Сайт Вулкана wulkan.net.ms

Рейтинг опасных программ от G Data: Java

WuLk@n — Thu, 08 Sep 2011 16:42:40 GMT

Рейтинг опасных программ от G Data: Java и клик-джекинг

Половина из 10 самых вредоносных программ используют уязвимости Java
Москва, 26. 2011
Специалисты лаборатории безопасности G Data отмечают, что киберпреступники при распространении компьютерных вредоносных программ все чаще делают ставку на незакрытые уязвимости Java. Весь первый квартал в топ-листе опасного ПО преобладали именно такие программы, а в марте 5 из 10 троянских программ были нацеленных на уязвимости в Java или Java-Skript. Более того специалисты G Data в последнее время отмечают большое распространение ловушек клик-джекинга, которые манипулируют рейтингом сайтов целью направления на вредоносные сайты.

Незакрытые дыры в безопасности браузер-плагинов играют все более заметную роль в процессе инфицирования Windows-систем. С конца прошлого года вредоносная промышленность концентрируется на уязвимостях в Java. «Пользователи не должны отключать функцию автоматического обновления Java. Важно сразу устанавливать все предлагаемые патчи. Проверить версию установленного ПО Java можно очень просто и быстро на странице www.java.com/de/download/installed.jspt»,— рассказывает Ральф Бенцмюллер, руководитель лаборатории безопасности G Data.

Клик-джекинг: результаты поиска отправляют на страницы с опасным контентом
Манипуляция рейтингом сайтов в поисковых системах (SEO) и социальных сетях является актуальным трендом кибер-преступников. С помощью клик-джекинга в социальных сетях злоумышленники пытаются переместить на верхние строчки результатов поиска по запросам страницы, инфицированные вредоносным кодом, или страницы мошенников. Trojan.JS.Clickjack в марте 2011 сумел войти в сомнительную горячую десятку. Незаметно для пользователя этот троянец при посещении препарированной страницы генерирует клики для кнопки Facebook „Мне нравится“. Так, например, удается раскрутить страницы мнимых знаменитостей, поместив их на высокие позиции в результатах поиска.

«Уже несколько месяцев мы наблюдаем увеличение числа вредоносных программ, манипулирующих кликами на веб-страницах таким образом, что в результате улучшается рейтинг сайта. С помощью клик-джекинг атак вредоносные страницы в поисковых системах и социальных сетях производят впечатление гораздо более надежных, чем они являются на самом деле», — продолжает Ральф Бенцмюллер.

Рейтинг опасного ПО на март 2011

Trojan.Wimad.Gen.1
Этот троянец выдает себя за обычный .wma аудиофайл, который можно прослушать только после установки специального кодека/декодера. Если пользователь запустит такой файл, злоумышленник получит возможность установить в систему любую вредоносную программу. Инфицированные таким образом аудио-файлы распространяются преимущественно через P2P-сети.

Java.Trojan.Downloader.OpenConnection.AI
Этот троянец-загрузчик можно встретить в модифицированных Java-апплетах на Интернет-сайтах. Если пользователь загружает такой апплет, на основе его параметров генерируется ссылка и троянец-загрузчик загружает исполняемый файл, после чего запустит его. Эти файлы могут содержать любые вредоносные программы. Загрузчик использует уязвимость CVE-2010-0840, чтобы обойти средство безопасности Java (Java-Sandbox) и получить права на локальную запись данных.

Win32.Ramnit.N
Win32.Ramnit.N — классический файловый инфектор, который инфицирует исполняемые файлы (.exe), динамические библиотеки (.dll) и сохраненные на жестком диске HTML-файлы. После запуска инфицированного .exe-файла, загрузки инфицированного .dll-файла, производится копирование на компьютер жертвы еще одного .exe файла. Одновременно создается строка автозапуска для активации инфицированного файла при каждой перезагрузке или включении компьютера. Инфектор устанавливает подключение по протоколам http или https к собственным серверам. Протокол в этом случае отличается от стандартного.

Инфектор регулярно проверяет каждую локальную папку на жестком диске и инфицирует дроппером некоторые, если не все exe, dll и HTML-файлы. Этот дроппер копирует такой же файловый инфектор, как и оригинальный инфицированный файл. К инфицированным HTML-файлам добавляется VB-Skript, копирующий инфектор.

