Если посылать через почтовую программу по smtp, то ничего не дойдет. Провы (большинство) блокируют отправку запароленных архивов по smtp. Отправленное через web-интерфейс почтовой службы доходит почти 100%.Сообщение от Maxim
Если посылать через почтовую программу по smtp, то ничего не дойдет. Провы (большинство) блокируют отправку запароленных архивов по smtp. Отправленное через web-интерфейс почтовой службы доходит почти 100%.
Опыт — это слово, которым люди называют свои ошибки.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Большинство пользуется smtp, там что логичнее советовать загрузку через web-интерфейс на сайте Олега. Проще. IMHO.
Если нет проблем с размером,
то логично. Не спорю.Размер файла не должен превышать 1.5 МБ.
Опыт — это слово, которым люди называют свои ошибки.
Истинное malware весит несколько Кб, так что хватит с головой
Бывает что и по 3 мб файлы на флешке приносят. И уже сильно не сжимается. А вообще это вопрос из разряда "на вкус и цвет". Я на форуме lemnews.com советую оба варианта.
Опыт — это слово, которым люди называют свои ошибки.
http://www.viruslist.com/ru/viruses/...ubid=204007552Истинное malware весит несколько Кб, так что хватит с головой
Пункт 6.... Trojan.Win32.KillFiles.ki, функцией которого является банальное уничтожение файлов. Размер этого троянца составил 247MB.
The worst foe lies within the self...
Твоя подпись достаточно выражает то, что я хочу ответить
Maxim, да хочу я записаться. Вот времени маловато... Не хочется браться за то, чем некогда будет заниматься. Хотя, может и стоит попробовать, в конце-концов, не помешаю.
PavelA, специалистов такого толка - валом. И их будет валом, ибо настоящие специалисты такой рекламой очень редко занимаются, у них работы хватает.
В общем, вчера воевал с ноутом, 2 dll ки никак не хотели удаляться, ни Антивиром, ни дрВэбом (хотя оба писали, что после перезагрузки все будет ОК). АВЗ отчего-то тоже их удалить не захотел - отложенное удаление. Загрузился с компашки и прибил руками. Тут как-то речь шла об avenger, кто-нибудь может подкинуть ТИПОВОЙ скрипт для удаления некоего Х файла???
Добавлено через 7 минут
AhnLab-V3 2007.7.14.0 2007.07.14 Win-Trojan/Adload.5080
AntiVir 7.4.0.42 2007.07.15 TR/Agent.5080
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.15 Downloader.Generic4.XOO
BitDefender 7.2 2007.07.15 DeepScan:Generic.Malware.dld!!.9869F3AE
CAT-QuickHeal 9.00 2007.07.14 TrojanDownloader.Adload.fu
ClamAV devel-20070416 2007.07.15 Trojan.Downloader-10521
DrWeb 4.33 2007.07.15 no virus found
eSafe 7.0.15.0 2007.07.10 Win32.Adload.fu
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 Downloader.Adload.fu
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 W32/Adload.FU!tr.dldr
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Trojan-Downloader.Win32.Zlob.and
Kaspersky 4.0.2.24 2007.07.15 Trojan-Downloader.Win32.Adload.fu
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 W32/Suspicious_U.gen
Panda 9.0.0.4 2007.07.15 Generic Malware
Sophos 4.19.0 2007.07.06 Mal/Packer
Sunbelt 2.2.907.0 2007.07.14 Trojan-Downloader.Win32.Adload.fu
Symantec 10 2007.07.15 no virus found
TheHacker 6.1.6.146 2007.07.13 Trojan/Downloader.Adload.fu
VBA32 3.12.0.2 2007.07.14 Trojan-Downloader.Win32.Adload.fu
Отправил вендорам.
Последний раз редактировалось Jack2; 16.07.2007 в 01:14. Причина: Добавлено сообщение
Почему ни в AVZ? В AVZ проще.
Максим, не всегда. Как показывает практика, зачастую вообще удалить можно только загрузившись с ЦД.
