Показано с 1 по 17 из 17.

Нашел червяка (нового?)... AVZ 4.27 его не узнала.

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    62

    Нашел червяка (нового?)... AVZ 4.27 его не узнала.

    Доброе время суток!
    Вчера запустил одну подозрительную прогу (по требованию пришлю куда скажут) и поймал пачку черяков:
    Код:
    syswin.exe - W32/MouseMunch.worm
    msrpc.exe - W32/Sdbot-AEI.worm 
    lsassv.exe - W32/Lydra.DT
    Для начала создается и запускается файл AdobeGammaLoader.scr, он перехватывает клаву и мышь и меняет regedit.exe в каталоге Windows на архив с этой же гадостью, управление потом возвращает.
    Самое печальное, что ни NOD32 с последними базами, ни AVZ 4.27 с последними базами это хозяйство не обнаружили. Победил я его при помощи UnHackMe и руками, с косвенной помощью ZoneAlarm.
    [I]Deus daemonus inversus est.[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    одну подозрительную прогу (по требованию пришлю куда скажут)
    [email protected]
    [email protected]
    I am not young enough to know everything...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от Blasphemie Посмотреть сообщение
    Вчера запустил одну подозрительную прогу (по требованию пришлю куда скажут)
    zip-архив с паролем virus туда - http://virusinfo.info/upload_virus.php?tid=12229

    заменяет два вышеуказанных.

  5. #4
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    62
    Shu_b, сделано!

    UPD: Червяки не новые, я уже потом обнаружил на одном тематическом форуме упоминание именно об этом файле, что он заражен. Сообщение было то ли за 2004, то ли за 2005 год.
    [I]Deus daemonus inversus est.[/I]

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Хм... не похоже что старый.
    Код:
    File Woron_Scan_2.10_NO_LIMIT_A3A8_COM received on 09.06.2007 14:52:57 (CET)
    Antivirus	Version	Last Update	Result
    AhnLab-V3	2007.9.5.0	2007.09.06	-
    AntiVir	7.6.0.5	2007.09.06	-
    Authentium	4.93.8	2007.09.06	-
    Avast	4.7.1029.0	2007.09.06	-
    AVG	7.5.0.485	2007.09.06	-
    BitDefender	7.2	2007.09.06	-
    CAT-QuickHeal	9.00	2007.09.06	-
    ClamAV	0.91.2	2007.09.06	-
    DrWeb	4.33	2007.09.06	Trojan.LydraSpy.1216
    eSafe	7.0.15.0	2007.09.04	-
    eTrust-Vet	31.1.5114	2007.09.06	-
    Ewido	4.0	2007.09.06	-
    FileAdvisor	1	2007.09.06	-
    Fortinet	3.11.0.0	2007.09.06	-
    F-Prot	4.3.2.48	2007.09.06	-
    F-Secure	6.70.13030.0	2007.09.06	-
    Ikarus	T3.1.1.12	2007.09.06	Trojan-Proxy.Win32.Delf.cc
    Kaspersky	4.0.2.24	2007.09.06	-
    McAfee	5113	2007.09.05	-
    Microsoft	1.2803	2007.09.06	-
    NOD32v2	2509	2007.09.06	-
    Norman	5.80.02	2007.09.06	-
    Panda	9.0.0.4	2007.09.06	Suspicious file
    Prevx1	V2	2007.09.06	-
    Rising	19.39.32.00	2007.09.06	-
    Sophos	4.21.0	2007.09.06	-
    Sunbelt	2.2.907.0	2007.09.06	-
    Symantec	10	2007.09.06	-
    TheHacker	6.1.9.179	2007.09.06	-
    VBA32	3.12.2.4	2007.09.06	Trojan.LydraSpy.1216
    VirusBuster	4.3.26:9	2007.09.05	-
    Webwasher-Gateway	6.0.1	2007.09.06	-
    Additional information
    File size: 2551053 bytes
    MD5: 0ce087d2996796885c4bac286a10e351

  7. #6
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    62
    Цитата Сообщение от Shu_b Посмотреть сообщение
    Хм... не похоже что старый.
    Ага, обманул. Тот пост был от 21.08.2006.

    Кстати, совпадение это или нет - не знаю, но в процессе лечения в безопасном режиме с сетью мне не удалось скачать CureIt с сайта DrWeb.
    [I]Deus daemonus inversus est.[/I]

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Хост файл проверьте..