Worm.Autorun.VHG
Червь, распространяющийся в ОС Windows с помощью функции autorun.inf. Он использует сменный носитель информации (например, USB-флешка или внешний жесткий диск). Worm.Autorun.VHG является сетевым и интернет-червем и использует уязвимость Windows CVE-2008-4250.

Trojan.AutorunINF.Gen
Эта программа способна распознать известные и неизвестные вредоносные файлы autorun.inf. Autorun.inf являются файлами автозапуска для USB-флешек, внешних жестких дисков и DVD, которые незаконно используются злоумышленниками для распространения вирусов и вредоносного ПО.

Java.Trojan.Downloader.OpenConnection.AN
Этот троянец-загрузчик можно встретить в модифицированных Java-апплетах на Интернет-сайтах. Если пользователь загружае апплет, на основе параметров которого генерируется ссылка, а троянец-загрузчик загружает и запускает исполняемый файл на компьютер-жертву. Эти файлы могут содержать любые вредоносные программы. Загрузчик использует уязвимость CVE-2010-0840, чтобы обойти средство безопасности Java (Java-Sandbox) и получить права на локальную запись данных.

JS:Redirector-EP [Trj]
Редиректор отправляет посетителей веб-страницы на другие адреса. Целевой адрес скрывается от пользователя, например, с помощью запутывания его сознания, чтобы реальный адрес создавался только в браузере пользователя. Сам редиректор не компрометирует систему пользователя, но без его ведома перенаправляет запросы на опасные веб-страницы.

Java:Agent-DM [Trj]
Этот образец вредоносного ПО, основанный на технологиях Java, является Download-апплетом. Он пытается обойти средство безопасности Java (Java-Sandbox) с помощью уязвимости (CVE-2010-0840) для загрузки на компьютер жертвы другое вредоносное ПО. Благодаря тому, что апплет обманывает систему безопасности, загруженный EXE-файл может быть запущен напрямую, чего не может сделать простой апплет, т.к. Java-Sandbox воспрепятствует этому.

Trojan.JS.Clickjack.A
Trojan.JS.Clickjack.A — скрытый код JavaScript, встроенный в веб-страницу. Как сообщает его имя, троянец использует технику клик-джекинга для того, чтобы побудить посетителя веб-страницы кликнуть по сомнительной ссылке или объекту, не осознавая этого. В случае с Trojan.JS.Clickjack.A на странице создается невидимое поле, содержащей типовую кнопку Facebook "Мне нравится!". JavaScript перемещает это поле вместе с перемещением мыши, что обеспечивает злоумышленникам возможность при попытке пользователя, например, щелкнуть по отображаемой кнопке "Play" на странице видео-хостинга автоматически генерировать щелчок по кнопке «Мне нравится!».

Java.Trojan.Exploit.Bytverify.N
Эта угроза использует уязвимость в Java Bytecode Verifier и размещается в модифицированных Java-апплетах на веб-страницах. Использование этих уязвимостей может обеспечить выполнение вредоносного кода, который, например, загрузит троянскую программу. Так злоумышленник может получить контроль над системой своей жертвы.

Диспетчер задач отключен Вирусом !

WuLk@n — Wed, 31 Aug 2011 21:38:34 GMT

Диспетчер задач отключен Вирусом !
Ваш компьютер был заражен вирусом к примеру : Trojan.Winlock (Смс баннер).
Вирус удален, но вы не можете включить Диспетчер задач (нажатия CTRL+ALT+DEL) .
Система выдает сообщение о том что Диспетчер задач отключен администратором, что делать ?!

1.Откройте редактор реестра: нажмите кнопку Пуск,в поле поиска введите regedit и нажмите клавишу ВВОД.‌ Требуется разрешение администратора Введите пароль администратора или подтверждение пароля, если появится соответствующий запрос.

2.Перейдите в следующее расположение: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

3.Дважды щелкните System, дважды щелкните DisableTaskMgr, измените значение на 0, а затем нажмите кнопку OK.

Защита от Смс Блокировки

WuLk@n — Wed, 31 Aug 2011 18:09:25 GMT

Защита от Смс Блокировки

Браузер Internet Explorer, удаление порно баннера
Чтобы удалить баннер из Internet Explorer делаем следующее:
Заходим в Internet Explorer. В меню Сервис > Управление надстройками > Отключить надстройку, выбираем LexLibVideo Plugin, нажимаем кнопку “Отключить”.
Далее заходим в “Мой компьютер”, ищем локальный диск “C”, нажимаем “Поиск файлов и папок”, ищем файл ??lib.dll, без сожаления удаляем. Знаки вопроса в имени библиотеки говорят о том, что на этих местах могут стоять две или три любые буквы.

