальные странички соцсетей (или каких угодно страничек) - СВОИМИ! Подменив страницу он во-первых, блокирует доступ к ней, а во-вторых, начинает заниматься вымогательством (Ввведите свой номер телефона, мы Вам пришлём код, отправьте полученный код нам по короткому номеру 5581. Вот здесь самое интересное. Проверим стоимость отправки одного SMS по этому короткому номеру. Для абонентов МТС есть такой сервис  услуги по коротким номерам.

3. Вводим короткий номер, по которому мы должны отправить полученный персональный код.



4. А теперь давайте посмотрим цену за одну SMSку на этот номер.... ОГО-ГО!!! Неплохая цена :)



Но как показывает практика, одной SMSки для разблокировки будет не достаточно! и поэтому особо одарённые товарищи могут налететь на кругленькую сумму. Рассчитать которую, можно по этой формуле (304, 8руб умноженные на желание попасть в соцсеть и персональный уровень IQ).

Если Вы всё же отправили эти платные SMS сообщения, то не стоит унывать. Пишите жалобу, в МТС (или любому другому оператору) и требуйте разбирательств по Вашему делу.

5. Форма для жалоб и предложений.



Если это не поможет, то смело подавайте заявление в полицию (т.к. это мошенничество чистой воды и есть состав преступления) и суд. Обычно, когда дело начинает пахнуть керосином, то сотовые операторы идут на попятную и возвращают деньги.

Теперь о самой вредоносной программе. Во-первых, этот вирус очень хитрый и скрытный т.к. на моём компьютере он не был обнаружен двумя антивирусами (Avast, DrWeb) с последними августовскими обновлениями. Честно скажу, пока я до конца его так и не извёл, но нейтрализовать и удалить его побочное действие можно так:

1. Нейтрализация (временная мера) для одноклассников. Вместо odnoklassniki.ru входите на сайт odnoklassniki.ua . Украинская страничка точно такая же, как и российская.



2. Удаление файла hosts (директорию где он лежит см. на картинке) снимает проблему с обоих соцсетей, но действует это удаление только до тех пор пока вы не перезагрузите компьютер.


3. Полное решение этой проблемы, как мне видится можно реализовать тремя способами:
- пролечить комп новыми антивирусами (попробуйте Касперского)
- переустановить Windows
- выкинуть комп, пойти гулять на улицу  и забыть про эти долбанные соцсети (чего и Вам советую ;)



Источник: своё

Поделитесь с друзьями:

Смотрите также:

вирус вконтакте мошенничество одноклассники социальные сети

 

Комментарии:

Agent Smith

Это не самая зловредная программа-вирус. Есть такие, что не дают возможности работать на компьютере, заставляя посылать платную СМС-ку за спасительным "кодом".
Единственный способ избежать появления таких вредоносных программ у себя на компьютере это установить firewall. Я лично советую COMODO (без антивируса), это бесплатно и очень эффективно.

Ответить

firewal это спасение только в ситуации, когда ты понимаешь что разрешаешь, а что запрещаешь. Есть опыт когда чайнику был поставлен антивирус с файерволом, так он запрещал нужные приложения и разрешал ненужные итог файервол был удален как мешающий нормальному существованию :-)

Ответить

Артём

Когда ты заходишь не из домашнего региона, настоящий проверяльщик Вконтакте спрашивает лишь последние 4 цифры твоего телефона, и если ты их правильно ввёл, тебя сразу пускают на сайт.
Спасибо за пост, будем знать!

Ответить

Елена

Узнать стоимость смс-ки на любой короткий номер можно не только через сайт МТС. Можно прямо по с сотового отправить знак вопроса ? на тот самый короткий номер (как у вас 5581). Это бесплатно, а в ответ МТС пришлет смс-ку со стоимостью смс-ки на этот номер. Частенько пользуюсь этой услугой :)

Ответить

И вот тут налетаем. Нынешние умники выводят несколько страниц с вопросами и за каждую берут таксу.

Ответить

Робинзон

у меня этих hosts ажно две штуки. И чтобы это значило?

Ответить

Значит вирус. Один из файлов с русской буквой о (этот фейковый), а другой с невидимыми атрибутами (настоящий).

