Во второй половине сентября 2009 г. активизировался еще один троян – sms-вымогатель, требующий отправить sms с текстом 7728 на номер 4125 (при этом клятвенно заверяется, что «точная стоимость» sms для России составляет 150 рублей без НДС). Вирус распространяется от имени компании AdRiver – так называемой системы управления интернет-рекламой (кстати, AdRiver именут себя «Компанией профессионалов»: «Мы создали и развиваем самую современную технологию, способную серьезно конкурировать на мировом рынке»).
Распространением вируса занимаются варезные, халявные и порно-ресурсы (самые активные из них – http://sexshopextra.ru/ и http://www.sms-referati.ru/).
Зачастую заражение происходит при посещении ресурсов, вполне безобидных с виду.
Например, на поисковый запрос «Подготовка к экзамену по физике» Google – в числе прочего – выдал веб-страницу Скачать электронную книгу "Физика. Интенсивный курс подготовки к экзамену: основные методы решения задач". При попытке скачать эту книгу по прямой ссылке с указанной веб-страницы скачивается файл Book_8377.exe (2,7МБ):
При запуске файла появляется окно BooksClient с сообщением, что данный клиент позволяет вам получить доступ к базе и скачать книгу (реферат, справочник, курсовую), которую вы выбрали на сайте:
При нажатии на кнопку Скачать выбранную книгу начинается установка вредоносной программы на ПК пользователя, при этом появляется сообщение Соединение с сервером… Идет скачивание книги…
Всё – вирус – с вашей помощью! – успешно установлен в систему. Теперь начнется!..
***
Симптомы заражения На зараженном ПК через определенные промежутки времени появляется – поверх всех открытых окон – непотопляемое окно с заголовком «Появились новые товары (для постоянных клиентов магазина)», в котором рекламируются товары порно-индустрии. Окно нельзя ни закрыть, ни переместить, оно закрывается само через 60 секунд. Через некоторое время порно-баннер появляется снова…
При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:
При попытке закрыть окно порно-баннера через Диспетчер задач перезагружается Проводник Windows. Но через некоторое время баннер опять появляется.
***
Деструктивные действия вируса:
– после внедрения в систему в папке
\Documents and Settings\Имя_пользователя\Application Data\ вирус создает папки CMedia и FieryAds, а также файл fieryads.dat (представляет собой текстовый файл, в котором фиксируется дата и время внедрения вируса в систему, дата и время начала показа порно-баннера, а также ip-адрес ПК пользователя);
– содержимое папки CMedia:
• папка Feed, в которой хранится 16 порно-рисунков размером 140x140 пикселей (0.jpg – 15.jpg) и файл feed.xml (180КБ);
• файл CMedia.dat (1,44КБ); представляет собой текстовый файл. В нем фиксируется дата и время внедрения вируса в систему, дата и время начала показа порно-баннера, а также указана стоимость sms для различных стран (включая Россию, Украину, Казахстан, Киргизию, Таджикистан, Латвию, Литву, Грузию, Германию);
• файл CMedia.dll (CMedia Agent; 733КБ);
• файл g.fla (0 байт);
• файл Uninstall.exe (786КБ);
– содержимое папки FieryAds:
• файл FieryAds.dll (652КБ);
• файл FieryAdsUninstall.exe (576КБ);
– файлы CMedia.dll и g.fla, используя содержимое папки Feed (файлы 0.jpg – 15.jpg), генерируют вывод на экран окна порно-баннера через определенные промежутки времени. Этот баннер – своей раздражающей назойливостью – провоцирует пользователя отправить sms на указанный номер;
– если вы попытаетесь удалить программу посредством файла Uninstall.exe, то откроется окно с сообщением, что вы обязаны просмотреть еще 1000 показов этой рекламы:
***
Что представляет собой вирус порно-баннера
Исполняемые (Portable Executable) файлы вируса – CMedia.dll (750 592 байт) и FieryAds.dll (667 648 байт) упакованы Aspack'ом.
Вирусы выпущены под «копирайтом»: CMedia – AdRiver и CMedia, FieryAds – FieryAds.
Вирус предназначен для 32-битной платформы ОС Windows с процессором x86.
Родина вируса – Россия.
***
Как идентифицируют порно-баннер антивирусы Антивирусы идентифицируют порно-баннер по-разному: • файл CMedia.dll:
– DrWeb – Trojan.AdSubscribe.137;
– Kaspersky – not-a-virus:AdWare.Win32.FearAds.ib;
– Microsoft – Adware:Win32/Adsubscribe;
– NOD32 – a variant of Win32/Adware.FearAds.
Антивирусы Avast, AVG, BitDefender, F-Secure, McAfee, Panda (автор статьи отправил образцы вирусов в компанию), Sophos, Symantec, VBA32 – файл CMedia.dll не идентифицируют, как вирус.
• файл FieryAds.dll:
– BitDefender – Gen:Adware.Heur.OO8aQ4PakNCk;
– DrWeb – Trojan.AdSubscribe.135;
– F-Secure – Gen:Adware.Heur.OO8aQ4PakNCk;
– Kaspersky – not-a-virus:AdWare.Win32.FearAds.gs;
– Microsoft – Adware:Win32/Fierads;
– NOD32 – probably a variant of Win32/Adware.FearAds;
– VBA32 – Trojan.Win32.FieryAds.