Потом идем в меню “Пуск”, щелкаем по меню “Выполнить”, в текстовое поле вводим “regedit”, далее OK > Правка > Найти > вводим “??lib.dll”. Удаляем все найденные файлы. Так проделываем несколько раз.
Если все остальное не помогло, то через проводник Windows находим папку C:\Documents and Settings\{User Profile}\Application Data\AdSubscribe, а в ней файл AdSubscrib.dat, открываем его в блокноте, находим переменную [Runtime] ADSR=999, исправляем значение 999 на 0 и запускаем uninstall.exe. В след за этим в реестре (Пуск > Выполнить > regedit > Правка > Найти) находим все, что в имени своем имеет буквосочетание “AdSubscribe” и без опасения и сожаления удалить.
Перезагружаем компьютер.
Наслаждаемся отсутствием баннера и больше никогда не заходим на порно сайты.

Браузер Mozilla FireFox, удаление порно баннера
Чтобы удалить баннер из Mozilla FireFox делаем следующее:
Заходим в Mozilla FireFox. В меню Инструменты > Дополнения > Расширения ищем имя дополнения, которое отображает порно баннер, оно может называться XComFF, W V VIDEO PROVIDER, HQ Video Converter или просто INFORMER. Здесь надо включить интуицию и руководствуясь ею найти нужное название, хотя, если вы удалите не то, что нужно, никакой беды не произойдет. После вы всегда можете восстановить полезное дополнение. Можно удалять все по очереди, каждый раз перезапуская FireFox, как только порно баннер пропадет, можно считать, что вы попали в цель.
С помощью проводника Windows заходим на локальный диск “C” > Windows\system32\drivers\etc В этой папке ищем файл “host”, открываем его блокнотом и удаляем весь текст. Нажимаем “Сохранить”

Браузер Opera, удаление порно баннера
Чтобы удалить баннер из Opera делаем следующее:
Заходим в Opera. В меню Инструменты > Настройки > Дополнительно > Содержимое > Настройки JavaScript. В поле “Папка пользовательских файлов JavaScript” стираем все полностью, нажимаем “ОК”
Также по пути, описанном в п. 1 можно удалить все файлы баннеров с расширением *.js
Если по указанному в п. 1 вы видите сообщение “C:WINDOWS uscripts”, то следует удалить всю папку “uscripts”

Также для удаления порнографического баннера можно поступить так:

Когда появляется порно информер, откройте диспетчер задач сочетанием клавишь Ctrl+Alt+Delete и на вкладке “Приложения” найдите вредоносную программу, запишите ее название в Блокнот. Далее откройте меню Пуск > Выполнить > regedit > Правка > Поиск. В строке поиска впишите сохраненное название программы и удалите все записи, связанные с ним. Потом перезапустите машину в безопасном режиме (во время загрузки жмите клавишу F8) и с помощью поиска найдите все файлы и каталоги с таким названием и удалите их. Также сотрите все каталоги и файлы из папки C:\WINDOWS\Temp, а проще говоря, очистите папку Temp полностью.

Есть и другая методика:
Установить программу Process Explorer (есть в архиве)
Распаковать в любую папку программу AVZ (есть в архиве)
Устанавливаем AVZ
Закрыть все программы, которые имеют доступ в Интернет
Отключить Интернет принудительно вручную
Запустить программу Process Explorer
Найти процесс с именем, похожим на kui38 или другое, которое имеет красный цвет, то есть пытается подключиться к Интернет.
Наведите на найденный процесс курсор мыши и убедитесь, что папкой его запуска является папка Temp, находящаяся по пути C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp
Выбираем на родительском процессе этого процесса “kill process tree” в контекстном меню, вызываемом правой кнопкой мыши. Окно порно информера или баннера должно исчезнуть.
Далее в “Мой компьютер” меню Свойства папки устанавливаем “Показывать скрытые файлы и папки” и снимаем галочку со “Скрывать защищенные системные файлы”
Идем по пути C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp
Находим в этой папке файлы с названием процесс, о котором мы говорили в п. 6
Удаляем эти файлы по одному с помощью меню программы “AVZ” “Отложенное удаление файла”
Не закрывая AVZ, перезагружаем компьютер
Запускаем AVZ и с помощью функции “Мастер поиска и устранения проблем”, разблокируем запуск Диспетчера Задач

