Sergei S. Rublëv (ssr) wrote,
Sergei S. Rublëv
ssr

Итак, говно вроде выявлено. Оно живёт по адресу \WINNT\csrss.exe - есть одноимённый виндовый системный сервис, но в данном случае это не он. Странно ведёт себя в стартапе - где-то он присутствует в Run в HKLM (подписан "MStask"), где-то нет. По ходу, каким-то образом пиздит асечный пароль, логинится в ICQ и пароль меняет, после чего начинает рассылать кому попало свою хуйню про вебмани.

Если в данных ICQ прописан мёртвый email (именно так обстоят дела у двух наших человек, заведших аську в 1999 году) - UIN'у пиздец. Если email живой - заказывать новый пароль (https://www.icq.com/password/), получать его и заново логиниться, тогда номер спасён. В случае с пиздцом UIN'у есть ещё маза вести мутные переговоры с саппортом ICQ с неизвестным результатом.

Пару часов назад заразу стал узнавать Касперский, если его обновить. Релиза по этому поводу пока нет. Опознаёт как trojan-psw.win32.ldpinch.sf - как в том csrss.exe, так и в пресловутом файле chipes.exe.

Мораль: проследите, чтобы в данных ICQ у вас был прописан живой email!
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

  • 6 comments