В интернете гуляет множество различных вирусов - троянов, которые либо блокируют окно Windows при старте, либо окно браузера, и выводят свое окошко с текстом, например "Отправьте смс с кодом хххххх на короткий номер ххх...".
Да, количество подобных коротких номеров удивляет. И притом это не за какую-либо услугу или сервис, а просто все из-за вируса, который попал на ваш компьютер. Но мы не будем говорить обо всех этих номерах. А поговорим о более конкретном случае. А именно о коротком номере 9691.
Этот номер 9691 принадлежит ЗАО "НеваЛайн" (www.nl.ru). Он является контент провайдером и раздает эти короткие номера различным фирмам, компаниям и частным лицам.

Цитата
Номер принадлежит контент-провайдеру. Это т.н. "большой" контент провайдер, который может выдавать эти номера для использования свои "малым" субпровайдерам. По одному и тому же номеру можно заказать различные услуги у различных субпровайдеров - разница только в коде, который необходимо отправить на короткий номер.


Т.е. сразу несколько фирм или людей могут использовать один и тот же короткий номер, разница заключается только в том какой код отсылать на этот короткий номер.


Отправьте на номер 9691 следующий код для активации...




9691 - самый распространенный короткий номер уличенный в мошеннических делах. И напрямую связан с вирусами, распространяемые в сети. Так откуда эти вирусы попадают в наши компьютеры? А все очень просто. Здесь включается "массовость". Какие самые распространенные ресурсы в интернете у нас в России?
Правильно, одноклассники, вконтакте и порно :-) .
Достаточно настроить распространение вирусов в менее 10 самых популярных ресурсов в рунете и отдача от них будет заоблачная. Как это делается?
Например ресурс vkontakte.ru . В последнее время, наверняка, замечали огромное количества спама в нем. Взламывают аккаунты друзей и с них рассылают спам. Либо просто пишут рекламу на стене, мол зайди, посмотри какая фотка интересная и далее ссылка, вида: vkantakte.ru/id1245 .
Вы сразу заметили, что адрес сайта другой? Теперь это не vkontakte.ru, а vkantakte.ru - внимательнее всмотритесь в адрес сайта и заметите, что сайт отличается одной буквой "а". Таких подобных случаев море. Так же много слегка измененных в названии сайтов.
Вот самые распространенные случаи :

Цитата
vkontqkle.ru/photo24399596_1171765 помниш этого паренька? ))[:]

cмoтри здecь фoткy твoю вылoжил ктoтo!
vkontavkte.ru/photo18479208_12298 6165/

арова! Слyшай, у тeбя нe пoявлялoсь oбьявлeние что на Вкoнтaктe день рождения? У мeня есть, там написано, чтo c 1 сентября каждому пользователю ресурса, в зависимости от его срока регистрации и проведенных часов на сайте, полагается денежный приз на счет мобильного телефона! У меня это вызвало сомнение, похоже на лохотрон, но в итоге это оказалось правдой! Нужно просто все сделать по инструкции. Мне уже дали бонус, 335 рyблeй на мобильник))) . Вот само объявление об этoй акции vkontakte.ru/note364306… ! Читай! Пробуй! Потом не забудь сказать какой бонус тeбe дали!

Ого, ты набираешь популярность вконтакте )) тут уже и твои фейки делают
смотри vkontakte.gs/id5478…

Пpивeт. Moжeт быть ты мнe cкaжeшь кaк этo пoпaлo cюдa???
vkontakdte.ru/photo18479208_122986160/
oткудa вooбщe этa фoтo?