Только что принесли флешку, а там коллекция:
Autorun.~ex
autorun.bin
autorun.exe
AUTORUN.FCB
Autorun.ico
Autorun.ini
autorun.reg
Так понимаю, что это куски чего-то одного. Ни касперский, ни Вэб его не кушают... Если кому нужен архивчик - обращайтесь.
AhnLab-V3 2007.7.27.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.27 CC/UKMalw.LB
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.27 -
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.27 -
CAT-QuickHeal 9.00 2007.07.26 -
ClamAV 0.91 2007.07.26 -
DrWeb 4.33 2007.07.27 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5008 2007.07.26 -
Ewido 4.0 2007.07.26 Trojan.Legmir
FileAdvisor 1 2007.07.27 -
Fortinet 2.91.0.0 2007.07.27 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.27 Trojan-PWS.Legmir
Kaspersky 4.0.2.24 2007.07.27 -
McAfee 5084 2007.07.26 -
Microsoft 1.2704 2007.07.27 -
NOD32v2 2424 2007.07.26 -
Norman 5.80.02 2007.07.26 -
Panda 9.0.0.4 2007.07.27 -
Rising 19.33.41.00 2007.07.27 -
Prevx1 V2 2007.07.27 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.27 -
TheHacker 6.1.7.155 2007.07.27 -
VBA32 3.12.2.1 2007.07.24 Trojan.PWS.Legmir
VirusBuster 4.3.26:9 2007.07.27 -
Webwasher-Gateway 6.5.3 2007.07.27 Virus.UKMalw.LB
Добавлено через 2 минуты
Гм, а Касперского с Антивиром подружить можно???
Добавлено через 1 минуту
в рег файле
Windows Registry Editor Version 5.00
autorun风暴
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
Добавлено через 3 часа 34 минуты
Получил ответ от Касперского. Если это ложняк, то зачем чему-то создавать скрытые экзешники весом в 25 Кб в корне флешки? Непонятно (с) Комеди.
Hello.
No malicious software was found in the attached file.
-----------------
Regards, Namestnikov Yury
Virus Analyst, Kaspersky Lab.
Ph.: +7(095) 797-8700
E-mail: [email protected]
http://www.kaspersky.com http://www.viruslist.com
Добавлено через 3 минуты
Копию архива отправил Олегу Зайцеву, теперь бы узнать, что же это такое было на самом деле.
Добавлено через 1 час 0 минут
Только что на другой флешке принесли то же самое. На этот раз получилось сохранить все, архив отправил SuperBrat. Жду реакции.
Последний раз редактировалось Jack2; 27.07.2007 в 17:25. Причина: Добавлено сообщение
Касперский прекрасно живёт с антивиром, антивир ставится после установки Касперского и только сканер.
Да, уже поставил. Спасибо!
Avira уточняет:
Т.е., вольный перевод, поврежденное вредоносное содержимое не поддающееся анализу, но добавленное в базу детекта.The file 'autorun.exe' has been determined to be 'MALWARE (NOT ANALYZABLE)'. In particular this means that this file is not working properly or not functional as a stand alone component. Nevertheless we were able to determine that it is malware. Our analysts named the threat CC/UKMalw.LB. The term "COLLCRAP/" denotes files with damaged virulent content.Detection will be added to our virus definition file (VDF) with one of the next updates.
Опыт — это слово, которым люди называют свои ошибки.
Итого во втором архиве, который я тебе отправил, 12 файлов. Это все куски одного и того же зловреда?
