-
Junior Member
- Вес репутации
- 62
Нашел червяка (нового?)... AVZ 4.27 его не узнала.
Доброе время суток!
Вчера запустил одну подозрительную прогу (по требованию пришлю куда скажут) и поймал пачку черяков:
Код:
syswin.exe - W32/MouseMunch.worm
msrpc.exe - W32/Sdbot-AEI.worm
lsassv.exe - W32/Lydra.DT
Для начала создается и запускается файл AdobeGammaLoader.scr, он перехватывает клаву и мышь и меняет regedit.exe в каталоге Windows на архив с этой же гадостью, управление потом возвращает.
Самое печальное, что ни NOD32 с последними базами, ни AVZ 4.27 с последними базами это хозяйство не обнаружили. Победил я его при помощи UnHackMe и руками, с косвенной помощью ZoneAlarm.
[I]Deus daemonus inversus est.[/I]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
одну подозрительную прогу (по требованию пришлю куда скажут)
[email protected]
[email protected]
I am not young enough to know everything...
-
-
Сообщение от
Blasphemie
Вчера запустил одну подозрительную прогу (по требованию пришлю куда скажут)
zip-архив с паролем virus туда - http://virusinfo.info/upload_virus.php?tid=12229
заменяет два вышеуказанных.
-
-
Junior Member
- Вес репутации
- 62
Shu_b, сделано!
UPD: Червяки не новые, я уже потом обнаружил на одном тематическом форуме упоминание именно об этом файле, что он заражен. Сообщение было то ли за 2004, то ли за 2005 год.
[I]Deus daemonus inversus est.[/I]
-
Хм... не похоже что старый.
Код:
File Woron_Scan_2.10_NO_LIMIT_A3A8_COM received on 09.06.2007 14:52:57 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.9.5.0 2007.09.06 -
AntiVir 7.6.0.5 2007.09.06 -
Authentium 4.93.8 2007.09.06 -
Avast 4.7.1029.0 2007.09.06 -
AVG 7.5.0.485 2007.09.06 -
BitDefender 7.2 2007.09.06 -
CAT-QuickHeal 9.00 2007.09.06 -
ClamAV 0.91.2 2007.09.06 -
DrWeb 4.33 2007.09.06 Trojan.LydraSpy.1216
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5114 2007.09.06 -
Ewido 4.0 2007.09.06 -
FileAdvisor 1 2007.09.06 -
Fortinet 3.11.0.0 2007.09.06 -
F-Prot 4.3.2.48 2007.09.06 -
F-Secure 6.70.13030.0 2007.09.06 -
Ikarus T3.1.1.12 2007.09.06 Trojan-Proxy.Win32.Delf.cc
Kaspersky 4.0.2.24 2007.09.06 -
McAfee 5113 2007.09.05 -
Microsoft 1.2803 2007.09.06 -
NOD32v2 2509 2007.09.06 -
Norman 5.80.02 2007.09.06 -
Panda 9.0.0.4 2007.09.06 Suspicious file
Prevx1 V2 2007.09.06 -
Rising 19.39.32.00 2007.09.06 -
Sophos 4.21.0 2007.09.06 -
Sunbelt 2.2.907.0 2007.09.06 -
Symantec 10 2007.09.06 -
TheHacker 6.1.9.179 2007.09.06 -
VBA32 3.12.2.4 2007.09.06 Trojan.LydraSpy.1216
VirusBuster 4.3.26:9 2007.09.05 -
Webwasher-Gateway 6.0.1 2007.09.06 -
Additional information
File size: 2551053 bytes
MD5: 0ce087d2996796885c4bac286a10e351
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Shu_b
Хм... не похоже что старый.
Ага, обманул. Тот пост был от 21.08.2006.
Кстати, совпадение это или нет - не знаю, но в процессе лечения в безопасном режиме с сетью мне не удалось скачать CureIt с сайта DrWeb.
[I]Deus daemonus inversus est.[/I]
-
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Alex_Goodwin
Хост файл проверьте..
А как же, первым делом.
Сайт-то открывался, а вот файл грузиться не хотел.
[I]Deus daemonus inversus est.[/I]
-
Сообщение от
Blasphemie
Сайт-то открывался, а вот файл грузиться не хотел.
FTP-протокол заблокирован где-то. Или на машине средствами фаерволла, или на сервере. Может быть элементарно прикрыты ftp'ишные порты.
Наше дело правое--победа будет за нами!!!
-
-
Junior Member
- Вес репутации
- 62
Палыч, я в безопасном настолько нечасто пользуюсь FTP, что не знаю должен он вообще работать или нет. Может, это и не зверь был виноват, а фича безопасного режима...
После лечения, уже в нормальном режиме все загрузилось и заработало.
UPD: Проверил в виртуалке - работает FTP в безопасном. Непонятно.
Последний раз редактировалось Blasphemie; 07.09.2007 в 01:21.
Причина: Update
[I]Deus daemonus inversus est.[/I]
-
Троян определяется не полностью
Здравствуйте,
На прошлой неделе отсылал вам трояна в архиве (через форму). Сегодня проверил обновление баз. Выходит так, что из отправленного архива в базы внесли только два модуля из трех, хотя я четко уверен, что третий модуль тоже относится к тому-же трояну так как он был им установлен на автоматическую загрузку в Explorer (который виндовый шелл).
Опознанные файлы:
D:\.Vir\Virus_part.zip/{ZIP}/S7dsf4g.dll >>>>> Trojan-Downloader.Win32.Small.fyx
D:\.Vir\Virus_part.zip/{ZIP}/winsto.exe >>>>> Trojan-Downloader.Win32.Agent.avf
Неопознаный:
dmvugei.dll 169 984 байт
Кроме того, практически 100% антивирусников на virustotal определяют его как троянский backdoor.
Если данный файл случайно не попал в базы, то скажите пожалуйста, куда его выслать, что бы он таки попал или, если не случайно, то пожалуйста поясните, если не сложно, почему.
И еще, сорри, но ваш антиспам просто бесит. Свою машину я и так, руками полечил и хотел просто помочь тем, у кого возникнет проблемная ситуация. Пытаюсь запостить сообщение уже 11 раз.
-
-
Отошлите ещё раз Олегу.
И еще, сорри, но ваш антиспам просто бесит. Свою машину я и так, руками полечил и хотел просто помочь тем, у кого возникнет проблемная ситуация. Пытаюсь запостить сообщение уже 11 раз.
Антиспам включен для гостей. Зарегистрируйтесь, и никаких проблем не будет.
-
-
dmvugei.dll - Backdoor.Win32.Agent.cpe
S7dsf4g.dll - Trojan-Downloader.Win32.Small.fyx
winsto.exe - Trojan-Downloader.Win32.Suurch.cg
-
-
Теперь всё в порядке. Спасибо!
-
-
еще один файл с вирусным кодом
Здравствуйте еще раз.
Собственно, опять отправлял через сайт исполнимый вредоносный файл и опять без результата.
В местной форме у вас написано, что отправлять можно только если файл запрошен вами в теме.
В общем есть не распознающийся вашей утилитой вирусный файл (winlogon.exe 32Kb). Его можно отправить через "местную" форму (в прошлый раз от этой формы результат был)?
-
-
-
-
-