Ответить

А, да, в настоящий файл вирус суёт всякую свою хрень, а фейковый, который вы только один и будете видеть с дефолтными настройками венды, выглядит безобидно.

Ответить

это старая проблема. сейчас попробую найти как это лечить.
реально там связка вирусов. один берет права и уходит на нулевой уровень ядра системы при загрузке, потому антивирусы и не ловят. он маскирует остальную гадость, подменяющую адреса и пересылающую на фэйковые страницы с тиребованием смс-ок.

Ответить

Короче, у меня был случай чуток древнее и на другой короткий номер, но принципы одни и те же, ручками покопаетесь - найдете.
Помог софт: CCTask, Каспер Virus Removal Tool, Far, вторая система на компе.
Связка руткит+зверушка. Руткит скрывал от системы и антивирусов зверушку, рядом с hosts был скрыт от системы и антивирей файл host2, подменяющий ip для сайтов типа ВКонтакте, Однокласники, некоторые банковские и прочие.
Примерный задел:
CCTask - отслеживал все процессы на компе и показывал какой процесс с какими файлами (exe и dll) связан - помогает определить подозрительные моменты (кто разбирается)
Всем:
- грузим под другую систему (можно LiveCD того же АльтЛинуха, но там с софтом большинству проблемно, так что по умолчанию описываю по винде и простому доступному софту) и шерстим в FAR у больной системы /system32/drivers/etc на предмет наличия host2 (вместо s на конце цифра 2) или иной сомнительный файл с датой создания-изменения за последние дни (опционально).
- смотрим содержимое сомнительных файлов (по F3), если есть набор левых ip и им ставятся в соответствие сайты типа вконтакте и прочих - скорее всего нашли часть заразы. редактируем содержимое по F4 - очищаем файл. по ctrl+a ставим атрибуты файлу на только чтение, архивный и системный (скрытый уже стоит, скорее всего)
- берем свежий каспер virus removal tool и гоняем по всему диску
- там же в far чистим "больной" системе все профили пользователей от временных инет файлов и темпов, включая темп в системе
в простых случаях этого хватит

Ответить

есть у firefox такая приблуда - worldip - показывает ip сайта, который просматривается, его регион и провайдер/датацентр - внимательный человек сразу сообразит если что-то изменилось и вместо привычных ip-шников контакта будет что-то начинающееся, например, на "66." или еще какую фигню

Ответить

Автор забыл ещё один способ: установить Линукс, любой. Вирусы, писаные под винду, там не работают.

Ответить

ГитарИстка

Или работать на макентоше)

Ответить

G0dlike

гениально...
антивирусы давно отменили?

Ответить

Да, да. И компьютер помощнее. На маломощных компьютерах антивирусы загребают все ресурсы и превед.
К тому же видите, у человека их аж два было. И ни один не помог. Надо три поставить? Четыре? Пять? Гениально!

Ответить

ГитарИстка

Первый способ:
- Ищем и открываем папку C:\WINDOWS\system32\drivers\etc.
- В данной папке ищем файл hosts и открываем его через Блокнот (текстовый редактор).
- Ищем там строку «127.0.0.1 localhost» удаляем всё, что идёт после нее.
- Сохраните отредактированный файл.
- Перезагружаем комп.
Второй способ:
- "Пуск” -> "Выполнить” в окне что открылось вводим
%SYSTEMROOT%\system32\drivers\etc\hosts и в открывшемся окошке выберите "Блокнот”.
- Когда этот файл откроется в блокноте, посмотрите, если в нём написано про vkontakte.ru, то удалите эти строки.
- Откройте Поиск и введите имя файла vkontakte.exe, в дополнительных параметрах укажите "Поиск в скрытых файлах и папках” и "Поиск в системных папках”, после чего выполните поиск по всем дискам компьютера.
- Удалите найденный файл «vkontakte.exe«.
- Проверьте компьютер на вирусы обновленным антивирусом.
-Если в первом пункте не открывается документ %SYSTEMROOT%\system32\drivers\etc\hosts, то выключайте компьютер, потом включите и заходите в «Безопасном режиме» и проходите все пункты с первого по пят

Ответить

выше посмотрите. там описан вариант когда подмена ip шла не по стандартному hosts (там давно уже меняют только ламеры), а по скрытому от просмотра и обнаружения host2 при помощи хитрого руткита

Ответить

Мощьно! Был опыт общения???