Добавлено через 22 минуты
ИМХО, нужно детектить все куски. Центральным является autorun.vbs
AhnLab-V3 2007.7.28.0 2007.07.27 VBS/Autorun
AntiVir 7.4.0.50 2007.07.27 VBS/Small.K
Authentium 4.93.8 2007.07.27 VBS/Autorun.B@troj
Avast 4.7.997.0 2007.07.27 VBS:Small
AVG 7.5.0.476 2007.07.27 VBS/Small.A
BitDefender 7.2 2007.07.27 VBS.Small.P
CAT-QuickHeal 9.00 2007.07.26 VBS/Small.A
ClamAV 0.91 2007.07.27 VBS.Autorun
DrWeb 4.33 2007.07.27 VBS.Igidak
eSafe 7.0.15.0 2007.07.24 Virus.Win32.Small.k
eTrust-Vet 31.1.5008 2007.07.26 VBS/Aurun.A
Ewido 4.0 2007.07.27 -
FileAdvisor 1 2007.07.27 High threat detected
Fortinet 2.91.0.0 2007.07.27 VBS/Autorun.RU!tr
F-Prot 4.3.2.48 2007.07.27 VBS/Autorun.B@tr
F-Secure 6.70.13030.0 2007.07.27 VBS/Autorun.B@troj
Ikarus T3.1.1.8 2007.07.27 Virus.VBS.Small.a
Kaspersky 4.0.2.24 2007.07.27 Virus.VBS.Small.a
McAfee 5084 2007.07.26 VBS/Generic
Microsoft 1.2704 2007.07.27 Worm:VBS/Agent.B
NOD32v2 2425 2007.07.27 VBS/Small.K
Norman 5.80.02 2007.07.27 VBS/Smallworm.NZ
Panda 9.0.0.4 2007.07.27 VBS/Autom
Rising 19.33.42.00 2007.07.27 Worm.VBS.Agent.v
Prevx1 V2 2007.07.27 Generic.Malware
Sophos 4.19.0 2007.07.26 W32/Autom-A
Sunbelt 2.2.907.0 2007.07.26 Trojan.Unclassified.gen
Symantec 10 2007.07.27 VBS.Runauto
TheHacker 6.1.7.155 2007.07.27 Trojan/Small.autorun
VBA32 3.12.2.1 2007.07.27 Virus.VBS.Small.a
VirusBuster 4.3.26:9 2007.07.27 -
Webwasher-Gateway 6.0.1 2007.07.27 Script.Small.K
По поводу поврежденного вредоноса - на второй флешке файл идентичен первому, хотя принесен совсем из другого места. По идее файл выполняет какие-то функции. К примеру AUTORUN.FCB
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.27 VBS/Small.R
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.27 VBS:Small-B
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.27 VBS.Small.Q
CAT-QuickHeal 9.00 2007.07.26 -
ClamAV 0.91 2007.07.27 -
DrWeb 4.33 2007.07.27 VBS.Igidak
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5008 2007.07.26 -
Ewido 4.0 2007.07.27 -
FileAdvisor 1 2007.07.27 High threat detected
Fortinet 2.91.0.0 2007.07.27 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 Virus.VBS.Small.a
Ikarus T3.1.1.8 2007.07.27 Virus.VBS.Small.a
Kaspersky 4.0.2.24 2007.07.27 Virus.VBS.Small.a
McAfee 5084 2007.07.26 Generic component
Microsoft 1.2704 2007.07.27 -
NOD32v2 2425 2007.07.27 -
Norman 5.80.02 2007.07.27 BAT/Smallworm.NZ
Panda 9.0.0.4 2007.07.27 Trj/ScriptLauncher.A
Prevx1 V2 2007.07.27 Generic.Malware
Rising 19.33.42.00 2007.07.27 -
Sophos 4.19.0 2007.07.26 VBS/Autom-B
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.27 VBS.Runauto
TheHacker 6.1.7.155 2007.07.27 Trojan/Small.autorun
VBA32 3.12.2.1 2007.07.27 Virus.VBS.Small.a
VirusBuster 4.3.26:9 2007.07.27 -
Webwasher-Gateway 6.0.1 2007.07.27 Script.Small.R
Раскладка по Autorun.exe уже изменилась, его детектит ещё пара антивирусников.
