|
|
|
|
|
|
|
|
|
| Твиты пользователя @oldnetler |
|
|
| English version | Распечатать |
***
…Намедни попросили меня разобраться с очередным загадочным сбоем.
Пользователи ПК (с установленной Windows 7 SP1) жаловались на то, что сразу после запуска веб-браузера Internet Explorer (невзирая на стартовую страницу!) постоянно загружаются какие-то подозрительные сайты с рекламой сомнительного характера.
В системе был установлен – регулярно обновляемый! – антивирус Microsoft Security Essentials.
Проверка ПК утилитой Dr.Web CureIt (со свежими базами!) не выявила зловредов.
В корневой директории диска C:\ были обнаружены два файла: пакетный файл iexplore.bat (99 байт) и исполняемый файл iехplоrе.bаt.exe (812 224 байт). Оба файла имели атрибут Скрытый.
Пакетный файл iexplore.bat содержал одну строку:
start "" /I /B /D"C:\PROGRA~2\INTERN~1\" "C:\PROGRA~2\INTERN~1\iexplore.exe" "http://ifsearch.ru"
Что же происходило?
При запуске веб-браузера Internet Explorer в фоновом режиме командным интерпретатором обрабатывалась вышеуказанная команда пакетного файла iexplore.bat.
Далее в браузере автоматически загружался сайт ifsearch.ru, с которого осуществлялся редирект на так называемую "Биржу трафика № 1" – сайт wantraflab.ru, с которого осуществлялся очередной редирект на сайт с рекламой (например, moviehits.info, megogo.net, goinf.ru).
Для лечения ПК был отключен от Глобальной сети (на время лечения).
Веб-браузер Internet Explorer был закрыт.
В корневой директории диска C:\ были удалены файлы iexplore.bat и iехplоrе.bаt.exe.
Далее для предотвращения повторного самозаражения системы был очищен кэш интернет-файлов.
Веб-браузер Internet Explorer возобновил свою работу в штатном режиме.
***
Дело об очередном загадочном сбое закрыто…
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…