Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы»




Скачати 155.61 Kb.
НазваДоклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы»
Дата конвертації13.10.2013
Розмір155.61 Kb.
ТипДоклад
mir.zavantag.com > Информатика > Доклад




МВД России

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

УФИМСКИЙ ЮРИДИЧЕСКИЙ ИНСТИТУТ


МИНИСТЕРСТВА ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ

Доклад по расследованию преступлений в сфере компьютерной информации

Тема: «SMS вирусы».


Выполнил: курсант 409 уч. вз. рядовой полиции Бунин Е.С.

Уфа

2012

Смс вирусы существуют уже давно, но раньше они заражали только браузеры. Если просьба об отправке sms появлялась в IE, то можно было работать в Mozilla, а зараженный браузер можно было локализовать, отключив в настройках информер. Также задачу как убрать порно баннер успешно выполнял DrWeb. Однако на сегодняшний день эти вредоносные программы развились настолько, что в некоторых случаях перешли в разряд «не убиваемых».

На сегодняшний день sms вирусы стали более активными и пробивными. Заражают они уже реестр винды, исправляют его и возникают либо на рабочем столе поверх всего или (появились всего несколько месяцев назад) возникают на окне приветствия виндовс, то есть пользователь видит ЕГО даже до появления мышки! Такие смс вирусы наиболее опасны и трудоемки-геморойны при борьбе с ними. И даже в одном проценте случаев, к сожалению, «неубиваемы» вовсе. Вернее, справиться то с ними можно, но, потратив два-три часа правки реестра (а ведь это ещё нужно уметь и в Москве из 100 мастеров умеют это делать считанные единицы (можно сравнить с яблоком, в которое налезли червяки выдернуть за хвост то их можно, но яблоко будет уже с дырочками и в конце концов сгниёт) и увидев наконец – то рабочий стол, понимаешь, что винда работает так криво, что проще было уже за потраченное время переустановить её несколько раз, а уж работе с нуля чистой винды можно доверять. Хотя и в этом случае нужно обязательно просканировать все данные на наличие смс вирусов, иначе «попрыгают» они обратно и будут снова возникать и мешать вам нормально и стабильно работать. Однако есть такие люди как бухгалтеры и иже с ними которым переустановка виндовс смерти-увольнению подобна, так как у них куча различных программ настроенных специальным образом, специальными людьми и внутри каждой множество баз данных и как всегда за десять лет минимум.

^ SMS ВИРУСЫ

Можно различить несколько видов sms вирусов.

«Net Accelerator» - начал свою черную работу всего месяц назад. Порно баннер ликвидировали, но суть вируса от этого не изменилась. В баннере пишут «Скачана программа Net Accelerator, отправьте sms….» или «Скачана программа Download Master, отправьте sms….». Причем в этой ситуации антивирус уже его не видит.  

«Порно версия» - незвано выскакивает порно-банер и нагло требует отправить sms. Если "повезет", то у вас может поселится анимированный смс вирус. Антивирус его прекрасно обнаруживает, однако не знает как убрать порно баннер. 

«Муть» - Рабочий стол сильно затемняется, а в центре та же просьба отправить смс. Антивирус не срабатывает. Остается единственное - нажать на баннер.

«Блокировка» - «Блокировка» - Появляется баннер с надписью, что компьютер заблокирован за нарушение законодательства, а именно за посещение сайтов для взрослых. Формулировка явно не для слабонервных. Ну конечно же нужно отправить смс, причем код для ввода обещают выдать чеке. Не надо быть наивными - терминал никаких кодов никогда не выдавал и выдавать не будет!

Самое неприятное в том что эти вредоносные программы портят данные и даже искажают фото! Они устроены так, что винда становится частью вируса, а не вирус частью винды! Удалить его вводом кодов или антивирусом не реально.

