Да-да-да, знаю, «ваша страница заблокирована, поскольку с вашего компьютера происходила рассылка спам-сообщений, мы ограничили вам доступ». Верно? Всем, чье серое вещество не в состоянии осилить «многобукаф» и не терпится поскорей разрешить проблему, рекомендуется пролистнуть сей текст в самый низ странички и произвести два нехитрых действия, о коих там говорено. А ежели есть товарищи, восхотевшие уяснить, почему и что такое стряслось с их страничкой на вконтакте, дабы повторно в будущем не попасть впросак, милости просим ознакомиться со всем нижеследующим документом. Итак, вникайте. Мои поздравления, господа, в следующий раз, когда обнаружите какую-нибудь хитрую программу «для рисования аватаров», «поднятия рейтинга», «просмотра гостей» или всяких прочих ништяков, потрудитесь испросить у гугла — а правда ли, что воспользовавшись оными, вы получите то, что вам впаривают с благими намерениями. На деле же, все эти намерения прозрачны, как блузка телеведущей — в системе перепишут файлик hosts, дабы в браузере вам был нарисован вместо вконтакта фишинговый сайтик, в тютельку похожий на настоящий. А при вводе логина с паролями скажут, дескать, аккаунт ваш мы поблочили, чтоб неповадно было спамерствовать, ибо нефик... Потом любезно предоставят еще какую нибудь программулину, сотворенную этими же самыми добрыми ребятами, которая, будучи скачанной и запущенной, донесет до вашего сведения, что да, не кручиньтесь, беда ваша нам известна, и мы вам, конечно же, поможем, только зашлите СМС с таким-то текстом на такой-то номер, и обретете счастье. А нефик-то, всего лишь навсего, хрень всяческую скачивать и собственноручно же запускать у себя на компутере, порой даже невзирая на истошные визжания касперского или еще какой тулзы, живущей у вас с целью ограждать от троянов с вирусами и прочей нечисти. И даже опрометчиво высланная смс не помогает — попасть на вконтакт как не получалось, так и не получается, не огреблось счастье-то... Но да ладно, раз уж вы здесь и внимаете этому тексту, надо полагать, что все уже стряслось, а посему надо как-то все это решать, а не нотации вам тут зачитывать. Все это дело сподвигло местного автора исследовать частный случай всей схемы, с упомянутой «программой» myguests, дабы в приступе гуманности поведать о том всем страждущим и потерпевшим. А схема-то любопытнейшая. Итак, внемлите.
- Получена информация с сылкой на скачивание творения под названием myguests с сайта my-guests.ru, vk-vgosti.ru или какого нибудь другого популярного в интернетах рассадника заразы
- Программа к великой радости заполучена и запущена. Никаких окошек, показанных на «официальных сайтах» и обнаруживающих присутствие программы в windows пред взором не возникло
- Стало понятно, что все это разводка. Ну да ладно, постигло разочарование, бывает
- Когда сей неприятный момент уже забыт, возможно, за это время компьютер был перезагружен, радостно пытаемся поиметь в браузере сию социальную сеть, сиречь vkontakte.ru.
- С изумлением взираем на нарисованную нам страницу авторизации(хотя скорее всего, пароль у нас обычно запомнен) Заподозрили что-то неладное...
- Ну да ладно, не страшно, вводим туда пароль и... созерцаем в браузере страничку с сообщением вида «Ваша страница заблокирована!»
- Вспотев, внимаем тексту тут же нарисованному, и обнаруживаем ссылочку на некий файлик antispam.exe. Возрадовавшись, немедля качаем спасительную «программу разработанную командой вконтакте»
- Запускаем. Пред очи имеем красивое оконце, в коем нас заверяют о том, что надобно бы СМС отправить с таким-то текстом на такой-то номер, как тотчас же архивчик будет распакован.(Это еще не сам разблокиратор, а только архивчик, и смс нужна для его распаковки) Причем ссылочка в окошке поименованная как «техподдержка» ведет на некий сайт filecash.ru. О нем же упоминается и в другой ссылочке с гордым названием «лицензионное соглашение»
- Что происходит дальше, жгучего желания проверять не возникло, но смутно подозреваю, что и после отправки смс ничего хорошего из этого не выйдет. Кроме снятия энного количества уев с вашего счета на мобильнике в пользу обогащения какого-нибудь школьника, сию хитрую схему сотворившего.
- Тут-то наши светлые головы посещает гениальнейшая мысль испросить рекомендаций как же поступить в сложившейся нелегкой ситуевине у многомудрого Гугла или Яндекса. Вбиваем соответствующий адрес, благо запомненный наизусть... и ничего не получается. Гугл, Яндекс и десяток еще каких любимых сайтов не открываются. Незадача...
Теперь поразмыслим что же стряслось на самом-то деле - myguests скачана и со всем присущим удовлетворением запущена.
- Программка, незримо для пользователя, учредила в файлике «C:\WINDOWS\system32\drivers\etc\hosts» списочек адресов, внушительного размера. Суть этого файлика в том, что все обращения к сайтам которые там определены, будут происходить на те ip-адреса которые им в этом файлике сопоставлены. Обратив на него внимание, узреем, что куча адресов, кои могут поспособствовать юзеру в поисках решения возникшей проблемы, предусмотрительно перенаправляются на адрес 127.0.0.1. То есть компьютер думает что сайт, который юзер восхотел посетить, не в интернете, а ищет его в самом себе.
- Таким же макаром, всевозможные вариации вызова vkontakte, перенаправляются на совершенно другой ip-адрес. Где пользователю-то и подсовывается фишинговый сайт. К примеру, в исследовании для этой статьи, таким адресом был 195.242.161.235. И ежели он еще действует и вы прямо сейчас попытаетесь ввести этот адрес в строку браузера, неминуемо попадете на фишинговый сайт.
- Отличается он тем, что на нем нет формы регистрации, к примеру. Различия главной страницы можно уяснить обратив внимание на скрины. Вконтакте настоящий - с формой регистрации, без оной - мошеннический. Различия могут быть и другими.
При попытке жмакнуть по ссылке регистрации, наблюдаем такую картину маслом: - При вводе логина/пароля — ваши данные похищаются, и с аккаунта будет рассылаться спам.
Что делать, как излечить систему. - Безжалостно удаляем с машины всяческие «myguests.exe», «antispam.exe» или что-либо похожее. И ни под каким предлогом больше на такие вещи не ведемся как школота.
- находим файлик «C:\WINDOWS\system32\drivers\etc\hosts», открываем блокнотом и сносим оттуда все к чертям, оставив только одну-разъединственную строчку «127.0.0.1 localhost», и все что начертано до нее. Перезапускаем браузер. Возможно потребуется почистить кэш, удалить куки, пароли.
- Обретаем счастье. И первым делом, со всей решительностью меняем пароль на вконтакте
|