22.11.2011

Вирус: Валидация аккаунта в Одноклассниках и ВКонтакте

Если при входе на сайты Одноклассники и ВКонтакте вы наблюдаете окошко с таким текстом: “Валидация аккаунта. Номер Вашего телефона нужен для того, чтобы мы смогли прислать Вам код подтверждения и убедиться в том, что Вы – реальная личность! ”Одноклассники” (или “ВКонтакте”) гарантируют, что информация о Вашем номере ни при каких обстоятельствах не будет разглашена или передана третьим лицам. Данная мера принята для того, чтобы оградить пользователей от автоматических спам-ботов.
Имея доступ к указанному номеру, Вы всегда сможете восстановить пароль к Вашей странице. Услуга недоступна абонентам некоторым регионам Мегафона.” – значит, ваш компьютер подвергся атаке вируса. Ни в коем случае не вводите никаких данных в поля ввода и тем более не отправляйте никаких sms-сообщений со своего мобильного телефона! Вот так выглядит это сообщение:

Вконтакте




















Одноклассники



















Но внешний вид и текст подобного сообщения могут отличаться от приведенных примеров.

Избавляемся от вируса
Чтобы избавиться от данной пакости, необходимо удалить вредоносное приложение и исправить подмененный файл hosts. Он находится: C:\WINDOWS\system32\drivers\etc .  Напомню, по-умолчанию файл имеет лишь одну незакомментированную строчку и имеет следующий вид:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Вирус прописывает в него перенаправление на свой сайт. Получается, что в адресной строке вы видите адрес нужного вам сайта, но в действительности открыт совершенно другой ресурс, который сделан таким образом, чтобы внешне быть в точности похожим на оригинал. Итак, несколько способов решения данной проблемы.


Способ 1.
Воспользоваться бесплатной программой CureIt! Обычно, ей не составит труда не только обезвредить сам вирус, но и исправить причиненные им последствия. А именно, с некоторых пор CureIt! способна обнаруживать изменения в файле hosts. Рекомендую пользоваться этим способом.



Рассмотрим второй способ.
Вручную. Сначала необходимо скачать Process Explorer и запустить.


В списке процессов найдите lsass.exe, наведите на него курсор мыши, появится путь к этому файлу. Если файл lsass.exe находится НЕ в папке Windows\System32\, запомните путь, выделите процесс левой кнопкой мыши и нажмите красный крестик сверху (еще можно выделить процесс правой кнопкой мыши и выбрать из выпадающего меню пункт “Kill process”). Тем самым вы удалите процесс из памяти. Далее необходимо зайти в папку, путь к которой вы запомнили, и удалить файл с жесткого диска.

После этого заменяем файл hosts, который лежит в папке C:\Windows\System32\Drivers\Etc\, этим файлом.

В 64-разрядной системе Windows файл необходимо скопировать сюда C:\Windows\SysWOW64\Drivers\Etc\

(если не получается, смотрите заметку как исправить файл hosts)

После исправления файла запускаем командную строку: Пуск, Выполнить, вводим: cmd, жмем “Ok”. В черном окошке вводим поочередно две команды:

1) route -f
2) ipconfig /flushdns

(каждую команду подтверждаем клавишей “Enter”)

Для завершения перезагружаем компьютер. Все.


Способ 3.
Некоторые антивирусы способны обезвреживать тело вируса, но не исправляют файл hosts, как это делает утилита CureIt! и не очищают маршруты и кэш, как это делается командами во втором способе. В этом случае достаточно только выполнить приведенные выше команды и исправить файл hosts – закачав его по ссылке выше, отредактировав вручную в Блокноте или воспользовавшись специальной программой от Microsoft. Однако, если после этого в файл снова запишутся вражеские строки, значит вирус все еще не обезврежен и вам таки придется воспользоваться одним из двух способов выше.


Источник: http://www.commix.ru/