Порно Баннер на номер 9800 в Internet Explorer. Удаление. Способ №1
“Сервис > Управление надстройками > Отключить надстройку”. Выбрать LexLibVideo Plugin, нажать “Отключить”. Далее, поиском на диске “С” ищем файл “???lib.dll”, удаляем. Потом, “Пуск > Выполнить” Ввести “regedit”. В поле поиска ввести “???lib.dll”, удалить все найденное. Преезагрузить компьютер.

Порно Баннер на номер 9800 в Internet Explorer. Удаление. Способ №2
Поиском найти файл “AdSubscrib.dat”, открыть его в Notepad++, изменить значение 999 переменной “[Runtime] ADSR=999” на 0. Запустить “uninstal.exe”. Найти и удалить все файлы с “AdSubscribe” в названии. Перезагрузить машину.

Порно Баннер на номер 9800 в Mozilla FireFox. Удаление.
“Инструменты > Дополнения > Расширения” отключить расширение с одним из имен “XComFF”, “W V VIDEO PROVIDER”, “HQ Video Converter”, “INFORMER”. Потом, в “C” > Windows\system32\drivers\etc найти файл “host”. В notepad++ удалить весь текст, сохранить. Перезагрузить компьютер.

Порно Баннер на номер 9800 в Opera. Удаление.
“Инструменты > Настройки > Дополнительно > Содержимое > Настройки JavaScript”, в поле “Папка пользовательских файлов JavaScript” удалить весть текст, нажать “ОК”. Найти поиском и удалить папку “uscripts”. Перезагрузиться.

Порно Баннер на номер 9800 . Универсальная методика удаления
Нажать “Ctrl+Alt+Delete” найти программу вымогатель, записать название. Далее зайти “Пуск > Выполнить > regedit > Правка > Поиск”, ввести записанное название, удалить все найденное. Проделать то же самое в безопасном режиме. Очистить папку c:\\windows\temp
Как избавиться от блокираторов первого типа.
Проверено на себе. Перезагружаем компьютер, когда вирус уже заблокировал его, жмем F8 после загрузки BIOS.
Входим в безопасный режим с поддержкой командной строки(обязательно). Выбирается с помощью стрелок на клавиатуре. В командной строке набираем regedit.exe. Открывается редактор реестра. Никуда не лезем, ничего не меняем, а сразу открываем HKEY LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current version\Winlogon. Кликаем на Winlogon. В правой панели выпадает список атрибутов, находим атрибут Shell, вот здесь то и кроется этот вирус.
Запись выглядит так C:\users\user\Download\далее может быть все что угодно смотря, что, где подцепили, но не суть, что бы там ни было, должно быть, И ЭТО САМОЕ ГЛАВНОЕ, explorer.exe. Кликаем по Shell, удаляем все и просто пишем explorer.exe. Нажимаем OK, сохраняем и перезагружаем систему.
Не забываем также взглянуть на атрибут userinit, там в записи C:\windows\ System32\userinit.exe, после запятой ни должно быть ничего.

И еще полезная ссылка Сервиса деактивации вымогателей-блокеров
полезная ссылка Сервиса деактивации вымогателей-блокеров

Вирус vkontakte.ru и Лечение

WuLk@n — Thu, 25 Aug 2011 16:20:30 GMT

Если заражение всё же произошло, то нужно сделать то, что описано ниже:

Симптомы:
Не заходит в "контакт" а показывает страницу активации и пишет: "Отправьте СМС” (а СМС разумеется платное).
Что делать, если Вы перешли по ссылке http://vkontakte.ru/ и увидели сообщение такого типа:

"Новые методы борьбы со спамом и анонимными регистрациями.

В связи с многочисленной регистрацией анонимных анкет и активному подъему уровня спам-рассылок - теперь каждая анкета подлежит обязательной активации.

Активация происходит в автоматическом режиме:
отправьте смс с текстом ХХХ
на номер ХХХХ для абонентов России
на номер ХХХХ для абонентов Украины
-----------------------------

Это верные признаки того, что у Вас на компьютере страшный вирус или троян, который и не даёт зайти на сайт, а вместо этого выдаёт страницу активации и просит отослать платное СМС для входа в контакт, чтобы забрать Ваши деньги.