И многие другие. Не советую заходить по перечисленным выше адресам!
Главное для мошенничества это заманить Вас на сайт, где выполнится неизвестно какой код и не известно какие результаты от этого будут. Вот например поймать вирус какой-нить. Тоже самое касается и сайта "одноклассники".
Теперь о сайтах порнографического содержания. Скорее всего именно такие ресурсы являются самыми популярными из всех остальных. Мы не будем говорить о законах и нравственности в стране. А поговорим про саму систему. Вот, например, живет один человек в неком городе. И как-то, стоя на лоджии у себя дома, потягивая чашечку кофе, к нему пришла идея построить некоторую систему по выуживания денег из людей. У него был некоторый сайт, который он создал много лет назад и сейчас на его сайт каждый день заходят много-много людей. И решил он на своем сайте немного изменить код, и сделал он так, что когда кто-то посещает его сайт, то автоматически открывается еще один его сайт. Да, скорее всего Вы видели, что при поиске кряков, патчей, бесплатной музыки, фильмов или программ в браузере откуда-то появляются непонятные страницы сайтов с разным содержимом, включая и порнографического содержания. хотя на них не нажимали, а они сами открылись. Не бойтесь, вероятность попадания вируса в компьютер не 100%, хотя и высок. Но все же часто на фоне этих сайтов выскакивают окна об оплате через смс за что-то, что нам вовсе и не нужно. Да и сайт никак не получается закрыть - окошко не дает, ибо оно поверх сайта. Лечится это просто: блокировка всплывающих окон и\или блокировка самого сайта по адресу. Более подробно можно узнать в мануале по настройке браузера, которым Вы пользуетесь. Вернемся к теме... На этом втором сайте находится вирус, который и попадает к вам в компьютер. Вам достаточно просто открыть страницу сайта и ничего не делать, вирус сам все сделает за вас. И теперь у вас при загрузке Windows появляется окно во весь монитор с предложением отправить смс с кодом xxxxxxxxx на номер 9691 и только тогда окошко это исчезнет. Ну да, многие отправляли смс на этот номер, потом еще раз, потом еще и так далее, а окно-то и не исчезает. Хотя разные сайты дают разные вирусы с разными эффектами, но раз на раз не приходится.
И так, копнем поглубже. Нырнем в поток информации по короткому номеру 9691 и этих всплывающих окон.
На сайте Drweb : http://news.drweb...?i=304&c=5 внизу страницы можно увидеть различные варианты окон, предлагающих (требующих) оплатить путем отправки смс на короткий номер. По той же ссылке можно узнать как избавиться от этого недуга.


uac-control.com




Меня попросили более детально узнать о конкретном случае. Почти 100% могу сказать, что это дело рук одного человека или группы лиц связанных между собой. В общем с какого-то сайта на компьютер скачивается автоматом (или вручную с подлогом якобы драйвера) вирус. Этот вирус носит название Trojan.Winlock или Trojan-Dropper.Win32. Trojan.Winlock имеет несколько десятков различных версий. В данный момент их количество перевалило за 150. По поводу вируса Trojan-Dropper.Win32 какой-либо исчерпывающей информации найти мне не удалось.
Но эти вирусы крутятся вокруг одного и того человека или группы лиц.
Как это работает. Человек заходит на некий ресурс, на котором есть некий код и он пользователю автоматом запускает другой сайт. Сайтов таких несколько, но мне удалось найти только 2 :

Цитата
91.212.127.233/freeporn/?uid=6
91.212.127.230/freeporn/?uid=6


Эти сайты имеют явное порнографическое содержимое. И, что не странно, не имеют доменного имени, только по IP. При попытке просмотра видео, сайт говорит, что нету необходимых драйверов в системе и просит установить их для просмотра видео. Это не драйвер, это вирус. Притом файл вируса имеет название flvDecode.exe (замаскировали под драйвер) , а сам вирус называется Trojan-Dropper.Win32 . Полностью описать действие вируса не могу, но по некоторой информации, он себя ведет как Trojan.downloader, который попав на компьютер никак себя не ведет, но загружает из интернета другие вирусы. В частности вирус Trojan.Winlock , который выводит окна об оплате через смс.

Посмотрим на эти сайты.

Цитата
91.212.127.233/freeporn/?uid=6
91.212.127.230/freeporn/?uid=6


Они очень похожи. Притом код написан у них грамотно и скорее всего вручную самостоятельно. По коду сайтов можно увидеть, что никаких там видеороликов и нету. Весь сайт состоит из картинок и текста и все. А если всмотреться в самый них сайта, то можно увидеть код :


PHP
""
?>




Доменного имени для IP 213.163.89.58 не существует. О содержимом на хосте по этому адресу остается только догадываться.
IP адреса 91.212.127.233 и 91.212.127.230 на которых порно-сайты находятся и сам 213.163.89.58, принадлежат некой компании Telos-Solutions-NET (telosnet.nl) Нидерланды, Амстердам. Как я понял Telos-Solutions-NET предлагает услуги хостинга (платные), которыми и воспользовался наш мошенник.