Наши специалисты помогут Вам устранить данную проблему. Даже если на ПК хранится очень важная информация, мы можем помочь ее сохранить при удалении смс вируса (процедура занимает от 5 часов работы специалиста).

Sms вирусы из сети проникают через письма, всплывающие окна, ссылки на невесть откуда взявшиеся ресурсы. Изобретатели не гнушаются и специальными дорвеями, подделанными под актуальные запросы типа «Дом2 ...».

Если Вас охватил испуг при виде жуткой картинки во весь экран, и требуется лишь отправить смс, не спешите, ведь от Вас только того и ждут. С Вашего счета спишется от 300 до 3000 рублей, и Вы избавитесь на час, а может на неделю от этой гадости (это зависит от количества денег, снятых с Вашего счета). Даже выполнив требования, Вы не сможете нормально работать, потому что Windows будет постоянно глючить. Антивирус будет нейтрализован, а зловредная программа вернется вновь с прежним требованием, и это будет повторяться бесконечно.

По последним ( май 2011 года) «опытам лоховпопадальщиков» особенно абонентов пчелайна если с Вас сняли от 100 до 500 рублей, то ОБЯЗАТЕЛЬНО будут КАЖДЫЙ день снимать такую же сумму МИНИМУМ неделю! Как говориться на заборе тоже написано…

Лишь одним методом можно эффективно убрать порно баннер – полностью переустановить Windows. После этого файлы будут защищены от заражения. После переустановки Windows и ликвидации sms вирусов с ними можно работать спокойно. Если Вы получили такой «подарок» с требованием отправить смс, без помощи грамотного специалиста не обойтись. Только он знает как убрать порно баннер: он переустановит Ваш Windows и поставит самую новую систему безопасности.

^

Бесплатные сервисы онлайн деактивации SMS-вирусов


За последнее время в интернете прокатилась уже не одна волна эпидемии, причина которой стали вирусы-вымогатели SMS.

Вирус блокирует функционал операционной системы и вынуждает пользователя заплатить за возобновление доступа к системе или к пользовательским документам.

При заражении ПК на экране монитора появляется окно с предупреждением о приостановлении работы компьютера и требует отправить sms на платный номер, чтобы разблокировать Windows, в противном случае угрожая потерей данных.

СМС-оплата в данном случае является просто идеальной схемой для получения нелегального дохода. Предлогом для оплаты SMS-вымогатели могут написать все что угодно.

Например, что на вашем компьютере установлена нелицензионная Windows и нужно заплатить за активацию лицензии или сообщение об обнаружении вирусов и предложением оплаты за копию антивирусной программы.

При этом внешне вирусы-вымогатели могут быть замаскированы под известные продукты, Internet Security от Касперского, к примеру. Ложные антивирусы под видом обыкновенных антивирусных программ могут предлагать закачать себя и начать проверку. А может быть и такое сообщение, что ваш компьютер заблокирован без объяснения причин.

Без изменения остается только одно — вирус требует отправить SMS.

Встречается СМС-вирус и в форме навязчивого банера (рекламного информера), который находится поверх всех системных окон. А для его отключения, естественно, вирус просит отправить SMS.

Еще один распространенный вариант «подцепить» СМС-вирус, когда пользователь собирается посмотреть онлайн какой-то фильм, но нажимая на кнопку воспроизведения, он получает сообщение о том, что на компьютере отсутствуют необходимые для просмотра драйверы, и сразу предлагается бесплатно их установить. Если человек соглашается, то вместо драйверов на его компьютер устанавливается программа-вымогатель. Вирусы-блокеры также могут проникнуть под видом файлов изображений, электронных книг или аудиофайлов.

^ СМС-вирус блокирует работоспособность зараженного компьютера полностью. Буквально все системные программы отказываются отвечать на запросы. Вирус блокирует диспетчер задач, редактор реестра, выход в интернет и пр. Сочетания клавиш, которые должны свернуть/закрыть/переключить на другую программу также блокируются. Не дает результатов перезагрузка даже в безопасном режиме.

