"Trojan.Radmin.13" по классификации Dr.WEB'а. Нужна информация.

[h00ch]

В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.

В кратце известные мне действия вируса:
все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.

Информации по данной модификации вируса в интернете я не нашел. Посему обращаюсь за помощью в поиске информации. Буду благодарен за ссылки, рекомендации по выявлению и лечению этой "заразы".

P.S. Если понадобиться, могу приложить файл вируса.

Спасибо!

[Зайцев Олег]

Необходлимо с любого зараженного ПК выполнить все правила раздела "помогите" и создать там тему с логами, тогда можно сказать что-то определенное

[h00ch]

В том и проблема - как выявить зараженный ПК - их 100 с лишним. Есть один кандидат. Создам тему в разделе "Помогите". Но эта тема остается открытой - нужна информация.

[Alexey P.]

А он наверно не один зараженный, пользователь-то не один к Вам обращается. Вставляйте флешку и смотрите её, к примеру, FAR-ом. Как файл трояна появится - вот и зараженный.

[h00ch]

Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.

[Зайцев Олег]

Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.

Компьютеры в домене ? Если да, то их можно обегать за 10 минут ...

[h00ch]

Компьютеры не в домене. К тому же они находятся в разных концах города.
Нашел информацию на вирусню со схожими симптомами. Буду пробовать.

[Hong]

В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.

В кратце известные мне действия вируса:
все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.

Столкнулся с такой же заразой. Dr.Web определяет файлы "%имя папки%.exe" как "Trojan.Radmin.13". Каспер и нод - не видят вообще.
Причем информация с флэшек никуда не пропадает. На флэшках создается каталог с именем ".." (две точки). Там и находятся все папки со всем содержимым. Это возможно только на носителях с файловой системой FAT (обычно флэшки в нее и отформатированы). Лечить вирус пока не пробовал. А папки с содержимым можно выдернуть, используя например UFS Explorer Professional Recovery.
Удачи..

[Hong]

Загрузится с LiveCD и полечить CureIt -ом.
--
ОПИСАНИЕ:
Вирус создает на системном разделе HDD папку ".."? в которой находится файл services.exe (если ФС = FAT32). Если NTFS, то прямо в корне записывается файл ":services.exe" (в начале двоеточие). На флешках создается папка "..", в которую перекочевывают все папки вместе с содержимым. Стандартными средствами винды эти папки увидеть нельзя, равно как и файл ":services.exe". В реестре создаются 3 или 4 записи, где прописан автозапуск вышеуказанного файла.
--

[h00ch]

Hong Спасибо за информацию.
Кажется в "Касперский" начинают чесаться http://forum.kaspersky.com/index.php...ic=171735&st=0. Отправил *.ехе файлы ESET. Обещали скоро ответить. Dr.WEB и так их детектирует. Но официальной информации по-прежнему катастрофически мало.

Аха! ESET, включив в "Сканирование ПК по требованию"->"Сканирование контекстного меню"->"Методы"->"Потенциально опасное ПО", ESET определяет вирус как "stara.exe - модифицированный Win32/RemoteAdmin потенциально опасная программа". Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.

[ALEX(XX)]

Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.

Добавляйте их в исключения

[h00ch]

Вот что мне ответили на форуме NOD'а:

В следующем обновлении внесут а базу как

stara.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application
zalio.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application

Тоесть ловится будет только если включить в ноде(везде!) детектирование потенциально опасное ПО

Будем ждать следующего обновления.

[h00ch]

Как вытащить папки с содержимым, которые были заменены *.ехе'шными файлами вируса? Другими словами, как попасть в эту самую папку ".." на флешке?

[pig]

По короткому имени. Можно её даже переименовать во что-то более вменяемое.
Смотрите справку по DOS-команде DIR.

[h00ch]

Спасибо, попробую. А пока воспользовался программой, которую посоветовали выше UFS Explorer.

[aispam]

у меня на двух флэшках короткое имя было одинаковым
E2E2~1
переименовал его командой
ren E2E2~1 WORK
где work новая папка где будут лежать помещенные туда файлы