Блог о безопасности

Яндекс пишет: "запросы, поступившие с вашего адреса, похожи на автоматические", и просит телефон? Не верьте!

30 июля 2013, 15:37

В последнее время в нашу службу поддержки часто стали обращаться пользователи с жалобами на блокировку доступа к странице Яндекса, которая сопровождается просьбами ввести свой номер телефона для получения кода доступа. 

нам очень жаль, но запросы, поступившие с вашего адреса, похожи на автоматические
Посмотреть на Яндекс.Фотках

Данное сообщение не имеет никакого отношения к Яндексу. Похожая проблема уже ранее описывалась в блоге компании, однако в данном случае сообщение появляется вследствие заражения компьютера вредоносной программой, которая фигурирует у различных антивирусных компаний под именем Trojan/Win32 ShipUp. В Интернете она распространяется на различных фишинговых* сайтах под видом полезных приложений или документов.


Посмотреть на Яндекс.Фотках


Для удаления троянской программы с компьютера можно воспользоваться антивирусной утилитой «AVZ», выполнив несколько действий:


1. Скачать AVZ и распаковать ее из архива.

2. Запустить исследование системы с помощью меню «Файл» - «Исследование системы» с настройками по умолчанию.

3. В полученном протоколе исследования в разделе «Автозапуск» найти имя файла библиотеки, зарегистрированной в разделе системного реестра: HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs. Как правило, эта библиотека располагается в директории c именем Mozilla.

 



4. В разделе «Задания планировщика задач» найти программу, которая будет располагаться в той же директории, что и библиотека.

5. Выполнить в AVZ скрипт с помощью меню «Файл» - «Выполнить скрипт» следующего формата:

begin
DeleteFile('%путь к найденной библиотеке %');
DeleteFile('%путь к найденному исполняемому файлу%');
ExecuteSysClean;
RebootWindows(true);
end.

Пример:

begin
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\ypjgyqe.dll');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\nsllosn.exe');
ExecuteSysClean;
RebootWindows(true);
end. 

После этого проблем с доступом к Яндексу быть не должно.

* Фишинг - это вид мошенничества в интернете, нацеленный на получение конфиденциальных данных пользователя, таких как логин, пароль, номер счёта или номер банковской карточки.

Фишинговые сайты маскируются под официальные сайты сервисов и выманивают у посетителей эту информацию под видом обычной процедуры авторизации.
Наиболее распространён фишинг на почтовые системы, социальные сети, интернет-банкинг и электронные платёжные системы, но встречается также фишинг и на другие сайты.

15 комментариев
Подписаться на комментарии к посту

лучше свой телефон вообще не вводить ни прикаких условиях. с короткими номерами смс много видов мощенничества.

 

Александр ...
9 августа 2013, 04:19

Да такая проблема с поисковиками уже давненько с пол года и не только с яндексом но и вторым по популярности поисковиком. К сожалению многие популярные антивирусы досих пор не находят этот вирус. Но если есть вирус значит есть и решение. Я описывал его тут ,с сожалению AVZ тоже не всегда находит. А вот такой способ 100% удаление вируса в поисковиках просящий номер телефона.

Немного "подправил" скрипт.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('%путь к найденной библиотеке %');
DeleteFile('%путь к найденному исполняемому файлу%');
DeleteFile('%путь к файлу job%'); 
// Импорт в задание BootCleaner списка файлов, удаленных скриптом
BC_ImportDeletedList;
// Активация BootCleaner
BC_Activate;
// Эвристическая чистка системы
ExecuteSysClean;
// Перезагрузка
RebootWindows(true);
end.

 



Нельзя забывать о взломанных роутерах, или подмене DNS. Ну и компаньены которые любят красть пароли...








Если бы ещё и подсказали как роутер проверить на взлом, моя признательность не имела бы границ!

Самый надежный вариант - скачать заводскую прошивку с сайта производителя и перепрошить роутер.

Если надо именно проверить, то сначала надо определить, что именно подозрительного происходит на компьютере.
Выйти в интернет напрямую, без этого роутера, на каком-либо втором компьютере, который раньше не подключался к этому роутеру. Естественно, интернет должен быть от того же самого провайдера, т.е. это можно сделать и где-либо в другом месте или попросить это сделать кого-либо (знакомых из вашего же города).
Если эти подозрительные моменты не пропали, роутер в них не виноват:) и скорее всего он не заражен, надо проверять компьютеры. Но теоретически роутер тоже может быть источником заражения.

А вообще надо сначала понимать, на что именно может влиять заражение роутера. Обычно это подмена содержимого сайтов (вместо правильного сайта загружается чужой, не исключено что полностью скопированный с настоящего и выглядящий точно так же, но работающий необычно и ip у них при этом отличаются).
Еще бывает подмена выдачи поисковиков.
Это из того, про что я знаю (читал отзывы тех, кто с этим сталкивался).
Бред)
Да
Все не правильно, только начало
Дальше ошибаи
Ошибки)
Почему?
Сделайте это без меня
Ок
Я дома)
До утра )