В пятницу множество интернет-пользователей, в том числе и в Прибалтике, получили через Skype сообщения со ссылкой на фотографии. При нажатии на ссылку пользователь инфицирует свой компьютер новым вирусом, передает Telegraf.lv
Масштабы атаки на данный момент неизвестны. Судя по географии заходов по ссылке, вирус распространяется в основном на постсоветском пространстве.
Блочит доступ к: webroot., fortinet., virusbuster.nprotect., gdatasoftware., virus.,precisesecurity., lavasoft., heck.tc, emsisoft., onlinemalwarescanner., onecare.live., f-secure., bullguard., clamav., pandasecurity., sophos., malwarebytes., sunbeltsoftware., norton.,norman., mcafee., symantec, comodo., avast.,avira., avg., bitdefender., eset.,kaspersky., trendmicro., iseclab., virscan., garyshood., viruschief., jotti., threatexpert., novirusthanks., virustotal.
И вот анализ тела
https://www.virustotal.com/file....nalysis удаленным пользователям советую сделать проверку тулзой от drweb (на сайте у них есть спец лечилка).
проблема в том что лечилка находит тело трояна, удаляет его и все окей до тех пор пока кто нибудь из твоего контакт листа не пришлет тебе это сообщение, автоматически (по словам юзеров) начинается новая рассылка от тебя.
Исходя из этого
Removal Recommendations
Restart the computer in safe mode (press and hold the F8 key as the computer restarts, and then select “Safe Mode” on the boot menu).
Delete files:
%Documents and Settings%\%Current User%\%AppData%\<rnd>.exe
%Documents and Settings%\%Current User%\%AppData%\<rnd>.scr
%Documents and Settings%\%Current User%\%AppData%\2.exe
%Documents and Settings%\%Current User%\%AppData%\3.exe
%Documents and Settings%\%Current User%\%AppData%\4.exe
C:\RECYCLER\S-1-5-21-02433556031-8888888379-781863308\<rnd2>.exe
Delete parameters of the registry keys (How to Work with System Registry):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" ="%Documents and Settings%\%Current User%\%AppData%\<rnd>.scr"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd2>" = "C:\RECYCLER\S-1-5-21-02433556031-8888888379-781863308\<rnd2>.exe"
Clean the Temporary Internet Files folder, which contains infected files (How to clean Temporary Internet Files folder).
Restart the PC.
Run a full scan of your computer using the Antivirus program with the updated definition database (Download Ad-Aware Free).
Change all usernames and passwords for the services being in use.
И если кому интересно - расковырено тело трояна с полным описанием функционала и механизма работы алгоритмов.
http://www.lavasoft.com/mylavasoft/malware-descriptions/blog/nrgbot Пользуйтесь на здоровье.
З.Ы. .gl — национальный домен верхнего уровня для Гренландии.
У вас много друзей в Гренландии?