Як видалити вірус Маячок

Не встигли користувачі "познайомитися" з досить нетривіальним вірусом Маячок, як було виявлено модифікацію Маячок.1. На цей раз метою зловмисників стали любителі популярної гри Counter-Strike та піратського софту

У момент підключення користувачів до одного з ігрових серверів на їхньому ПК починають завантажуватися файли з прихованими в них троянськими програмами.

вірус

Зазвичай, при з'єднанні з сервером Counter-Strike програма-клієнт завантажує з віддаленого вузла компоненти, відсутні на клієнтській машині, але використовуються в грі. У цьому ж випадку на екрані комп'ютера користувача відкривається стандартне вікно браузера, що пропонує завантажити два файли, що виконуються: svhost.exe і bot2.exe, а також файл з ім'ям admin.cmd (на початку цього року даний файл лунав під ім'ям Counter-Strike.cmd ). Зрозуміло, така поведінка є більш ніж нехарактерною для програмного забезпечення гри Counter-Strike.

У ході проведеного аналітиками розслідування вдалось встановити таке. Спочатку групою зловмисників був створений ігровий сервер Counter-Strike, який розповсюджував троянську програму Win32.HLLW.HLProxy (якийсь час тому цей троянець взагалі поширювався серед шанувальників Counter-Strike як «корисний» додаток, тому багато хто самостійно скачав і встановив його на свій . .

вірус

Основне призначення троянця полягає в тому, що він запускає на комп'ютері гравця проксі-сервер, який емулює на одній фізичній машині кілька ігрових серверів Counter-Strike і передає відповідну інформацію на сервери VALVE. При зверненні до семульованого троянцем ігрового сервера програма-клієнт перекидалася на справжній ігровий сервер зловмисників, звідки гравець отримував троянця Win32.HLLW.HLProxy. ТакимТаким чином, кількість заражених комп'ютерів зростала у геометричній прогресії. Крім цього, троянець дозволяв організовувати DDoS атаки на ігрові сервери та сервери VALVE, завдяки чому значна їх частина в різний час могла виявитися недоступною. Можна припустити, що однією з цілей зловмисників був збір грошей з власників ігрових серверів за підключення нових гравців, а також DDoS атаки на «неугодні» ігрові сервери.

В даний час, крім власне троянця, гравцям, що підключалися до сервера, лунають додаткові «подарунки». Так, у файлі svhost.exe ховається троянець-клікер Trojan.Click1.55929, що накручує показники відвідуваності сайту w-12.ru і пов'язаний з партнерською програмою http://tak.ru. Потрапивши на інфікований комп'ютер, він створює свою копію з ім'ям SVH0ST.EXE в папці C: Program Files Common Files, запускається на виконання. У файлі bot2.exe «ховається» вже добре відомий Trojan.Mayachok.1, наприклад, з нагоди зблокуванням доступу в Інтернет і заміною сайту Ростелекома.

Любителям гри Counter-Strike рекомендується виявляти уважність: не слід погоджуватися з пропозицією операційної системи про завантаження та встановлення на комп'ютер будь-яких файлів, що виконуються.

Друга модифікація вірусу Маячок.1 торкнулася українські файлообмінники (говорячи більш конкретною мовою - файломийки) з дорогим піратським програмним забезпеченням. Розповсюдження йде за допомогою партнерської програми ZIPPRO архівів, за якими з недавніх пір ховається Trojan.Mayachok.1.

Якщо раніше жертва цього шахрайства втрачала лише гроші, відправивши платне SMS щоб відкрити архів, то тепер вона також отримує на свій комп'ютер небезпечний троянець Trojan.Mayachok.1, а також популярний тулбар.

Як відомо, партнерські програми вІнтернет користуються популярністю не тільки у пересічних користувачів, які бажають збити собі капітал по-швидкому, а й у більших гравців. Зокрема, партнерські програми застосовують вірусописувачі та мережеві шахраї.

маячок

Генератор ZIPPRO є програмним додатком, в якому можна налаштувати підсумковий візуальний стиль, передбачити різні варіанти оплати. Таким чином, вірусописачі вкладають в архів порожні файли. і одержують за це гроші.

Counter-Strike

Антивірси визначають зараження як трояна Trojan.SMSSend.

видалити

Нині модифікований вірус проникає на ПК не тільки через описані вище архіви (тепер уже з різними варіантами безкоштовного ПЗ) від ZIPPRO але й через тулбар «Супутник@Mail.Ru». На даний момент всім користувачам, які мали необережність завантажити будь-який архів Trojan.SMSSend, крім гарантованого тулбару від Mail.Ru, встановлять ще й Trojan.Mayachok.1. А «партнери» власноруч створюють офлайн-ботнет для ZIPPRO.

Методика лікування залишилася незмінною, процедура лікування описана у відповідній статті