  9. #8
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    62
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Хост файл проверьте..
    А как же, первым делом.
    Сайт-то открывался, а вот файл грузиться не хотел.
    [I]Deus daemonus inversus est.[/I]

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Цитата Сообщение от Blasphemie Посмотреть сообщение
    Сайт-то открывался, а вот файл грузиться не хотел.
    FTP-протокол заблокирован где-то. Или на машине средствами фаерволла, или на сервере. Может быть элементарно прикрыты ftp'ишные порты.
    Наше дело правое--победа будет за нами!!!

  11. #10
    Junior Member Репутация
    Регистрация
    19.05.2007
    Адрес
    Германия, Кельн
    Сообщений
    21
    Вес репутации
    62
    Палыч, я в безопасном настолько нечасто пользуюсь FTP, что не знаю должен он вообще работать или нет. Может, это и не зверь был виноват, а фича безопасного режима...
    После лечения, уже в нормальном режиме все загрузилось и заработало.

    UPD: Проверил в виртуалке - работает FTP в безопасном. Непонятно.
    Последний раз редактировалось Blasphemie; 07.09.2007 в 01:21. Причина: Update
    [I]Deus daemonus inversus est.[/I]

  12. #11
    Unregistered
    Guest

    Троян определяется не полностью

    Здравствуйте,

    На прошлой неделе отсылал вам трояна в архиве (через форму). Сегодня проверил обновление баз. Выходит так, что из отправленного архива в базы внесли только два модуля из трех, хотя я четко уверен, что третий модуль тоже относится к тому-же трояну так как он был им установлен на автоматическую загрузку в Explorer (который виндовый шелл).

    Опознанные файлы:
    D:\.Vir\Virus_part.zip/{ZIP}/S7dsf4g.dll >>>>> Trojan-Downloader.Win32.Small.fyx
    D:\.Vir\Virus_part.zip/{ZIP}/winsto.exe >>>>> Trojan-Downloader.Win32.Agent.avf

    Неопознаный:
    dmvugei.dll 169 984 байт

    Кроме того, практически 100% антивирусников на virustotal определяют его как троянский backdoor.
    Если данный файл случайно не попал в базы, то скажите пожалуйста, куда его выслать, что бы он таки попал или, если не случайно, то пожалуйста поясните, если не сложно, почему.

    И еще, сорри, но ваш антиспам просто бесит. Свою машину я и так, руками полечил и хотел просто помочь тем, у кого возникнет проблемная ситуация. Пытаюсь запостить сообщение уже 11 раз.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Отошлите ещё раз Олегу.
    И еще, сорри, но ваш антиспам просто бесит. Свою машину я и так, руками полечил и хотел просто помочь тем, у кого возникнет проблемная ситуация. Пытаюсь запостить сообщение уже 11 раз.
    Антиспам включен для гостей. Зарегистрируйтесь, и никаких проблем не будет.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    dmvugei.dll - Backdoor.Win32.Agent.cpe
    S7dsf4g.dll - Trojan-Downloader.Win32.Small.fyx
    winsto.exe - Trojan-Downloader.Win32.Suurch.cg

  15. #14
    Unregistered
    Guest
    Теперь всё в порядке. Спасибо!

  16. #15
    Гость форума
    Guest

    еще один файл с вирусным кодом

    Здравствуйте еще раз.
    Собственно, опять отправлял через сайт исполнимый вредоносный файл и опять без результата.
    В местной форме у вас написано, что отправлять можно только если файл запрошен вами в теме.
    В общем есть не распознающийся вашей утилитой вирусный файл (winlogon.exe 32Kb). Его можно отправить через "местную" форму (в прошлый раз от этой формы результат был)?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Заливайте. Можете со ссылкой на эту тему: http://virusinfo.info/showthread.php?t=12229

  18. #17
    Гость форума
    Guest

    закачал

    собственно файл закачал

Похожие темы

  1. Ответов: 14
    Последнее сообщение: 01.06.2009, 12:27
  2. Ответов: 7
    Последнее сообщение: 21.04.2009, 20:07
  3. Ответов: 7
    Последнее сообщение: 22.02.2009, 01:40

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00180 seconds with 17 queries