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.27 CC/UKMalw.LB
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.27 -
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.27 -
CAT-QuickHeal 9.00 2007.07.26 -
ClamAV 0.91 2007.07.27 -
DrWeb 4.33 2007.07.27 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5008 2007.07.26 -
Ewido 4.0 2007.07.27 Trojan.Legmir
FileAdvisor 1 2007.07.27 -
Fortinet 2.91.0.0 2007.07.27 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 W32/Malware.dam
Ikarus T3.1.1.8 2007.07.27 Trojan-PWS.Legmir
Kaspersky 4.0.2.24 2007.07.27 -
McAfee 5084 2007.07.26 -
Microsoft 1.2704 2007.07.27 -
NOD32v2 2425 2007.07.27 -
Norman 5.80.02 2007.07.27 W32/Malware.dam
Panda 9.0.0.4 2007.07.27 -
Rising 19.33.42.00 2007.07.27 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.27 -
TheHacker 6.1.7.155 2007.07.27 -
VBA32 3.12.2.1 2007.07.27 Trojan.PWS.Legmir
VirusBuster 4.3.26:9 2007.07.27 -
Webwasher-Gateway 6.0.1 2007.07.27 Virus.UKMalw.LB
Последний раз редактировалось Jack2; 27.07.2007 в 19:17. Причина: Добавлено сообщение
Да. Особо опасные файлы Касперский детектит: Virus.VBS.Small.a (autorun.bat, AUTORUN.FCB, autorun.vbs). Остальное: ошметки, которые может и нужны зловреду, но не очень повредят пользователю.
Опыт — это слово, которым люди называют свои ошибки.
Пожалуй.
Добавлено через 55 секунд
Но по сути остальные ложняком не являются.
Последний раз редактировалось Jack2; 27.07.2007 в 19:30. Причина: Добавлено сообщение
Всмотревшись в тело autorun.bat, можно увидеть, что он копирует файлы autorun.* в системную директорию и в корни всех дисков системы. Для чего так сделано не знаю, может вирусописатель так сделал от лени, хоть в связку этого вируса входит только вышеупомянутый autorun.vbs и autorun.bat
Сделано это для того, чтобы потом вирусописателю легко восстанавливать autorun.vbs и autorun.bat при помощи операции rename.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В отличие от ранее обнаруженных подобных приложений, таких как Mpack, эта утилита самостоятельно выполняет заражение и распространяется без вмешательство хакера. Появление этой утилиты свидетельствует о существовании в интернете определенной бизнес-модели, основанной на разработке и продаже подобных видов вредоносных приложений
PandaLabs обнаружила новую опасную утилиту, устанавливающую вредоносное ПО с помощью эксплойтов. Эта утилита носит название Icepack и продается в интернете за 400 долларов США. Она дополняет ряд других утилит, обнаруженных PandaLabs в последнее время, таких как Mpack, XRummer, Zunker, Barracuda, Pinch и др., подтверждая успешность и выгодность бизнеса, который развивается в интернете за счет создания и продажи вредоносных приложений.
Icepack заражает компьютеры следующим образом: утилита получает доступ к определенной веб-странице, куда оно добавляет iframe-ссылку, ведущую на сервер, на котором установлено данное приложение. Основное отличие Icepack заключается в том, что такую ссылку добавляет сама утилита. Предыдущим приложениям, таким как Mpack, были необходимы действия хакера, который вручную осуществлял доступ к веб-страницам, на которые затем добавлялась ссылка.
При посещении таких искаженных страниц пользователями, активируется Icepack, которая анализирует компьютер пользователя на предмет уязвимостей. При положительном результате, она скачивает из сети эксплойт, необходимый для использования имеющейся в компьютере уязвимости. Еще один отличительный признак Icepack - это то, что она использует эксплойты, соответствующие самым последним выявленным уязвимостям. Этому есть разумное объяснение – в таком случае существует меньшая вероятность того, что пользователи уже обновили свои компьютеры для исправления новейших брешей безопасности.