Большинство вирусов-блокеров не сразу дают о себе знать, и даже при загрузке компьютера СМС-вирус себя никак не проявляет, но при попытке запуска любого приложения оно блокируется и всплывает окно с известным уже сообщением. По этой причине определить сайт, который «подкинул» такой подарок, практически невозможно!

СМС-вирус постоянно модифицируется и дорабатывается, появляются его новые вариации. SMS-вымогатели, движимые жаждой наживы, не останавливаются на достигнутом и продолжают изобретать все новые способы обмануть интернет-пользователей.

В большинстве случаев стоимость SMS установлена на максимуме и может достигать более 300 рублей за одно сообщение. Многие вирусы-вымогатели после ввода полученного кода не разблокируют компьютер, а требуют повторить процедуру еще раз. Таким образом мошенники пытаются вытянуть максимальное количество средств из кошелька пользователя. И что самое грустное, им это удается!

Многие пользователи интернета, которым «посчастливилось» поймать вирус-вымогатель и увидеть во весь экран окно с устрашающим текстом, сразу паникуют (или наивно верят) и отправляют SMS. Процент людей, отправивших СМС, иногда достигает 50-80% для некоторых категорий пользователей. Показатель зависит от многих факторов, например, от компьютерной грамотности или возраста человека.

Примеров, когда пользователи теряли со своих телефонных счетов ни одну тысячу рублей, предостаточно. Основная масса пользователей интернета, которые поймали SMS вирус-блокер шли самым простым путем - отправляли SMS. Таким образом, по данным СМИ, мошенники распространяющие вирусы-вымогатели смогли заработать обманным путем сотни миллионов рублей!!!

Если ваш компьютер стал жертвой SMS-вымогателей, не отправляйте SMS! Выход в данной ситуации есть! Когда заражение подобными программами стало приобретать массовый характер, ряд антивирусных компаний создали бесплатные сервисы подбора кодов разблокировки, которые деактивируют вирусы-вымогатели. Наиболее популярными сервисами, которые помогут деактивировать вирус online, являются Dr.Web, Лаборатория Касперского и ESET NOD32.
^

Как получить код разблокировки?


Если к вам проник зловредный вирус, зайдите с другого компьютера на один из бесплатных сервисов деактивации, введите в форму запроса данные (текст сообщения и номер, на который требуется отправить SMS) и получите код разблокировки. В окне программы-вымогателя введите полученный код и нажмите кнопку подтверждения (активация, активизировать и т.д., название кнопки в разных видах SMS-вируса может отличаться). После этого вирус должен деактивироваться.

Кстати, у Доктора Веба есть мобильная версия генератора кодов! Теперь пользователи, которые в результате действий трояна-вымогателя лишены возможности зайти на сайт компании со своего компьютера, могут воспользоваться бесплатным разблокировщиком через свой сотовый телефон или коммуникатор, у которого есть выход в интернет.

Бесплатные сервисы работают на основе подборки кодов, которые деактивируют конкретный СМС-вирус. По этой причине те коды, которые содержатся в базах онлайн сервисов могут отличаться друг от друга. Поэтому если один из сервисов не помог в деактивации SMS-вируса, пробуйте в других. В одном из них обязательно найдется подходящий код.

Даже если вы успешно деактивировали вирус в online сервисе, не забудьте просканировать компьютер антивирусником. В дополнение будет полезным ознакомиться с информацией на сайтах Dr.Web, Eset и Касперского, помимо рекомендаций по соблюдению безопасности они предлагают бесплатные лечащие утилиты и бесплатные онлайн-сканеры для проверки вызывающих подозрение файлов или ссылок на наличие в них вирусов и вредоносных программ.

