Во второй половине сентября 2009 г. активизировался еще один троян – sms-вымогатель, требующий отправить sms с текстом 7728 на номер 4125 (при этом клятвенно заверяется, что «точная стоимость» sms для России составляет 150 рублей без НДС). Вирус распространяется от имени компании AdRiver – так называемой системы управления интернет-рекламой (кстати, AdRiver именут себя «Компанией профессионалов»: «Мы создали и развиваем самую современную технологию, способную серьезно конкурировать на мировом рынке»).
Распространением вируса занимаются варезные, халявные и порно-ресурсы (самые активные из них – http://sexshopextra.ru/ и http://www.sms-referati.ru/).
Зачастую заражение происходит при посещении ресурсов, вполне безобидных с виду.
Например, на поисковый запрос «Подготовка к экзамену по физике» Google – в числе прочего – выдал веб-страницу Скачать электронную книгу "Физика. Интенсивный курс подготовки к экзамену: основные методы решения задач". При попытке скачать эту книгу по прямой ссылке с указанной веб-страницы скачивается файл Book_8377.exe (2,7МБ):
При запуске файла появляется окно BooksClient с сообщением, что данный клиент позволяет вам получить доступ к базе и скачать книгу (реферат, справочник, курсовую), которую вы выбрали на сайте:
При нажатии на кнопку Скачать выбранную книгу начинается установка вредоносной программы на ПК пользователя, при этом появляется сообщение Соединение с сервером… Идет скачивание книги…
Всё – вирус – с вашей помощью! – успешно установлен в систему. Теперь начнется!..
***
Симптомы заражения
На зараженном ПК через определенные промежутки времени появляется – поверх всех открытых окон – непотопляемое окно с заголовком «Появились новые товары (для постоянных клиентов магазина)», в котором рекламируются товары порно-индустрии. Окно нельзя ни закрыть, ни переместить, оно закрывается само через 60 секунд. Через некоторое время порно-баннер появляется снова…
При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:
При попытке закрыть окно порно-баннера через Диспетчер задач перезагружается Проводник Windows. Но через некоторое время баннер опять появляется.
***
Деструктивные действия вируса:
– после внедрения в систему в папке
\Documents and Settings\Имя_пользователя\Application Data\ вирус создает папки CMedia и FieryAds, а также файл fieryads.dat (представляет собой текстовый файл, в котором фиксируется дата и время внедрения вируса в систему, дата и время начала показа порно-баннера, а также ip-адрес ПК пользователя);
– содержимое папки CMedia:
• папка Feed, в которой хранится 16 порно-рисунков размером 140x140 пикселей (0.jpg – 15.jpg) и файл feed.xml (180КБ);
• файл CMedia.dat (1,44КБ); представляет собой текстовый файл. В нем фиксируется дата и время внедрения вируса в систему, дата и время начала показа порно-баннера, а также указана стоимость sms для различных стран (включая Россию, Украину, Казахстан, Киргизию, Таджикистан, Латвию, Литву, Грузию, Германию);
• файл CMedia.dll (CMedia Agent; 733КБ);
• файл g.fla (0 байт);
• файл Uninstall.exe (786КБ);
– содержимое папки FieryAds:
• файл FieryAds.dll (652КБ);
• файл FieryAdsUninstall.exe (576КБ);
– файлы CMedia.dll и g.fla, используя содержимое папки Feed (файлы 0.jpg – 15.jpg), генерируют вывод на экран окна порно-баннера через определенные промежутки времени. Этот баннер – своей раздражающей назойливостью – провоцирует пользователя отправить sms на указанный номер;
– если вы попытаетесь удалить программу посредством файла Uninstall.exe, то откроется окно с сообщением, что вы обязаны просмотреть еще 1000 показов этой рекламы:
***
Что представляет собой вирус порно-баннера
Исполняемые (Portable Executable) файлы вируса – CMedia.dll (750 592 байт) и FieryAds.dll (667 648 байт) упакованы Aspack'ом.
Вирусы выпущены под «копирайтом»: CMedia – AdRiver и CMedia, FieryAds – FieryAds.
Вирус предназначен для 32-битной платформы ОС Windows с процессором x86.
Родина вируса – Россия.
