Sergei S. Rublëv (ssr) wrote,
Sergei S. Rublëv
ssr

Итак, говно вроде выявлено. Оно живёт по адресу \WINNT\csrss.exe - есть одноимённый виндовый системный сервис, но в данном случае это не он. Странно ведёт себя в стартапе - где-то он присутствует в Run в HKLM (подписан "MStask"), где-то нет. По ходу, каким-то образом пиздит асечный пароль, логинится в ICQ и пароль меняет, после чего начинает рассылать кому попало свою хуйню про вебмани.

Если в данных ICQ прописан мёртвый email (именно так обстоят дела у двух наших человек, заведших аську в 1999 году) - UIN'у пиздец. Если email живой - заказывать новый пароль (https://www.icq.com/password/), получать его и заново логиниться, тогда номер спасён. В случае с пиздцом UIN'у есть ещё маза вести мутные переговоры с саппортом ICQ с неизвестным результатом.

Пару часов назад заразу стал узнавать Касперский, если его обновить. Релиза по этому поводу пока нет. Опознаёт как trojan-psw.win32.ldpinch.sf - как в том csrss.exe, так и в пресловутом файле chipes.exe.

Мораль: проследите, чтобы в данных ICQ у вас был прописан живой email!
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 6 comments