Антивирусы Avast, AVG, McAfee, Panda (автор статьи отправил образцы вирусов в компанию), Sophos, Symantec – файл FieryAds.dll не идентифицируют, как вирус.
***
Маскировка вируса в системе Для сокрытия своего присутствия в системе и для затруднения удаления вирус:
– внедряет файлы CMedia.dll и g.fla в системный процесс Explorer. Поэтому в Диспетчере задач эти файлы не видны;
– не регистрируется в разделах […\Run] Реестра Windows.
***
Как ликвидировать порно-баннер вручную и устранить последствия вирусной атаки
1. Отключитесь от Интернета и от локальной сети;
– закройте все открытые веб-страницы;
– очистите кэш временных файлов Интернета, сохраненных веб-браузером;
– удалите cookies.
2. Поскольку у папки \Documents and Settings\Имя_пользователя\Application Data\ установлены атрибуты Скрытый, Системный, Только для чтения, чтобы найти и уничтожить вирусы:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется само;
– найдите папку \Documents and Settings\Имя_пользователя\Application Data\CMedia;
– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer);
– найдите папку \Documents and Settings\Имя_пользователя\Application Data\FieryAds;
– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe);
– в папке \Documents and Settings\Имя_пользователя\Application Data удалите файл fieryads.dat.
4. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– в открывшемся окне Редактора реестра найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellIconOverlayIdentifiers\CMedia], имеющий строковый (REG_SZ) параметр по умолчанию со значением {6B830884-20E3-4AB6-B672-2629F0F72071}, удалите этот раздел;
– в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] удалите строковый (REG_SZ) параметр {6B830884-20E3-4AB6-B672-2629F0F72071} со значением CMedia;
– удалите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CMedia] со строковыми (REG_SZ) параметрами DisplayName (со значением Доступ к условно бесплатному контенту CMedia) и UninstallString (со значением C:\Documents and Settings\Имя_пользователя\Application Data\CMedia\Uninstall.exe);
– удалите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds] со строковыми (REG_SZ) параметрами DisplayName (со значением Бесплатный контент FieryAds) и UninstallString (со значением C:\Documents and Settings\Имя_пользователя\Application Data\FieryAds\FieryAdsUninstall.exe);
– в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] удалите строковый параметр Доступ к платному контенту FieryAds v2.0.2 со значением C:\DOCUME~1\Имя_пользователя\APPLIC~1\FieryAds\FieryAds.dll;
– в разделе [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\InprocServer32] удалите строковый (REG_SZ) параметр по умолчанию со значением \Documents and Settings\Имя_пользователя\Application Data\CMedia\CMedia.dll;
– в разделе [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\ProgID] удалите строковый (REG_SZ) параметр по умолчанию со значением CMedia;
– в разделе [HKEY_CLASSES_ROOT\CLSID\{6B830884-20E3-4AB6-B672-2629F0F72071}\VersionIndependentProgID] удалите строковый (REG_SZ) параметр по умолчанию со значением CMedia;
– закройте Редактор реестра.
5. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.
6. Установите (или обновите) антивирус. С пристрастием проверьте систему на отсутствие/наличие вирусов.
***
AdRiver открещивается от причастности к созданию и распространению вируса: «За последнюю неделю в Сети участились случаи заражения компьютеров интернет-пользователей вредоносным программным обеспечением, именующим себя как "система альтернативной оплаты и доступа к условно-бесплатному контенту AdRiver”. Система управления рекламой AdRiver не имеет к этому ПО никакого отношения.
На сегодняшний день установленными каналами распространения данной программы является сайт sms-referati.ru, а также некоторые кейгены и сайты по распространению видеоконтента (небольшие ролики порнографического содержания).
Эта программа является одной из разновидностей adware-модуля AdSubscribe, массовое распространение которого наблюдалась летом этого года. Программа представляет собой самораспаковывающийся архив, при запуске которого пользователь соглашается на условия использования данной программы и просмотр 1000 рекламных объявлений. Окно установки выглядит следующим образом…
После установки при попытке открыть любое окно программа начинает трансляцию рекламы порнографического содержания, не позволяя её закрыть в течение минуты. Для прекращения показов пользователю предлагается послать SMS. Но стало известно, что даже после отправления SMS, мошенники не высылают код разблокировки и реклама продолжает показываться. Удалить программу штатными средствами невозможно. По непроверенным данным вместе с этой программой на компьютер устанавливается backdoor, осуществляющий кражу сохраненных паролей в браузере пользователя.
Компания AdRiver хотела бы подчеркнуть, что не имеет никакого отношения к созданию данной программы и предпринимает всё возможное для прекращения её распространения. С 25 сентября программа добавлена в базу антивируса Dr.Web и определяется как Trojan.Popuper.15701. С целью пресечения противоправных действий мошенников, компанией подано заявление в отдел "К” управления внутренних дел.
Удалить программу можно с помощью бесплатной утилиты от Доктора Веба Dr.Web CureIt!
Ещё раз убедительно рекомендуем вам не устанавливать на свой компьютер подозрительное программное обеспечение, предлагающее условно-бесплатный доступ к интернет-контенту, и не высылать платные SMS для прекращения его работы».
(25.09.2009 – Вредоносное ПО маскируется под AdRiver)
***
Наглость создателей нового sms-вымогателя переходит все границы: они защищают свое «творение» "Лицензионным соглашением на использование программы «CMedia»"