Кибервымогательcтво с задоринкой
С утра получил в аську сообщение от сестрёнки - "мне инет заблокировал кто-то. кроме аськи ниче не открывает".
Так как высокой занятостью сейчас не страдаю, пригласил пациента на приём.
Честно говоря, ожидал увидеть стандартное окно, блокирующее винду полностью или оставляющее минимум функционала.
Тут всё оказалось интереснее.
При запуске любого браузера возникало окно:
Kaspersky Internet Security 2010. Доступ запрещён. Запрашиваемый URL-адрес не может быть предоставлен. Ваш компьютер заблокирован за рассылку спама.
При открытии Контакта запугивание продолжалось:
"Поскольку с вашего компьютера происходила рассылка спам-сообщений, мы временно ограничили Вам доступ.
Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что вы являетесь настоящим владельцем данной страницы, для этого отправьте смс c текстом 15480388 на номер 5121.
В ответном сообщение Вы получите Ваш личный код активации."
Зарядил проверку утилитой Зайцева, ушёл пить чай. Вернулся - заразы не обнаружено.
Присмотрелся. На поверку окно сообщения оказалось ничем иным, как веб-страницей.
Лезу в c:/windows/system32/drivers/etc и вижу там файл hosts. В нём две строки:
localhost 127.0.0.1
Просто отправьте смс и не парьтесь, смс стоит 150 рублей, а вызов мастера 500 руб минимум :)
Вторая строка приведена по памяти, но близка к оригиналу. Креатив и чувство юмора порадовали. )))
Но на этом креатив не закончился. Автора подвело одно - в Винде значки для системных файлов отличаются от значков файлов зарегистрированных типов.
В проводнике "Сервис - Свойства папки - Вид." Снимаем опцию "Скрывать расширения для зарегистрированных типов файлов." Заодно включаем отображение скрытых и системных файлов. И подозрения подтверждаются. Обнаруживается, что файл hosts - обычный текстовый файл, в то время как системный hosts расширения не имеет.
Открываем скрытый файл hosts, а он как будто пустой. На самом деле начало файла забито пустыми строками. Много скроллинга, и мы находим нехилый список популярных доменов с переадресацией на какой-то IP-шник. Удаляем всю эту ересь.
Также неплохо бы проверить сетевые настройки в бразуерах на предмет наличия включенного прокси. Если у вас его быть не должно - отключаем.
Также чекаем ветку реестра HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ и обнуляем значения параметров ProxyServer, ProxyOverride, ProxyEnable.
Обновить антивирус, провести полную проверку. Можно использовать утилиты типа AVZ, CureIt, DrWebb LiveCD.
Перезагружаемся, радуемся жизни.