Как его лечить, как же всё-таки зайти в контакт ру? Ответ последует дальше.
Шаги по лечению злого троянского вируса, не дающего зайти в контакт.ру:
Зайдите в папку C:\WINDOWS\system32\drivers\etc\hosts - проверьте этот документ или заходим в "Пуск” -> "Выполнить” и в открывшемся окошке вводим %SYSTEMROOT%\system32\drivers\etc\hosts и в открывшемся окошке выберите "Блокнот”.
Когда этот документик откроется в блокноте, посмотрите, есть ли в нём упоминания о вконтакте ру (vkontakte.ru) – удалите такие строки.

Откройте Поиск и там введите имя файла vkontakte.exe, в дополнительных параметрах укажите "Поиск в скрытых файлах и папках” и "Поиск в системных папках”, после чего выполните поиск по всем дискам компьютера. (Для глобального поиска, зайдите на рабочий столе. щёлкните правой кнопочкой по "Мой компьютер", далее по "Найти". Перед вами откроется поиск, нажмите "Файлы и папки", и введите название файла группы "vkontakte.exe": vkontakte.exe, vk.exe, scv.exe, cnn.exe и т.п.)
Найденный файл группы vkontakte.exe (если таков был найден) удалить.
Проверить систему на вирусы антивирусом, предварительно до этого обновив антивирус.
ОБЯЗАТЕЛЬНО ПЕРЕЗАГРУЗИТЕ КОМПЬЮТЕР!!!
Измените пароли от почтового ящика и от ВКонтакте, и от всего другого чем вы пользуетесь каждый день, так же icq и т.д
Никогда не устанавливайте "дополнения" для сайта, которые не указаны вот тут - http://vkontakte.ru/help.php?page=about
ВНИМАНИЕ! Если на шаге 1 не открывается документ %SYSTEMROOT%\system32\drivers\etc\hosts, то выключаем комп, включаем и заходим в безопасном режиме и проделываем шаги с первого по пятый.

Выполнив эти шаги, вы должны избавится от проблемы.
Альтернативное решение. Рекомендуется только если предыдущее не подошло:

Некоторые люди решили проблему входа в контакт и страницы активации просто:

Они переместили всё содержимое из папки %SYSTEMROOT%\system32\drivers\etc в другую папку (именно переместили, а не просто скопировали) и после этого вход в контакт ру заработал, а страница активации с требованием платного СМС пропала.
Как вообще происходит заражение вирусом в контакте:

Вирус для в контакте проникает на Ваш компьютер или через какую-то неизвестную программу, которую Вы установили, или если Вы вошли на какой-то сайт, содержащий вирус и страшный вирус для в контакте.ру проник на Ваш компьютер.

Кстати этот вирус может украсть Ваш пароль и адрес почты и будет от Вашего имени рассылать в контакте.ру спам.
Что происходит после заражения вирусом, почему видна страница активации и не входит в контакт ру:

Важно!!! В контакте ру никогда не требует СМС для входа! Не отсылайте СМС, если у Вас возникла страница активации вместо страницы входа – это вирус, а мошенники пытаются вытянуть с Вас деньги!!! Администрация контакта лично заверяла что не требует отсылки СМС для входа!

После этого пользователи отмечают, что краткое время видят какое-то чёрное окошко, которое исчезает через секунду и после этого они не могут войти в контакт ру, а вместо страницы входа видят страницу активации в контакте ру.

На странице активации в контакте ру им предлагают послать платное смс для того чтобы войти в контакт ру. Обычно для входа просят отправить СМС не очень большой стоимости, например 5 рублей – СМС, но это обман, пользователи, у которых на счету было около 100 рублей отправляли СМС для активации и им писало, что средств для отправки СМС недостаточно, а значит СМС стоило дороже.

Некоторые пользователи, не успевшие прочесть мою статью и с большим балансом, всё же отправили СМС для в контакте ру но так и не смогли зайти, а деньги у них сняли.
Схема действий мошенников или зачем им нужна страница активации вместо входа в контакте ру:

Мошенники создают вирус для в контакте ру, требующий СМС на странице активации, которая заменяет страницу входа. Когда пользователь заходит на страничку входа в контакт, он попадает на страницу активации и с неё через СМС мошенники пытаются вытянуть деньги. Если пользователь заходит на страницу активации и отправляет СМС для входа в контакт – он лишь теряет деньги. Входа естественно не будет, а будет всё снова и снова страница активации.

