Поиск

среда, 11 июля 2012 г.

Не открываются соцсети: Malware однокласников и вконтакте.

Попался комп на котором не открываются вконтакте.ру и однокласcники.ру

Установлен великий и ужасный Каспер. Который как всегда отказывался работать бесплатно.
При пинговании вышеуказаных доменов у обоих IP один и тот же:

46.37.188.85 – Malware Domain

The site 46.37.188.85 is used to spread malware. Protect your computer against this site: 46.37.188.85.

 Delete the lines including46.37.188.85 from the %SysDir%\drivers\etc\hosts file.

Removed all rows with “46.37.188.85″ from “%SysDir%\drivers\etc\hosts” file\

Executed Malware: DSC000025.exe

Файл hosts чист, на первый взгляд. 

Рядом лежит "скрытый" одноименный файл, где соцсетям присвоен этот IP.

Удаляем его Windows/System32/Drivers/etc/hosts безжалостно!
Если не получается, пробуем в безопасном режиме. У меня сперва не удалялся, потому что был заблокирован от изменения свежеустановленным антивирусом Avira.

—————————————————————————————————————————-
How to quickly detect malware presence?
Files modified:
C:\WINDOWS\system32\drivers\etc\hosts
—————————————————————————————————————————-
Classification:
Antivirus Version Last Update Result
F-Secure 9.0.16440.0 2011.06.05 Trojan.Generic.6048743
Kaspersky 9.0.0.837 2011.06.06 Trojan.Win32.Qhost.vot
Microsoft 1.6903 2011.06.06 -
NOD32 6182 2011.06.06 a variant of Win32/Qhost.OHV
—————————————————————————————————————————-
MD5 03e076129a6987ac279d68370ef37228
SHA1 3731b0298ec3519b62771bb5e07c5fb5f57d4844
SHA256 76950ec8423fff9fe2b6cc45e544b83b58723df6168a02e0889529ff9cd38100
—————————————————————————————————————————-

Installation
When the program is executed, it creates the following registry subkeys and values:
———————————-
Files [attributes?] modified:1
———————————-
C:\WINDOWS\system32\drivers\etc\hosts
———————————-
Total changes:1
———————————-
The HOSTS file contains:
—————————————————————————————————————————-
46.37.188.85 www.vkontakte.ru
46.37.188.85 vkontakte.ru
46.37.188.85 www.vk.com
46.37.188.85 vk.com
46.37.188.85 www.durov.ru
46.37.188.85 durov.ru
46.37.188.85 www.odnoklassniki.ru
46.37.188.85 odnoklassniki.ru
—————————————————————————————————————————-
WHOIS informations:
—————————————————————————————————————————-
NetRange: 46.0.0.0 – 46.255.255.255
CIDR: 46.0.0.0/8
OriginAS:
NetName: 46-RIPE
NetHandle: NET-46-0-0-0-0
Parent:
NetType: Allocated to RIPE NCC
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 2009-09-29
Updated: 2009-09-30
Ref: http://whois.arin.net/rest/net/NET-46-0-0-0-0
OrgName: RIPE Network Coordination Centre
OrgId: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
RegDate:
Updated: 2011-03-15
Ref: http://whois.arin.net/rest/org/RIPE
ReferralServer: whois://whois.ripe.net:43
OrgTechHandle: RNO29-ARIN
OrgTechName: RIPE NCC Operations
OrgTechPhone: +31 20 535 4444
OrgTechEmail:
OrgTechRef: http://whois.arin.net/rest/poc/RNO29-ARIN
== Additional Information From whois://whois.ripe.net:43 ==
inetnum: 46.37.188.80 – 46.37.188.87
netname: NS-131513
descr: VPS CLIENT IPs – https://www.burstnet.eu/linvps.shtml
country: RU
admin-c: LA3599-RIPE
tech-c: LA3599-RIPE
status: ASSIGNED PA
remarks: Client VPS for Dgrad-host.ru
mnt-by: mnt-burst-au
mnt-by: mnt-burst-mu
mnt-irt: IRT-BURSTNET
source: RIPE # Filtered
irt: IRT-BURSTNET
address: BurstNET Limited
Suite #31 Greenheys
Pencroft Way
Manchester Science Park
Manchester
M15 6JJ
United Kingdom
e-mail:
admin-c: LA3599-RIPE
tech-c: BAD18-RIPE
auth: MD5-PW $1$ByZn2Ac9$fVCW37WSkaxsyacAh6kKn/
mnt-by: mnt-burst-mu
source: RIPE # Filtered
role: LIR Admin
address:
e-mail:
admin-c: BRA40-RIPE
tech-c: JM7088-RIPE
tech-c: FN1570-RIPE
nic-hdl: LA3599-RIPE
source: RIPE # Filtered
—————————————————————————————————————————-

June 9, 2011 by NightWatcher
Filed under: Malware Domain