Служба вирусного мониторинга компании «Доктор Веб» сообщает о серьезной вирусной эпидемии, затронувшей подписчиков популярной социальной сети "ВКонтакте.Ру". Причиной эпидемии стал опасный сетевой червь Win32.HLLW.AntiDurov.

Червь рассылает с инфицированных машин другим пользователям сети "ВКонтакте.Ру" ссылку на картинку в формате jpeg, ведущую на ресурс злоумышленника в сети Интернет (http://******.misecure.com/deti.jpg). Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым червем. Заражались пользователи, просмотревшие следующую картинку:

Будучи запущенным на компьютере жертвы, червь сохраняет на диске саму картинку, которая и вызвала любопытство неосторожного пользователя, и запускает штатное приложение, используемое в системе для просмотра файлов jpeg. Таким образом, пользователь видит то, что ожидал увидеть, не подозревая, что стал жертвой злоумышленника. А между тем на его компьютере происходят весьма неприятные события.

Скопировав себя в папку C:\Documents and Settings\*UserDir*\Application Data\Vkontakte\ под именем svc.exe, червь устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к "Вконтакте.Ру" в cookies, используемых броузером. Если пароль находится, то червь получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку.

Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена):

Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен!
Если обратитесь в милицию, то сильно пожалеете об этом!

Одновременно с этим начнется удаление с диска C: всех файлов. Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных — документы, фотографии, электронные письма и многое другое. Поэтому самое лучшее действие при появление такого сообщения — немедленное выключение питания компьютера, что позволит, по крайней мере, сохранить если не все данные, то хотя бы их часть. ©

Если вы стали жертвой спам рассылки в контакте…
1. Вызываем "Диспетчер задач" (Ctrl + Alt + Delete)
2.Вкладка "процессы"
3. Завершаем процесс svc.exe ВНИМАНИЕ !!! Их может быть несколько!!!
(для удобства поиска данного процесса советую упорядочить по имени.)
Если этого процесса нет — вам повезло. Этого вируса у вас нету.
4.Удаляем файл C:\Documents and Settings\"Имя пользователя"\Application Data\Vkontakte\svc.exe
5. На всякий случаем перегружаем компьютер.
6. Проверяем, чтобы процесса svc.exe не было в списке.
7. Конец…

P.S. Думаю, что вирус удалён. Гарантий на полное удаление не даю…

PSS Если у вас "после этого" что-то не работает — виноват не я, а ваши руки.

И напоследок: Папка Application Data — скрытая.
Чтобы показывать скрытые папки : Открываем "Мой компьютер"
Вверху ищем… Файл Правка Вид Избранное Сервис Справка.
Нам нужен Сервис. Далее : "Свойства папки". Открываем вкладку "Вид". Ставим Галочку или точечку)) рядом с "Показывать скрытые файлы и папки". Далее : Применить; Ок.

Процесс svchost.exe и svc.exe — не одно и то же!!!

svchost.exe — НЕ ТРОГАТЬ, он хороший)

ПУСТУЮ папку vkontakte можете оставить) Это не вирус, а всего лишь папка) (хранение ненужных папок — дело добровольное)

Небольшой отступ про реестр…
В реестре содержится только лишь "ссылка на файл", чтобы он запускался при перезагрузке. Если вы даже не поняли, что я сказал — в реестр лучше даже не соваться. Испортить там очень просто, а восстановить, гораздо сложнее. Вывод: реестр ламерам не трогать!)) ©

Кто столкнулся с вирусом "Win32.HLLW.AntiDurov" отпишитесь.

Отредактировано _Valerka_ (2008-05-22 16:26:00)