После этого кибер-преступники могут загружать на зараженные компьютеры любое вредоносное ПО. Если учесть стоимость утилиты, скорее всего она будет загружать вредоносные коды, наиболее часто использующиеся для кражи конфиденциальных данных и позволяющие заниматься онлайновым мошенничеством (трояны, шпионское ПО, боты и др.).
“Данная утилита очень похожа на другие наборы для инсталляции вредоносного ПО с помощью эксплойтов, такие как Mpack, но по сравнению с Mpack создатели дополнили Icepack новыми разработками. Такая эволюция вполне логична, поскольку эти приложения приносят значительное количество прибыли, и естественно, что преступники стремятся заоевать рынок, предлагая более мощные продукты,” объясняет Луис Корронс, технический директор PandaLabs.
Другое нововведение в Icepack – это то, что она сочетает в себе программу проверки ftp и iframe. Первая помогает кибер-преступникам пользоваться информацией об учетных записях FTP, украденных с зараженных компьютеров. Данные этих учетных записей проходят через специальную программу проверки, чтобы удостовериться в их подлинности. Утилита добавляет в учетную запись iframe-ссылку, ведущую к Icepack. Повторением этого процесса приложение начинает свой “жизненный цикл” заново.
http://www.securitylab.ru/news/300408.php
Кое чего ещё накопал:
Antivirus Version Last Update Result
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.03 -
Authentium 4.93.8 2007.08.03 Possibly a new variant of W32/Downloader-WebExe-based!Maximus
Avast 4.7.1029.0 2007.08.05 -
AVG 7.5.0.476 2007.08.05 Win32/Ngvck.BP
BitDefender 7.2 2007.08.05 -
CAT-QuickHeal 9.00 2007.08.04 -
ClamAV 0.91 2007.08.05 -
DrWeb 4.33 2007.08.05 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.05 -
FileAdvisor 1 2007.08.05 -
Fortinet 2.91.0.0 2007.08.05 -
F-Prot 4.3.2.48 2007.08.03 W32/Downloader-WebExe-based!Maximus
F-Secure 6.70.13030.0 2007.08.03 -
Ikarus T3.1.1.8 2007.08.05 -
Kaspersky 4.0.2.24 2007.08.05 -
McAfee 5090 2007.08.03 -
Microsoft 1.2704 2007.08.05 TrojanDownloader:Win32/Murlo.gen
NOD32v2 2438 2007.08.05 -
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.05 -
Prevx1 V2 2007.08.05 -
Rising 19.34.40.00 2007.08.03 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.05 -
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
VirusBuster 4.3.26:9 2007.08.05 -
Webwasher-Gateway 6.0.1 2007.08.03 -
и ещё
Antivirus Version Last Update Result
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.05 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.05 -
AVG 7.5.0.476 2007.08.05 -
BitDefender 7.2 2007.08.05 MemScan:Trojan.PWS.LdPinch.BSJ
CAT-QuickHeal 9.00 2007.08.04 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.05 -
DrWeb 4.33 2007.08.05 -
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.05 -
FileAdvisor 1 2007.08.05 -
Fortinet 2.91.0.0 2007.08.05 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.03 Trojan-PSW.Win32.LdPinch.bjx
Ikarus T3.1.1.8 2007.08.05 Generic.Dialer
Kaspersky 4.0.2.24 2007.08.05 Trojan-PSW.Win32.LdPinch.bjx
McAfee 5090 2007.08.03 New Malware.da
Microsoft 1.2704 2007.08.05 -
NOD32v2 2438 2007.08.05 a variant of Win32/PSW.LdPinch.NCB
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.05 Suspicious file
Rising 19.34.40.00 2007.08.03 -
Sophos 4.19.0 2007.08.01 Mal/Basine-C
Sunbelt 2.2.907.0 2007.08.04 VIPRE.Suspicious
Symantec 10 2007.08.05 -
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
Webwasher-Gateway 6.0.1 2007.08.03 Trojan.Crypt.XPACK.Gen
Есть экзешники, которые вообще не детектятся.
Отправил вендорам.
Ваши права в разделе
Ответить с цитированием
