Предыстория.
Стоит на виртуалке Вин ХП ПРО СП3. Стоит песочница, лицензионная. Крутится несколько программ с автосерфингом. Ну для прикола, лишних пару тройка зеленых президентов на кошельке лишними не будут комп все равно включен круглые сутки, так почему бы малость и не подзаработать при этом. Один автосерфинг крутится в опере.
История.
Сегодня заметил при запуске серфинга в опере, что при клике на странице открылось новое окно. Ну, очередная партнерка подключена... Я ее в свой блэк-лист в файлик hosts добавил и со спокойной душой свернул виртуалку в трей. Вздумалось мне на виртуалке еще один сайтик проверить. Разворачиваю виртуалку из трея, в опере добавляю новую вкладку, ввожу адрес сайта вручную. Сайт открылся. Но при клике по любому месту на сайте опять открылась новая вкладка от партнерки. Прикол в том, что адрес у партнерки не постоянный, а впереди, типа сабдомена, числовое значение меняется. Ну добавил и этот адрес в свой блэк-лист. Что интересно, партнерка открыла мне сайт. Я решил посмотреть исходный код сайта, дабы найти все таки корни данной вредной партнерки... И опять получил новую вкладку с партнеркой... Задумался... Проверил несколько сайтов... На всех выскакивает новая вкладка от партнерки. Значит виноват не конкретный сайт, а непосредственно опера. В виджетах ничего нет, по всем закромам порылся - ничего... Закрыл оперу... Полез по диску шариться. В папке оперы прибил подозрительную папку, копию я не ставил. Жаль конечно, но не подумал для истории сохранить. Но подсознательно чувствую - не все еще убито. Точно! Documents and Settings\User\Application Data\Informer\ - вот оно чудо враждебной техники... Лежит ДЛЛ-ка и ява-скрипт. Посмотрел бегло скриптик - на всех сайтах создает скрытый фрейм. Насколько я смог догадаться, потому как в яве не особо силен, да и не вникал подробно, но в этом фрейме происходит поиск пользовательского номера телефона(либо пользователь где нибудь вводил свой номер, либо работает именно с мобильника) и производится его подписка на платные услуги МТС или Билайна. Причем подписка производится автоматом, поскольку, вроде бы, присутствует и обработка кнопки "Продолжить" и кнопки "Подтвердить".
К сожалению я в данный момент не пользуюсь НаноАВ. Но сообщение решил написать - слишком много здесь знакомых и друзей, для которых данная информация может оказаться полезной. Да и разработчикам НаноАВ, думаю, будет интересно поковырять и разобраться в данной гадости.
Откуда приползло сие чудо на мою виртуалку? Трудно сказать. В логах рыться не особо хочется, тем более точно не смогу сказать даже когда оно занырнуло ко мне.
Архив с "гадостью" прилагаю, пароль стандартный - 123.

Модератор: потер файл

Спасибо, Viha.

Файлы переданы в лаборатория для дальнейшего исследования.

UPD: файлы действительно вредоносные, в скором времени они начнут определяться NANO Антивирусом.

Trojan.BrowseBan.480 по классификации Dr.Web