***
Как идентифицируют порно-баннер антивирусы
Антивирусы идентифицируют порно-баннер по-разному:
• файл CMedia.dll:
– DrWeb – Trojan.AdSubscribe.137;
– Kaspersky – not-a-virus:AdWare.Win32.FearAds.ib;
– Microsoft – Adware:Win32/Adsubscribe;
– NOD32 – a variant of Win32/Adware.FearAds.
Антивирусы Avast, AVG, BitDefender, F-Secure, McAfee, Panda (автор статьи отправил образцы вирусов в компанию), Sophos, Symantec, VBA32 – файл CMedia.dll не идентифицируют, как вирус.
• файл FieryAds.dll:
– BitDefender – Gen:Adware.Heur.OO8aQ4PakNCk;
– DrWeb – Trojan.AdSubscribe.135;
– F-Secure – Gen:Adware.Heur.OO8aQ4PakNCk;
– Kaspersky – not-a-virus:AdWare.Win32.FearAds.gs;
– Microsoft – Adware:Win32/Fierads;
– NOD32 – probably a variant of Win32/Adware.FearAds;
– VBA32 – Trojan.Win32.FieryAds.
Антивирусы Avast, AVG, McAfee, Panda (автор статьи отправил образцы вирусов в компанию), Sophos, Symantec – файл FieryAds.dll не идентифицируют, как вирус.
***
Маскировка вируса в системе
Для сокрытия своего присутствия в системе и для затруднения удаления вирус:
– внедряет файлы CMedia.dll и g.fla в системный процесс Explorer. Поэтому в Диспетчере задач эти файлы не видны;
– не регистрируется в разделах […\Run] Реестра Windows.
***
Как ликвидировать порно-баннер вручную и устранить последствия вирусной атаки
1. Отключитесь от Интернета и от локальной сети;
– закройте все открытые веб-страницы;
– очистите кэш временных файлов Интернета, сохраненных веб-браузером;
– удалите cookies.
2. Поскольку у папки \Documents and Settings\Имя_пользователя\Application Data\ установлены атрибуты Скрытый, Системный, Только для чтения, чтобы найти и уничтожить вирусы:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется само;
– найдите папку \Documents and Settings\Имя_пользователя\Application Data\CMedia;
– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer);
– найдите папку \Documents and Settings\Имя_пользователя\Application Data\FieryAds;
– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe);
– в папке \Documents and Settings\Имя_пользователя\Application Data удалите файл fieryads.dat.
4. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– в открывшемся окне Редактора реестра найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellIconOverlayIdentifiers\CMedia], имеющий строковый (REG_SZ) параметр по умолчанию со значением {6B830884-20E3-4AB6-B672-2629F0F72071}, удалите этот раздел;
– в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] удалите строковый (REG_SZ) параметр {6B830884-20E3-4AB6-B672-2629F0F72071} со значением CMedia;
– удалите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CMedia] со строковыми (REG_SZ) параметрами DisplayName (со значением Доступ к условно бесплатному контенту CMedia) и UninstallString (со значением C:\Documents and Settings\Имя_пользователя\Application Data\CMedia\Uninstall.exe);
– удалите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds] со строковыми (REG_SZ) параметрами DisplayName (со значением Бесплатный контент FieryAds) и UninstallString (со значением C:\Documents and Settings\Имя_пользователя\Application Data\FieryAds\FieryAdsUninstall.exe);
– в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] удалите строковый параметр Доступ к платному контенту FieryAds v2.0.2 со значением C:\DOCUME~1\Имя_пользователя\APPLIC~1\FieryAds\FieryAds.dll;
– в разделе [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\InprocServer32] удалите строковый (REG_SZ) параметр по умолчанию со значением \Documents and Settings\Имя_пользователя\Application Data\CMedia\CMedia.dll;
– в разделе [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\ProgID] удалите строковый (REG_SZ) параметр по умолчанию со значением CMedia;
– в разделе [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\VersionIndependentProgID] удалите строковый (REG_SZ) параметр по умолчанию со значением CMedia;
– закройте Редактор реестра.
5. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.
6. Установите (или обновите) антивирус. С пристрастием проверьте систему на отсутствие/наличие вирусов.