Вернемся к вирусу.
Вот Вы получили вирус и у вас теперь на весь экран выскакивает табличка с просьбой оплатить через смс что-то.
Вот два варианта этих табличек:
































Забегу немного вперед. Посмотрите внимательно на первую картинку. А именно на значок замка с ключом. А теперь посмотрите сайт uac-controller.com или uac-control.com (не бойтесь, вируса на сайтах нет).
Код отправки на короткий номер бывает различный, но они все похожие.
Немного облазив инет, все таки нашел некоторые коды:

600000
6000000
6010049
6019583
6013444
6008488
600500000
600227570
600318613
600315141
600302627
600300000
600500152
610563874
600518504

Это далеко не все коды, их на самом деле гораздо больше.

Кстати, иногда в этих окнах с требованием об оплате фигурирует сайт uac-controller.com или uac-control.com
Посмотрим информацию об этих доменах.
Сайт uac-controller.com был создан 26 сентября 2009г.
Регистрационные данные:

Цитата
Domain Name: UAC-CONTROLLER.COM

Registrant:
ekar e tesere
ekar e tesere ()
Butlerova st. 3-303
Moscow
Moscow,125040
RU
Tel. +7.9651087074


ekar e tesere - это имя и фамилия владельца. Честно скажу, я долго думал над этими непонятными словами, пытаясь построить из них имя. Домену присвоен IP 91.212.127.231

Некоторая информация по uac-control.com :

Цитата
Domain Name: UAC-CONTROL.COM

Registrant:
Konstantin A Vrachin
Konstantin A Vrachin ()
Dmitrovskoe shosse 244-32
Moskva
Moskva,125040
RU
Tel. +7.4952393283


Зарегистрирован на некого Константина Врачина. Сам домен создан 23 октября 2009г. Все эти данные могут быть (а скорее всего именно так) неверными!. IP домена 193.169.12.101.
И в первом, и во втором случае DNS сервером является "Наунет СП" (naunet.ru).

Что же сами из себя представляют эти сайты uac-controller.com и uac-control.com?
Да, в принципе, ничего. Обычные простые сайты с двумя страницами. Притом они абсолютно одинаковые. В коде страниц ничего такого интересного не нашел. По стилю, скорее всего сайты писаны вручную. Простой дизайн и все. Никаких лишних кодов я не увидел. Я до сих пор не понимаю назначения этих сайтов.
Вернемся теперь к IP адресам, соберем все IP в одну кучу.

193.169.12.101 - об универсальной системе контроля uac-control.com
91.212.127.230 - порно сайт 91.212.127.230/freeporn/?uid=6
91.212.127.231 - об универсальной системе контроля uac-controller.com
91.212.127.233 - порно сайт 91.212.127.233/freeporn/?uid=6
213.163.89.58 - адрес указанный на порно-сайтах (не знаю, для чего он, но скорее всего, что-то связанное с трафиком).

Все эти IP адреса внесены в черный список blacklist.spambag.org как вредоносные ресурсы.

193.169.12.101 - хостинг некой Financial company "Titan" LTD (titanfinance.bz):

Цитата
Belize City, Belize
4638 Coney Drive
P. O. Box 2670
Phone Number: 501-822-1211

E-mail for additional information


91.212.127.230, 91.212.127.231, 91.212.127.233, 213.163.89.58 - как уже писалось выше, это хост Telos-Solutions-NET:

Цитата
Amsterdam, Netherlands
Vossiusstraat 47, P.O. Box 93085
Phone: +31 (0)203162193

Email:



Что теперь делать?




