Похоже я нашёл источник бед с компьютером у Новозеладца.
Когда я проверял его компьютер я видел всплывающее окно с надписью о том что комп заражён и т.п.
Исследуя hosts файл с его машины я нашёл строчку(она последняя в списке):
Код:
74.125.45.100 www.getavplusnow.com
IP адрес пренадлежит компании Goolge
Но интерестно то что при нормальном hosts файле сайт
www.getavplusnow.com находится на украине и браузером фирефокс определяется как разносчик инфекции.
Хотя в отчётах google указано что за последние 90 дней атак и жалоб небыло.
Я пару дней назад поставил каспера и с сегодня максимальными настройками полезтаки на этот сайт.
На сайте я увидел картинку в точности совпадающую с картинкой у программы просящей деньги на компьютере пациента.
На сайте так же есть ссылка проверить свой компьютер он лайн.
Подозреваю что идея была следующей.
Пользователь заходит на сайт, нажимает линк "проверить свой компьютер он лайн" и таким нехитрым способом загружает программу которая в последующем загружает сам вирус.
Вирус изменяет hosts файл что бы пользователь уже не мог попасть на этот ресурс, и перебрасывает его на google
А когда пользователь сам пытается набрать google пропускает его через прокси.
Пока других мыслей нет. Возможно я в чём то ошибаюсь. Но картина мне видится именно в таком ракурсе.
Всем спасибо за терпение при чтении моих "измышлизмов" )))
Древовидный вид