Подмена сайта

Если вы оказались не на том сайте, который был указан в адресной строке (BetaMail или один из сайтов Яндекса), есть риск заражения компьютера вирусом.

Проявляться вирус, среди прочего, может и следующим образом – при авторизации или регистрации в почтовом сервисе предлагается подтверждение своих данных, для чего требуется отправить SMS на определенный номер.

Обращаем внимание пользователей, что почтовый сервис BetaMail никогда не требует от своих пользователей оплату за регистрацию и использование сервисов, также не предлагается подтверждение регистрации с использованием SMS.

Как это выглядит?

При попытке авторизации через главную страницу http://betamail.org или страницы http://mail.yandex.ru или http://passport.yandex.ru предлагается ввести логин, пароль и отправить SMS на короткий номер. При этом страница будет схожа с той, которая используется при входе на почту.

В основном такой вирус распространяется через популярные социальные сети.

Действие вируса может выглядеть так:

image

Или так:

image

Что с этим делать?

Быстрый способ

  1. Сохраните файл hrepair.bat в любом месте, например, на рабочем столе.
  2. Если Вы используете Windows Vista или Windows 7, щелкните на файле правой кнопкой мыши и выберете пункт «Запуск от имени администратора». Если Вы используете Windows 2000/XP, просто дважды кликните на файле.
  3. Проверьте, удалось ли избавиться от проблемы, открывается ли BetaMail и Яндекс по адресам betamail.org и mail.yandex.ru.

Самостоятельно поправить файл host

Проверьте свой компьютер антивирусной утилитой CureIt от «Dr.Web» или Virus Removal Tool Лаборатории Касперского.

Если антивирусная программа не обнаружила вредоносный код, вы можете удалить вирус вручную.

Перед этим внимательно ознакомьтесь с действиями, которые необходимо выполнить. Помните, что вы выполняете их на свой страх и риск.

Когда вы набираете адрес, например, http://betamail.org, ваш компьютер определяет, к какому серверу нужно обратиться. В первую очередь он «просматривает» файл hosts (обычно этот файл находится в папке C:\WINDOWS\system32\drivers\etc), и, если в нем есть адрес сервера (IP-адрес) для указанного вами имени, то используется именно он. Если же подходящей записи нет, то нужный адрес сервера запрашивается у вашего провайдера.

SMS-вирус изменяет содержимое в файле hosts, в который дописываются адреса своих серверов, чтобы они заменяли адреса популярных сайтов. В результате вам кажется, что вы работаете со страницей почтового сервиса, но на самом деле посетили сервер злоумышленников.

Для уничтожения последствий работы вируса, необходимо выполнить следующие действия:

  1. Перейдите в папку C:\WINDOWS\system32\drivers\etc (возможно, у вас система Windows установлена в папку, отличную от C:\WINDOWS — учитывайте это) и найдите там файл с названием hosts.ВАЖНО: Сохраните копию этого файла на всякий случай!
  2. Откройте файл с помощью блокнота (Notepad) и поищите в нем строки следующего вида:
     127.0.0.1 betamail.org 127.0.0.1 http://www.betamail.org 
     127.0.0.1 yandex.ru 127.0.0.1 http://www.yandex.ru 
     91.189.113.143 mail.ru 91.189.113.143 www.mail.ru 91.189.113.143 www.yandex.ru 91.189.113.143 yandex.ru 91.189.113.143 www.vkontakte.ru 91.189.113.143 vkontakte.ru 91.189.113.143 www.odnoklasniki.ru 91.189.113.143 odnoklasniki.ru 

    ВАЖНО: адреса, т.е. 4 числа через точку, могут быть другими, например, не 91.189.113.143, а 83.133.122 и т.п.)

  3. Удалите все строки, отличные от «127.0.0.1 localhost». ВАЖНО: строку «127.0.0.1 localhost» удалять не следует.
  4. После этого сохраните файл и перезапустите браузер — с этого момента у вас станет загружаться оригинальная страница http://www.betamail.org
  5. Установите на файл атрибут «только для чтения» — это поможет избежать его изменения простыми вирусами. Для этого надо нажать на имени файла правой кнопкой мыши, выбрать пункт меню «Свойства», установить флажок «Только чтение» и нажать Ok.
  6. Данный вирус вносит изменения в настройки компьютера, но не находится постоянно активным в памяти. Если вы знаете или предполагаете, в какой программе находится вирус (она может называться, например, vkontakte.exe или reiting.exe), то вы можете ее удалить или больше не запускать.
  7. ВАЖНО: Если вы отправляли SMS на указанный мошенниками короткий номер, то обратитесь с запросом на возврат денег к своему сотовому оператору или в компанию, обслуживающую данный короткий номер.
Запись опубликована в рубрике Безопасность. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *