Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 65.

Virus.VBS.Agent.c - "Диструктивная" реклама

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Virus.VBS.Agent.c - "Диструктивная" реклама

    Опасная троянская программа, уничтожает данные пользователя на диске. От данного зловреда пострадали многие пользователи, зафиксирован буквально шквал обращений (в том числе в конференциях http://virusinfo.info и http://forum.kaspersky.com
    Видимые проявления - в автозапуске появляется посторонний файл one.exe (файл размещается в папке Windows), который является SFX архивом. В случае запуска он распаковывается в корень диска C:, при это создаются следующие файлы: dr.vbs, DR1.dr, DR2.dr и DR3.dr. Файл dr.vbs после этого запускается (для извлечения файлов и запуска в архиве имеется скрипт: Path=c:\ Setup=dr.vbs).
    Скрипт dr.vbs зашифрован для защиты от изучения, шифровка примитивная. Расшифровка показывает, что скрипт ищет файлы на диске (при этом анализируются все диски системы с типом Fixed (т.е. HDD) и Network (сетевой диск)), и в зависимости от расширения копирует заготовки
    DR1.dr - DR3.dr поверх некоторых файлов. Поражаются файлы следующих типов:

    mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave - поверх них копируется файл DR1.dr
    jpg,bmp,gif,png -> DR2.dr
    txt,xlsЭ,doc,htm,xl -> DR3.dr

    Файл DR1.dr является музыкальным файлом с ID3 тегом "Тут могла быть ваша РЕКЛАМА!!! По вопросам размещения во второй волне : xxx@yyyy", соответственно DR2.dr - это картинка формата JPEG (в ней призыв разместить рекламу написан на картинке, причем с лозунгом "Диструктивная реклама") и DR3.dr - текстовый файл, по содержимому идентичный ID3 тегу DR1.dr.

    Как очевидно из описания, файлы перечисленных расширений будут уничтожены, резервных копий затираемых файлов зловред не делает.

    Скрипт по некоторым стилистическим элементам похож на аналогичного деструктивного зловреда Email-Worm.VBS.Agent.j

    Внедрение в систему и распространение
    Зловред распространяется в виде файла с расширением SCR, размер файла - 424 кб, это SFX архив с файлами 01.vbs, 02.vbs, 03.vbs, 04.vbs и one.exe внутри. В случае запуска файлы извлекаются в папку Windows и идет запуск 01.vbs
    1. WINDOWS\01.vbs - проверяет наличие в корне диска dr.vbs. Если его нет, то запускается 02.vbs и самоуничтожается
    2. WINDOWS\02.vbs - просматривает папки в каталоге Mra\, принадлежащем MailRu Agent. Сканированием этой папки строит список адресов - найденные адреса заносятся в файл "c:\DR.dr", после чего запускается 03.vbs и самоуничтожается
    3. WINDOWS\03.vbs -регистрирует в реестре файл one.exe, блокирует запуск редактора реестра и диспетчера задач через политики, после чего рассылает на один из встроенных в тело скрипта адресов письмо, текстовка "complete..." + аттчач - файл c:\DR.ey, после чего запускает 04.vbs и самоуничтожается. Файл DR.ey содержит данные ключа реестра Software\Mail.Ru\Agent.
    4. WINDOWS\04.vbs Рассылает письма c заголовком "Вам пришла открытка от: xxxx" и телом "Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: xxxx@ Открытка ждёт Вас по адресу: <полный адрес файла SCR, инсталлирующего зловреда>. Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней."

    Для поражения ПК нужно перейти по указанной в подобном письме ссылке, загрузить и запустить файл (подтвердив запрос системы на запуск). Таким образом следует вспомнить основную заповедь безопасности в Интернет - не следует переходить по подозрительным ссылкам и запускать непонятные программы, загруженные по этим ссылкам ... Зловред заменяет все текстовые файлы, звуки и картинки, в том числе и системные и принадлежащие различным программам - поэтому если он отработал, то стоит или восстановить систему из резервной копии, или произвести ее переустановку
    Последний раз редактировалось Зайцев Олег; 10.07.2007 в 09:28.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    1
    Вес репутации
    35
    Всё понятно...пасиба.. Вот тока у мя небольшой вопросик: раз все файлы были заменены на новые, то почему, когда я сморю на папку с рисунками (вид - эскизы страниц) на ней отображаются мои нормальные фалы, а не эта шняга? Т.е. нормальные файлы на компе всё ещё есть, разве нет??

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Нет. Есть соханённые системой малоформатные эскизы, которые зверь не затёр. Возможно, потому, что они хранятся в какой-то закрытой базе, о которой зловред понятия не имеет.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от pig Посмотреть сообщение
    Нет. Есть соханённые системой малоформатные эскизы, которые зверь не затёр. Возможно, потому, что они хранятся в какой-то закрытой базе, о которой зловред понятия не имеет.
    Именно так дело и обстоит. XP кеширует эскизы для быстрого просмотра, файл базы данных имеет имя Thumbs.db (с атрибутами скрытый + системный), такой файл автоматом создается системой в папках с рисунками при условии, что папкая отображается в режиме "эскизы страниц". Зверь его не трогает, но и вынуть оотуда ничего интересного нельзя - эскизы размером с крупную иконку.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Олег, он трет файлы только на диске C или на всех локальных дисках, или же на всех доступных - сетевые диски, расшаренные папки на других компьютерах?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от anton_dr Посмотреть сообщение
    Олег, он трет файлы только на диске C или на всех локальных дисках, или же на всех доступных - сетевые диски, расшаренные папки на других компьютерах?
    На всех HDD и на всех доступных сетевых дисках

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Сетевых дисках и/или сетевых папках? Это все-таки вроде разные вещи.

  9. #8
    STALK:ER
    Guest
    Народ, а сэмпл у кого-нибудь есть этого зловреда?
    Поделитесь плиз....

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от anton_dr Посмотреть сообщение
    Сетевых дисках и/или сетевых папках? Это все-таки вроде разные вещи.
    Именно на сетевых дисках. Т.е. эта штука енумерирует все доступные дисковые устройства пораженного ПК и в цикле проверяет тип для каждого найденного диска. Если диск имеет тип Fixed (т.е. это HDD) или тип Network (сетевой диск), то делается попытка его "обработки". Сканировать сеть на предмет поиска ПК и соответственно наличия на нем доступных для записи расшаренных папок он к счастью не умеет.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Понятно, спасибо.

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Народ, а сэмпл у кого-нибудь есть этого зловреда?
    Поделитесь плиз....
    Вам зачем? Мы не занимаемся распространением вирусов.

  13. #12
    STALK:ER
    Guest
    Цитата Сообщение от Maxim Посмотреть сообщение
    Вам зачем? Мы не занимаемся распространением вирусов.
    Хочу проверить Dr.Web на ликвидность и если пропустит, отдать им... так как тесно с ними сотрудничаю....
    Дабы это не было как пиар-акция...

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Хочу проверить Dr.Web на ликвидность и если пропустит, отдать им... так как тесно с ними сотрудничаю....
    Dr.Web его уже детектирует как Trojan.MulDrop.7430.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Maxim Посмотреть сообщение
    Dr.Web его уже детектирует как Trojan.MulDrop.7430.
    Да, из всех антивирусов его ловит только AVP и WEB

  16. #15
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Скоро ещё будет ловить Avira. Я ещё отправил авасту и ноду (в субботу или воскресенье) - тишина... Вот и показатель качества.

  17. #16
    STALK:ER
    Guest
    Цитата Сообщение от Maxim Посмотреть сообщение
    Dr.Web его уже детектирует как Trojan.MulDrop.7430.
    Ну дайте поэкспериментировать с детектом и добавить в свою коллекцию (в которой уже 1500 вирусов...) Мне это Важно...
    мыло Вам куда кинуть???

  18. #17
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    1
    Вес репутации
    35
    Зайцев Олег, И что, сейчас нельзя восстановить эти файлы?

  19. #18
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Ну дайте поэкспериментировать с детектом и добавить в свою коллекцию (в которой уже 1500 вирусов...) Мне это Важно...
    Ещё раз говорю, мы не даем аттачи посторонним.

  20. #19
    STALK:ER
    Guest
    Цитата Сообщение от Maxim Посмотреть сообщение
    Ещё раз говорю, мы не даем аттачи посторонним.
    Я не посторонний, я всегда бываю на http://www.anti-malware.ru/phpbb/ и www.lemnews.com и на форуме Dr.Web...
    И потом, если я сказал, что я честный человек... значит это так, даю ВАМ слово офицера...

    Вам этого достаточно???

  21. #20
    STALK:ER
    Guest
    Цитата Сообщение от IgorA Посмотреть сообщение
    STALK:ER
    И давно сотрудничаете ?
    Как тестер не совсем, точнее недавно. А как продавец и пользователь давно...

Страница 1 из 4 1234 Последняя

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 16:16
  2. Ответов: 45
    Последнее сообщение: 22.02.2009, 07:57
  3. Вирус "диструктивная реклама"
    От инесса в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 22.02.2009, 02:01
  4. Диструктивная реклама
    От Лысый в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 09.07.2007, 16:10
  5. Диструктивная реклама!!!
    От JaneEir в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 08.07.2007, 22:22

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00801 seconds with 23 queries