Ответить

DmitrySh

ГитарИстка, увы но оба способа не помогли мне избавиться от этой заразы :(

Ответить

Дмитрий, посмотрите вариант выше. скорее всего у вас подмена ip в замаскированном файле, как было описано в комментариях.

Ответить

Робинзон

Спасибище за совет. Как раз сегодня хватанул. Первым способом вроде проблему решил.

Ответить

Автор, иди на странички вебера и касперыча, и качай(бесплатно!) разовые лечилки(лучше - загрузочный образ диска - так точно ядро ОСи пролечишь). Ну и фаервол - обязательно!!! благо их бейсплатных сейчас - масса. А антивир, по мне так вообще вещь бесполезная - комплект фаервол+лечилки, куда как легче и эффективней.

Ответить

bov

мне от webа не помог. а вот простая утилитка avz все поправила ;)

Ответить

Да, хорошо касперовская чистилка работает. Тоже пользовал, у вебера то ж подобная есть, но пока не пробовал...

Ответить

Непонятно чем файл hosts не угодил.
Обычно он такой:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost

Ответить

раньше туда прописывалась подмена ip для направления на фэйкоую страницу, сейчас туда пишут только ламо-вири, нормальные продукты свою зловредность аккуратно маскируют)))
больше половины таких вот смс-блоков для вконтакте и одноклассников - фэйковые страницы на левых ип-адресах. в лучшем случае - косят под блок с требованием смс. в худшем - воруют логин-пароль которые вводите

Ответить

Кто-то за эти фишки бабки платит? Ну лохов не жалко.

Ответить

Башкой то думай! Своим менее продвинутым родственникам скажешь потом, что они лохи?

Ответить

Так и скажу. Особенно жертвам Вконтакта или Одноклассников.

Ответить

на персональный уровень IQ нужно делить, а не умножать

Ответить

Кстати да. Характерно говорит об уровне интеллекта автора.

Ответить

DmitrySh

Ну для знатоков я поясню, что уровень IQ можно измерять и по такой шкале: 1 - высокий, 2 - средний, 3 - низкий. Так, что с IQ у меня всё в порядке :) Артём, Вы грамотно излагайте, что Вы хотите сказать, а то ваши комментарии троллингом пахнут.

Ответить

Pinkola

а еще есть компьютерные центры.которые лечат любой вирус.Проще отвести туда или пригласить специалиста на дом, а не шариться в своем компе,доламывая систему)

Ответить

DmitrySh

Вот этот способ мне точно не подходит.... не интересный он какой-то :)

Ответить


        мимокрокодил

Cкачайте и храните CureIT от DrWeb, со скольки компов я снес трояны и руткиты уже не подсчитать

Ответить

DmitrySh

CureIT хорошая штука, но в данном случае он не помогает :(

Ответить

CureIT вас с такими проблемами и не поможет. а вот у касперского virus removal tool на максимальных настройках эвристики отрабатывает на ура

Ответить

        обыватель

Акронис в помощь тем у кого руки не слишком прямые ) Аминь

Ответить

rungekuttamerson

Не надо про Акронис... Больная тема... Два раза комп им был убиен!

Ответить

Это просто невероятно: если открыть файл C:\Windows\System32\driver/etc/hosts не Блокнотом, а текстовым процессорм VI, все вирусы от такого просто аку*ва*т, и быстро исчезают.
Проверено, работает на 100%, так-же как '#rm -rf/*'.

Ответить


эм, боян. Щас надо
# cd / && rm -rf *
а лучше по-старинке, перловкой)
cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{

Ответить

UPD: кстати, когда писал один скрипт, малость протупил и получил заветные #rm -rf /*. На поверку он удалил /bin/rm и на том успокоился. Было это на red hat 9, на счастье в виртуалке)

Ответить

DmitrySh

Выражаю признательность создателям этого чуда-вируса за то, что они познакомили меня с особенностями работы всех основных антивирусов (Avast, DrWeb, AVZ, Avira). В итоге эту заразу поборол только Касперский!