***
AdRiver открещивается от причастности к созданию и распространению вируса: «За последнюю неделю в Сети участились случаи заражения компьютеров интернет-пользователей вредоносным программным обеспечением, именующим себя как "система альтернативной оплаты и доступа к условно-бесплатному контенту AdRiver”. Система управления рекламой AdRiver не имеет к этому ПО никакого отношения.
На сегодняшний день установленными каналами распространения данной программы является сайт sms-referati.ru, а также некоторые кейгены и сайты по распространению видеоконтента (небольшие ролики порнографического содержания).
Эта программа является одной из разновидностей adware-модуля AdSubscribe, массовое распространение которого наблюдалась летом этого года. Программа представляет собой самораспаковывающийся архив, при запуске которого пользователь соглашается на условия использования данной программы и просмотр 1000 рекламных объявлений. Окно установки выглядит следующим образом…
После установки при попытке открыть любое окно программа начинает трансляцию рекламы порнографического содержания, не позволяя её закрыть в течение минуты. Для прекращения показов пользователю предлагается послать SMS. Но стало известно, что даже после отправления SMS, мошенники не высылают код разблокировки и реклама продолжает показываться. Удалить программу штатными средствами невозможно. По непроверенным данным вместе с этой программой на компьютер устанавливается backdoor, осуществляющий кражу сохраненных паролей в браузере пользователя.
Компания AdRiver хотела бы подчеркнуть, что не имеет никакого отношения к созданию данной программы и предпринимает всё возможное для прекращения её распространения. С 25 сентября программа добавлена в базу антивируса Dr.Web и определяется как Trojan.Popuper.15701. С целью пресечения противоправных действий мошенников, компанией подано заявление в отдел "К” управления внутренних дел.
Удалить программу можно с помощью бесплатной утилиты от Доктора Веба Dr.Web CureIt!
Ещё раз убедительно рекомендуем вам не устанавливать на свой компьютер подозрительное программное обеспечение, предлагающее условно-бесплатный доступ к интернет-контенту, и не высылать платные SMS для прекращения его работы».
(25.09.2009 – Вредоносное ПО маскируется под AdRiver)
***
Наглость создателей нового sms-вымогателя переходит все границы: они защищают свое «творение» "Лицензионным соглашением на использование программы «CMedia»" (весьма любопытный документ, поэтому процитирую его полностью):
Перед использованием программы, пожалуйста, ознакомьтесь с условиями настоящего лицензионного соглашения. Любое использование вами программы означает полное и безоговорочное принятие вами его условий.
Если вы не принимаете условия лицензионного соглашения в полном объеме, вы не имеете права использовать программу в каких-либо целях.
1. Лицензия
Настоящее Лицензионное соглашение («Лицензия») заключено между Вами, пользователем («Пользователь»), и sms-referati.ru, являющимся правообладателем исключительных прав на Программу («Правообладатель»). Лицензия устанавливает условия использования Пользователем программы для ЭВМ «CMedia» («Программа»).
1.1. Копируя Программу и устанавливая ее на свой персональный компьютер, Пользователь выражает свое полное и безоговорочное согласие со всеми условиями Лицензии.
1.2. Использование Программы разрешается только на условиях настоящей Лицензии. Если Пользователь не принимает условия Лицензии в полном объеме, Пользователь не имеет права использовать Программу в каких-либо целях. Использование Программы с нарушением (невыполнением) какого-либо из условий Лицензии запрещено.
1.3. Использование Программы на условиях настоящей Лицензии в личных некоммерческих целях осуществляется безвозмездно. Использование Программы на условиях и способами, не предусмотренными настоящей Лицензией, возможно только на основании отдельного соглашения с Правообладателем за вознаграждение, устанавливаемое Правообладателем.
2. Права на Программу
Исключительное право на Программу принадлежит Правообладателю.
3. Права Пользователя
3.1. Программа
Правообладатель предоставляет Пользователю неисключительное непередаваемое право (простая лицензия) использовать Программу следующими способами:
3.1.1. Применять Программу по прямому функциональному назначению, в целях чего произвести ее копирование и установку на персональном(ых) компьютере(ах) Пользователя. Пользователь вправе произвести установку Программы на неограниченное число персональных компьютеров. При установке на персональный компьютер каждому экземпляру Программы присваивается индивидуальный номер, который автоматически сообщается Правообладателю.
3.1.2. Воспроизводить и распространять Программу в некоммерческих целях (безвозмездно).