Никогда не вводите свой логин и пароль от социальной сети на подозрительных страничках, чтобы не стать обманутым и у Вас не украли Ваш пароль!!!

Новый руткит Popureb делает Windows неработоспособной

WuLk@n — Mon, 18 Jul 2011 12:57:11 GMT

Новый руткит Popureb делает Windows неработоспособной

Microsoft накануне предупредила пользователей Windows о том, что им придется переустанавливать операционную систему, если их речь идет о новом варианте троянца Popureb, который так глубоко размещается в системе, что единственная возможность полностью восстановить систему - это переустановить Windows или воспользоваться диском восстановления.

"Если ваша система была инфицирована Trojan:Win32/Popureb.E, мы советуем вам восстановить MBR при помощи CD восстановления, возвращающего систему к заводским настройкам", - говорит Чан Фенг, инженер Microsoft Windows Protection Center. Вредоносное ПО Popureb перезаписывает загрузочный сектор - место жесткого диска, которое операционная система начинает считывать в первую очередь после того, как получает управление от BIOS. Popureb отлавливает операции записи, ориентированные на MBR, после чего размещает там свой код.

Троянец имитирует часть системных функций операционной системы и размещается в бут-секторе, оставаясь невидимым как для операционной системы, так и для антивирусного ПО. Сейчас на сайте Windows Protection Center размещены инструкции по восстановлению MBR для операционных систем XP, Vista и Windows 7. Фенг говорит, что в основном троянцы подобного рода размещаются в системе для последующего заражения систем другими образцами вредоносного ПО. В начале 2010 года был зафиксирован троянский код Alureon, направленный на Windows XP и делающей ОС неработоспособной после установки апдейтом из Windows Update.компьютер будет инфицирован новым руткитом, который скрывает от операционной системы главный загрузочный сектор.

В терминалах Qiwi обнаружен троян, ворующий деньги

WuLk@n — Thu, 17 Mar 2011 16:43:12 GMT

Компьютерные вирусы добрались и до платежных терминалов. Вредоносными программами, способными переводить деньги на счета злоумышленников, могли быть заражены аппараты крупнейшей в России системы моментальных платежей — Qiwi. Вирус обезврежен, злоумышленники не украли ни копейки, успокаивает оператор
Производитель антивирусов Dr. Web объявил вчера об обнаружении программы Trojan.PWS.OSMP. Она заражает терминалы одной из крупнейших российских платежных систем. Это — Qiwi, уточнил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. Более 100 000 платежных терминалов в России подключено к сети этой компании. Qiwi контролирует более 40% рынка моментальных платежей.
По данным Dr. Web, вирус вмешивается в работу программы, обслуживающей аппарат, и подменяет номер счета, на который осуществляет платеж пользователь. В результате средства попадают напрямую мошенникам. А последняя модификация вируса позволяет и вовсе создавать «виртуальный» терминал, с помощью которого злоумышленники могут красть деньги напрямую из системы.
Заразить аппарат можно через сеть, отмечает Голованов. Другой вариант — через USB-вход при сервисном обслуживании, считает директор Центра вирусных исследований и аналитики ESET Александр Матросов. Это может быть либо случайность, либо злой умысел обслуживающего персонала, добавляет эксперт. Но представитель Qiwi называет такие предположения «утопией». На терминалах компании установлена система Anti-Fraud, которая сумеет распознать атаку и заблокируeт зараженный терминал.
Ни Dr. Web, ни «Лаборатория Касперского» не располагают данными о числе жертв атаки. У Qiwi нет никаких зараженных терминалов и ни один клиент не пострадал от этого вируса, утверждает ее президент Андрей Романенко.

Dr. Web обнаружил первую модификацию вируса еще в ноябре 2007 г., передал «Ведомостям» руководитель отдела антивирусных разработок и исследований компании Сергей Комаров. Последнюю модификацию Dr. Web обнаружил в феврале и проинформировал об угрозе владельца сети терминалов. Романенко подтвердил, что Qiwi узнала об этом вирусе 20 февраля и уведомила о нем всех своих агентов. Он добавляет, что активность нынешнего вируса была «крайне низкая».

[admin]Информация vedomosti.ru[/admin]