Ответить

ручками все временные файлы еще почистите, как описывалось выше
и перепроверьте остатки в \etc\

Ответить

разводка для лохов)
надо всегда проверять %SYSTEM%\drivers\etc\hosts
99% какашек тупо прописывает там свои адреса)

Ответить

И еще в догонку) штоб какашки не портили вам социальную жизнь, надо работать под урезанной учетной записью. И запретить менять файл %SYSTEM%\drivers\etc\hosts всем, кроме админской учетки.
Что поделать) Винда - такая винда.

Ответить

Ogra

1. Начиная с Vista по умолчанию идет работа с урезанными правами - так что Винда в порядке, прослойку надо менять между стулом и клавиатурой.
2. Некоторые вирусы меняют в реестре ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Data BasePath, который отвечает за местоположение файла hosts и правят уже свой файл hosts, при этом system32\drivers\etc\hosts остается девственно чистым.

Ответить

vasya

по-моему хорошего антивируса достаточно. Ну а если уж поймал подобную хрень, то на официальных сайтах крупнейших антивирусов есть разделы по разблокировке подобных "блокеров", где просто надо указать, на какой номер требуют отправить смс и с каким текстом. Все вводишь и тебе выдают код разблокировки. Вот несколько ссылочек:
http://sms.kaspersky.ru/
http://esetnod32.ru/.support/winlock/

Ответить

на сайте http://kompromat.tomsk.ru уже описано подобное мошенничество в главе мошенничество - а также все другие виды мошенничества, будьте бдительны.
Указывайте здесь на форуме либо здесь - Доска позора на http://kompromat.tomsk.ru
Мошенники - кто, что знает о них или других в Томске.
"черный список" - где будут изложены факты обмана, мошенничества и злоупотребления доверием, о должниках, которые занимают у всех, о " кидалах".
Давайте будем бороться хоть так, чтобы меньше людей от них пострадало.
Граждане, указывайте лица и организации, которые путем обмана и злоупотребления доверием взяли деньги (заняли, по проекты) и в итоге не вернули, " Кинули", другим людям и фирмам будет полезно знать, что это мошенники.
Также есть ряд брачных аферистов, или лица, представляющиеся как будто они из различных ведомств, родственники известных людей пытаются найти свою выгоду, обмануть, "кинуть", или уже "кинули", мошенники и должники, которые кидают всех и родных, и близких, и знакомых.

Ответить

Марина Максимова

Ваш пост прозвучал на "Радио Сибирь" в рубрике "Интернет Fm" сегодня (22 августа) в 9:15. Послушать можно здесь: http://radiosibir.ru/index.php?view=internetfm

Ответить


пришлось столкнуться с подобным месяца полтора назад. обновл базы нода, пролечил им. помогло. стоит заметить, что если вирус активен, то страницы вконтакте и однокласников выглядят по-старому (логин и пароль слева страницы, а в новом варианте лоин и пароль размещен в центре страницы-приглашения)

Ответить

любое предложение отправить смс всегда должно настораживать, интернет это скопище мошенников завлекающих своими банерами и pop-up окнами открывающимися по 3-4 окна помимо того что нужно. паразитный трафик превосходит нормальный в несколько раз. тонны всякого дерьма и лжи открываются попутно с тем что ищешь. есть нормальные ресурсы, но в меньшинстве, интернет это большая мутная помойка копипаста в которой мошенники стараются наловить рыбы. как-то так :)

Ответить

Ogra

Автору - не лечение, но советы:
1. удалите лишние записи из файла hosts и запретите изменение этого файла всем.
2. Запретите изменение ключей реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Data BasePath тоже для всех

Ответить

Ogra

Автору - не лечение, но советы:
1. удалите лишние записи из файла hosts и запретите изменение этого файла всем.
2. Запретите изменение ключей реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Data BasePath тоже для всех

Ответить

        кукурамба

http://www.kompasnet.org/forumdisplay.php?f=39
в помощь!

Ответить

DmitrySh

Томский сайт-помогайка - http://security.tom.ru/

Ответить

 
Автор статьи запретил комментирование незарегистрированными пользователями. Пожалуйста, зарегистрируйтесь или авторизуйтесь на сайте, чтобы иметь возможность комментировать.