^

Удаление баннера, блокирующего Windows




Баннер Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет

 

Если при загрузке в "Безопасном режиме с поддержкой командной строки" все равно появляется баннер (в основном это баннер КОМПЬЮТЕР ЗАБЛОКИРОВАН за просмотр, копирование и тиражирование видеоматериалов и т.д.), то без загрузочного диска не обойтись. Лучше всего использовать ERD Commander.


^

Удаление баннера Компьютер заблокирован - Шаг 1.


Загружаем ERD Commander. В загрузочном меню диска выбираем версию (XP, Vista, 7). После загрузки появится окно с запросом, к какой ОС подключаться. Выбираем путь к своей папке windows и жмем ОК (если у вас Windows XP)


Если у вас Windows 7, то до выбора пути к ОС нужно ответить еще на несколько вопросов. На вопрос ^ Инициализировать подключение к сети в фоновом режиме? отвечаем Нет.

Переназначить буквы дисков таким образом, чтобы они соответствовали буквам дисков целевой операционной системы?Отвечаем Да.

Дальше выбираем раскладку клавиатуры. После выбираем путь к целевой ОС и жмем Далее.



 ^ Как удалить баннер ваш компьютер заблокирован - Шаг 2.

Нам понадобится редактор реестра, чтобы убрать записи баннера из реестра Windows. Чтобы поправить реестр зараженной винды выбираем меню Start - Administrative Tools - Registry Editor (для Windows XP).



 

Если же у вас семерка, меню ERD Commander'а будет отличаться. В первом окне нужно выбрать пункт меню ^ Microsoft Diagnostics and Recovery Toolset для запуска средств восстановления ОС. В появившемся окне с набором инструментов выбираем Редактор реестра ERD.


Откроется реестр Windows, путь к которой мы выбрали в первом окне при загрузке. Это реестр зараженной винды, в которой сидит порно баннер. Нужно посмотреть ветки реестра, где обычно прописывается баннер.

В первую очередь это ветка^ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon.

 



 

Здесь нужно проверить три ключа: - ключ Shell отвечает за загрузку оболочки (рабочего стола) Windows и должен иметь строковое значение Explorer.exe, но будет лучше, если прописать полный путь к файлу C:\Windows\explorer.exe UIHost должен иметь строковое значение logonui.exe Userinit обеспечивает вход пользователя в систему, должен иметь строковое значение  C:\Windows\system32\userinit.exe,

 Теперь проверим ветку  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run.

 



Здесь прописываются программы автозагрузки. Проверьте все эти программы и отключите подозрительные. Подозрительными прежде всего являются те программы, которые находятся в папках C:\temp,C:\Documents and Settings\%username%\Local Settings\Temp,C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files, C:\Windows\Temp и т.п., где %username% - имя вашей учетной записи. Сделать это можно, например, изменив расширение на ex_

 Иногда баннер прописывается в ключе реестра^ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Значение этого ключа обычно пустое либо там прописывается антивирус.



Если там прописан какой-то файл, скорее всего это вирус. Нужно щелкнуть два раза мышью на ключ AppInit_DLLs и стереть прописанный путь, оставив поле значения пустым, после чего нажать ОК.
Теперь посмотрим ветку^ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Основная цель ключей в этой ветке - запуск программ под отладчиком (используется при написании и тестировании программ). Но в то же время, сюда может прописаться вирус, как отладчик для какого либо системного файла, например userinit.exe или explorer.exe. В результате вместо этой программы запускается вирус.

Так например делает баннер www.gei-porno.ru и баннер www.iznosilovanie-detei.ru



Ваш компьютер заблокирован. Вы посетили запрещенный интернет сайт www.gei-porno.ru

 

 



В левой колонке редактора реестра нужно посмотреть, нет ли там разделов explorer.exeiexplorer.exeuserinit.exe. Если такой раздел имеется, выделяем его и в правой части окна смотрим путь к вирусу. После чистки реестра через проводник удалим этот файл. Теперь правой кнопкой мыши нажимаем на раздел в левой части окна (userinit.exe) и нажимаемУдалить (Delete)

 

Еще нужно посмтореть и проверить ветки реестра 
HKEY_USERS\%username%\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon
 и
HKEY_USERS\%username%\Software\Microsoft\Windows\
CurrentVersion\Run


где %username% - имя учетной записи Windows.