3.2. Программа должна использоваться под наименованием: «CMedia». Пользователь не вправе изменять наименование Программы, изменять и/или удалять знак охраны авторского права или иное указание на Правообладателя.
4. Ограничения
4.1. За исключением использования в объемах и способами, прямо предусмотренными настоящей Лицензией или законодательством РФ, Пользователь не имеет права изменять, декомпилировать, дизассемблировать, дешифровать и производить иные действия с объектным кодом Программы, имеющие целью получение информации о реализации алгоритмов, используемых в Программе, создавать производные произведения с использованием Программы, а также осуществлять (разрешать осуществлять) иное использование Программы, без письменного согласия Правообладателя.
4.2. Пользователь не имеет права воспроизводить и распространять Программу в коммерческих целях (за плату), в том числе в составе сборников программных продуктов, без письменного согласия Правообладателя.
5. Описания работы и функционала программы
5.1 Программа является альтернативным способом оплаты материалов, скачанных пользователем с Интернет-сайта http://sms-referati.ru
5.2 После установки Программы на персональном компьютере пользователя начнётся показ объявлений по технологии CMedia:
первый показ рекламы происходит в течение одного часа после установки Программы. Программа представляет из себя самооткрывающееся по верх других окно размером 636х562 пикселей. Поле окна содержит:
1) Рекламные поле с объявлениями (при нажатии открывается сайт рекламодателя, а окно автоматически закрывается через 1 минуту)
2) Кнопка «Закрыть» (после нажатия окно закрывается через 1 минуту автоматически и появляется вновь через 60 минут)
3) Кнопка «Не показывать рекламу на этом компьютере» (после нажатия Пользователю показывается окно с описанием альтернативного способа оплаты материалов, полученных на сайте sms-referati.ru, если его не устраивает способ оплаты путём просмотра рекламных рассылок CMedia)
4) Программа устанавливается на 2 месяца, либо на 1000 показов рекламных объявлений. По истечению данного срока, либо после оплаты полученных материалов иным способом, пользователь имеет право удалить Программу со своего компьютера.
5) Более подробное описание программы, правила и условия использования находятся на сайте http://sms-referati.ru/rules.html
6. Условия использования по Лицензии
6.1. Программа предоставляется на условиях «как есть» (as is). Правообладатель не предоставляет никаких гарантий в отношении безошибочной и бесперебойной работы Программы, соответствия Программы конкретным целям и ожиданиям Пользователя, а также не предоставляет никаких иных гарантий, прямо не указанных в настоящей Лицензии.
6.2. В максимальной степени, допустимой действующим законодательством, Правообладатель не несет никакой ответственности за какие-либо прямые или косвенные последствия какого-либо использования или невозможности использования Программы и/или ущерб, причиненный Пользователю и/или третьим сторонам в результате какого-либо использования или неиспользования Программы, в том числе из-за возможных ошибок или сбоев в работе Программы.
7. Альтернативные способы оплаты
7.1. Если по какой-либо причине Пользователя не устраивает способ оплаты материалов, полученных с сайта http://sms-referati.ru/ , путём просмотра рекламных объявлений по технологии CMedia, то он может произвести оплату любым иным способом, указанным на сайте http://sms-referati.ru/rules.html.
Примечания
1. Не следует посылать sms по указанному номеру, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим порно-баннер.
2. Порно-баннер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву» (например, реферат или музыку), или порно, и санкционировать установку…
3. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!
4. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
5. В ОС Windows Vista вирус устанавливается в папку \Users\Имя_пользователя\AppData\Roaming\…
6. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
7. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
8. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
9. Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»?
10. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?
11. Если вы не можете открыть флешку, см. Что делать, если после лечения от вирусов не открывается флешка?
12. Не полагайтесь на антивирусный монитор: всегда перед копированием и открытием проверяйте антивирусным сканером все исполняемые файлы и документы (особенно файлы на дискетах, флешках, компакт-дисках, полученные по Интернету).
13. См. Как устранить последствия вирусной атаки?.
14. См. Windows: как отобразить скрытые файлы и папки?.
15. См. Как избавиться от порно-информера?.
16. Старайтесь не посещать сомнительные ресурсы, типа http://sexshopextra.ru/, http://youmustknow.ru/, http://sms-referati.ru…