Многие, увидев такое окно размером почти в весь монитор, хотят как можно скорее избавиться от него и отправляют тот самый код на короткий номер 9691. В этих окнах не написана стоимость смс. Но можно воспользоваться бесплатным ресурсом, для определения этой стоимости. Например http://m.megafonm..._zhao.html дает информацию как раз по нашему номеру 9691. Но вот, чего я не понимаю, на сайте цена указана 150р. без НДС, хотя на самом деле за одну смс сдирали 177-300р. И что самое интересное, бывали случаи, когда снимали по несколько раз (2-5 раз), естественно это выходило уже в круглую сумму. Притом такие случаи, когда смс на короткий номер отправлялась несколько раз подряд, очень частые. Объясните мне, как это так, чтобы смс сама отправлялась?
Немного о правилах. Оператор связи предоставляет короткие номера различным контект-провайдерам, а те в свою очередь разным лицам, как юридическим, так и физическим (скорее всего). Так вот, оператор связи отвечает только за действия контект-провайдера, а за действия конечных лиц, отвечает контект-провайдер. Притом есть некий условный договор, где указано, что лица, которые разместили свой короткий номер, обязаны в том же ресурсе (сайт, телевизор, радио, журнал, газета и прочее) указать стоимость отправки смс. Но это мало кто проверяет. Ну а с другой стороны, зачем в данном случае, указывать стоимость для блокировки вируса ? :-) Вот пришли мы к тому, что за наше мошенничество должен отвечать контект-провайдер. В данному случае это ЗАО "Нева Лайн" :

Цитата
Тел:
(812) 647-47-31
E-mail:

Сайт:
nl.ru


Ну ладно, предположим, отправили смс на этот короткий номер и получили код (что не всегда происходит), вставляем этот код и любуемся ответом, что код не верный. Да, если все равно делать все по инструкции и пожертвовать деньгами с сотового, то все равно есть большая вероятность, что ничего не изменится и это блокирующее окно никуда не исчезнет.
Советую, не отправлять никаких смс. А посмотреть вот эту страничку: news.drweb.com/show/?i=304&c=5



Заключение



Как всегда, под конец написания статьи, решил я еще немного облазить интернет в поисках еще какой-нить информации.
Вот как мне удалось выяснить, такой вид мошенничества впервые появился где-то в апреле 2009 года. И только в последнее время он стал столь популярным. У меня, даже, двое друзей, которые живут от меня в ста метрах и то попались на этот вирус и оба отправляли смс. А что же происходит на фоне всей страны? Да и не только страны, а всего русскоязычного населения планеты? Это же сколько денег приходит в лапы мошенникам в месяц, если одна смс стоит 170-300 рублей?
Если перестать платить им не за что, то их кормушка исчезнет. И хоть немного поменьше подобного мошенничества будет у нас в интернете.

Нашел еще несколько интересных методов борьбы с этим вирусом.
Говорят, что помогает, когда время на компьютере переводишь на 1-2 часа вперед или назад, но порой получается лишь, когда дату вперед переводишь на два дня. Предлагают еще в системных папках Windows найти и удалить все файлы, содержащие слово "don", например "donA8".

Если есть, что добавить, рассказать, показать, обсудить, то не стесняйтесь - пишите.

Вот присланный комментарий от sah:

Цитата
на всплывающем окне мне было предложено установить Adobe flash player, на что я согласился.Спустя некоторое время появилось окно почти во весь экран :"По условию соглашения вы должны оплатить .. отправить SMS на короткий номер ..и т.д.Сайт поддержки UAC-CONTROL.COM"
Как бороться:
-это не вирус,касперский,dr.Web и AVZ не помогут
-удалить всё что получится из папки C:\Documents and Settings\имя\Local Settings\Temp,файл который не удаляется
удалить-это вредная программа
-т.к. вредоносная программа блокирует запуск Диспетчера задач тремя клавишами,нужно через regedit в реестре поиском найти ключ DisableTaskMgr исправить 1 на 0.
-запустить 3 клавишами Диспетчер Задач ,в процессах найти строку с именем файла,который не удалился,нажать на нем правую кнопку мыши и выбрать Завершить дерево процессов.Окно с наглым требованием денег исчезнет.
-мне пришлось еще запускать служебную программу восстановления системы,т.к. что-то испортился интернет.
Если за вредным окном не видите папок и окон-измените разрешение экрана,у вас получится.
Не отпрравляйте SMS на короткие номера,не платите денег жуликам!