Проверив все ветки реестра и исправив или удалив неправильные записи, редактор реестра нужно закрыть.

 
^

Удаление порно баннера, требующего пополнить счет - Шаг 3.


Проверяем автозагрузку заблокированной Windows. Запускаем инструмент Управление компьютером через меню ^ Start - Administrative Tools - Autoruns (Windows XP) или Управление компьютером (Windows 7)



 

Ветка System показывает элементы автозагрузки общие для всей ОС, то есть для всех учетных записей (куст реестра HKEY_Local_Machine)



Поиск баннера в автозагрузке

 

На рисунке видно, что системный файл userinit.exe заменен зараженным вирусом файлом. Это определяется по описанию файла (Description) и по компании-разработчику (Company). Также подмену файла userinit.exe можно распознать по дате.

Именно из-за того, что файл userinit.exe является зараженным, баннер блокировал Windows в безопасном режиме и появлялся до загрузки командной строки. Ведь он отвечает за вход пользователя в систему и загружается сразу после выбора учетной записи.

Необходимо удалить зараженный файлC:\Windows\System32\userinit.exe и заменить его оригинальным файлом. Последние версии баннеров также подменяют файлC:\windows\system32\taskmgr.exe из-за чего при запуске диспетчера задач снова появляется баннер. Этот файл лучше тоже заменить на оригинальный, т.е. удалить и восстановить с диска. Как это сделать можно прочитать здесь:Как восстановить поврежденные или удаленные системные файлы Windows. Дубли этих файлов лежат в папке C:\windows\system32\dllcache. С ними нужно проделать те же действия.

 

Также нужно проверить программы, загружаемые от имени конкретного пользователя. Их можно посмотреть в ветке с именем учетной записи пользователя (в приведенном примере имя учетки - 1).



На рисунке видно, что в ^ C:\Documents and Settings\1\Главное меню\Автозагрузка находится зараженный файл. Определить это можно по дате создания и модификации файла. В первую очередь должно насторожить то, что поля Описание (Description) и Разработчик (Company) пустые. Надежный разработчик всегда указан в поле Company. Этот файл нужно удалить через Проводник.

Многие модификации баннеров в последнее время вносят свои записи в файл hosts тем самым перенаправляя с популярных сайтов, например Одноклассники или ВКонтакте, на свой сервер, где ваш компьютер будет снова инфицирован. Поэтому нужно обязательно проверить файл hosts на наличие посторонних записей. Подробнее читайте здесь.

 

 
^

Как убрать баннер блокирующий рабочий стол - Шаг 4.


После исправления всех значений реестра нужно проверить системный диск антивирусным сканером в безопасном режиме. Лучшим вариантом будет бесплатная утилита DrWeb CureIt, которую можно скачать софициального сайта. Эту утилиту нужно скачать заранее на флешку на другом компьютере.

Запускаем CureIt с флешки и проверяем системный диск.

 

После проверки перезагружаем компьютер. Всё! Теперь вы знаете как убрать баннер компьютер заблокирован и вообще любой баннер, блокирующий рабочий стол Windows. Удачи!


Вот решил поделится действенным способом, который работает в 99% случаев.  Если уж с вами приключилась такая беда, как смс-блокер, то делается следующее. Компьютер запускается в "безопасном режиме с поддержкой командной строки". Для этого при запуске копма перед самым запуском винды надо нажать F8. Пиште regedit, нажимаете Enter. Откроется редактор реестра. Это очень важная "часть" винды - там находятся все настройки вашего компа, даже те, о которых вы не подозреваете. Поэтому делаем ТОЛЬКО, то что я говорю, в противном случаи можно полностью винду запороть. 

так. Перед нами редактор реестра. Открываем, нажимая на "+" слева от раздела. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В разделе Winlogon ищем параметр Shell, тыкаем по нему два раза, и пишем туда "explorer.exe" без ковычек.

Если в Shell уже прописан "explorer.exe", то тогда, тыкаем два раза поразделу Userinit и прописываем туда "C:\Windows\system32\userinit.exe,"

с запятой на конце и без ковычек. Перезагружаемся в обычном режиме. Всё.

З.Ы.

1. Если не запускается в безопасном режиме, то идем вот сюда и читаем.

2. Если не удалось запустить редактор реестра, то есть другой выход. Набираем в командной строке следующее точь в точь как написано: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /d explorer.exe нажимаем entrer. На вопрос о замене параметра нажимаем на клавиатуре "Y". Далее пишем reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d C:\Windows\system32\userinit.exe, (с запятой на конце) нажимаем entrer. На вопрос о замене параметра нажимаем на клавиатуре "Y".

Перезагрежаемся в обычном режиме.

Второй пункт можно выполнить и в обычном режиме, если у вас есть более менее адекватный доступ к командной строке.

У меня этот метод не сработал только один раз, когда я загрузившись в режиме командной строки увидел этот же смс-блокер. Тут поможет только подборка кода ответа. Идём в инет с компьютера друга. Залазием на сайт касперского или доктора веба, у них там есть сервисы для подборки кода. Или в гугле пишем "удалить баннер смс (цифры, которые он просит прислать) на номер (номер телефона)" ну или что-то подобное. Ищем ответы. Я очень много раз удалял эти баннеры и ещё ни раз не переставлял винду. 

Схожі:

Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconДоклад по расследованию преступлений в сфере компьютерной информации...
В данной статье рассматриваются основные угрозы и методы защиты, характерные для беспроводных сетей
Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconДоклад по расследованию преступлений в сфере компьютерной информации...
И только единицы, взглянув на эти листочки, находят в них что-то полезное для себя
Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconДоклад по расследованию преступлений в сфере компьютерной информации...
Розетка может быть инструментом для перехвата информации, которую пользователь вводит на клавиатуре своего компьютера. Возможность...
Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconДоклад по расследованию преступлений в сфере компьютерной информации Тема: «Технологии оsnt»
На современном этапе его развития информация является самым важным условием воздействия на мировые процессы, влияния на само общество...
Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconДоклад по расследованию преступлений в сфере компьютерной информации...
В этом случае внимательно осмотрите кэш-диспенсер (внешнюю часть), и если никаких препятствий на пути купюр из банкомата в ваш бумажник...
Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconДоклад по расследованию преступлений в сфере компьютерной информации...
В современном мире компьютер становится доступен каждому. Практически все пользователи компьютера имеют постоянный или временный...
Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconДоклад по расследованию преступлений в сфере компьютерной информации...
Ну в принципе она вам вообще не нужна, если конечно у вас нет желания взломать страничку в контакте вашего друга или собеседника...
Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconДоклад по расследованию преступлений в сфере компьютерной информации...
Интернета неуклонно растёт? Однако вместе с обычными юзерами возрастает и число мошенников, осуществляющих свою деятельность на просторах...
Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconТема Общие положения криминалистической техники
Вся эта техника не имеет прямого отношения к расследованию преступлений, т к её использует повсеместно всё человечество
Доклад по расследованию преступлений в сфере компьютерной информации Тема: «sms вирусы» iconОсобенности предупреждения преступлений в сфере экономической деятельности
Такое предупреждение по своей сути состоит в воздействии на негативные факторы, обуславливающие появление и воспроизводство преступлений,...
Додайте кнопку на своєму сайті:
Школьные материалы


База даних захищена авторським правом © 2013
звернутися до адміністрації
mir.zavantag.com
Головна сторінка