Что за вирусы такие?, Заражены почти все файлы .exe расширением Опции

[-shooter-]

Кто знает, опасны ли они? Однажды у меня такое было, тогда я все вылечил Каспером,а ща думаю, может они безвредны и удалять их не имеет смысла? (Все вирусы называются одинаково , что-то типа Win32....)

[SiMM]

Сестрёнка недавно подцепила заразу:

Этот вирус никаким файрволом и никакой проактивной защитой не определяется.
Приходит письмо следующего содержания:
Код
Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: Вася Пупкин. Открытка ждёт Вас по адресу: http://Scrensaverscard.narod.ru/46549gdfgd...vh5/SCardDR.scr Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.

Отправитель - ваш друг, адреса берутся из МАгента.
На деле файл не скринсейвер, а просто самораспаковывающийся зип-архив, который молча извлекается в папку Windows и запускает на выполнение по-очереди 4 скрипта VBScript. Скрипты слегка закодированы, весь код прописан в виде символьных констант вида "chr(79)" (первый скрипт начинается символами "a=chr(79)&chr(110)&chr(32)&chr(69)&chr(114)&chr(114)"), т.е. нечитаем напрямую. Скрипты рассылают копии вашим друзьям, прописывают файл one.exe в автозапуск (файл в папке Windows). Далее они рекурсивно на всех дисках заменяют файлы форматов mp3, avi, ogg, mpg, vob, wmv, wma, aac, aif, aiff, amr, wav и wave на первый прикрепленный к посту файл, файлы jpg, bmp, gif и png - на второй, и txt, xls, doc, htm и xl - на третий. При работе используется файл C:\DR.dr. Также вирус в реестре записывает параметры для блокировки диспетчера задач и редактора реестра. В любом случае, писали это откровенные сволочи и извращенцы, но, как оказалось, операционная система и средства защиты ничего подозрительного не заметили.

Любите открытки? А вот не стоит.
(Я вот тоже в ЖЖ писать не люблю, однако пришлось.)

Вот не стоит любить открытки, приходящие по электронной почте.
Даже если они от знакомых.
Из последних:
1) приходит открытка от кого-то знакомого
2) запускаете (там файлик с расширение SCR - то бишь скринсейвер)
3) ничего не происходит
И всё.
А на самом деле - ВСЕ картинки (джпг, гиф, пнг), вся музыка (мп3, вав, вма), все документы (док, кслс) заменяются на однотипное сообщение "Деструктивная реклама. Хотите поучаствовать во второй волне - пишите нам". И адрес.
Без резервной копии документы восстановлению не подлежат.
Картинки все становятся размером в 25 килобайт (500 на 400 точек), аудиофайлы - 278 килобайт (исполнитель - destruktivnaya, год 2007, альбом 1), доки и эксель-таблицы - 104 байта.

Увы, это не слух. Проверено моими клиентами.

UPD.: Файлик (по крайней мере один из вариантов) называется SCardDR.scr
Обращается к сайту (или загружается с сайта?) scrensaverscard точка narod точка ru
(пишу через точки, чтобы никто нечаянно не нажал)
Именно через одно "e" в первом слоге.

UPD.2: Зараза сидит в файле ScardDR.scr. Надо грохнуть его (тщательно поискать по всему винчестеру). Заодно грохнуть и файл one.exe (живёт скорее всего в папке Windows).
Выгрузить из памяти wsсriрt.exe.
Снести все файлы с расширением .dr и файл dr.vbs (валяются в корне диска C:).
Найти файлы 01.vbs, 02.vbs, 03.vbs - и их тоже удалить.

Ни у кого файлик этот не залежался? Ибо NOD32 его не определял (и хз, определяет ли теперь), а сохранить копию я не догадался - надо бы ESET'у его отправить.
PS: может кому пригодится - Kaspersky Lab Forum