Выдержка из http://www.govcert.admin.ch/blog/21/20min.ch-malvertising-incident
Цепочка заражения следующая:
swf-файл на 20min.ch содержит встроенный Javascript, который делает основной отпечаток пальца с помощью User Agent и Cookie. Основываясь на этой информации, принимается решение о том, следует ли перенаправить на сайт заражения или нет. Перенаправить на сайт эксплойта, где загружается скрипт VB, с другой проверкой, какой эксплойт подошел бы к цели. Инфекция устройства с помощью Gozi в виде .dll, которая выполняется на постоянной основе через ключ реестра (rundll) в HKEY \ CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run. Dll находится в папке% APPDATA% пользователя.Попробуйте это, нажмите alt + f2. Он предложит команду, введите «r» без двойных кавычек, нажмите «Ввод», он перезапустит UI
Попробуйте это, нажмите alt + f2. Он предложит команду, введите «r» без двойных кавычек, нажмите «Ввод», он перезапустит UI