Вчера вечером залез в аську и получил от отдного из контактов следующее сообщение: Привет, смотри!!! http://со_opworl.com/new/top/30/ (ардес ссылки умышленно изменил) Классная вещь! :-)
Никогда не ведусь на подобные вещи, но тут черт меня попутал, нажать на эту ссылку.
В итоге после захода на этот сайт, сразу же, в течении 30 секунд, монитор стал мерцать, потом вроде бы все успокоилось, но через некоторое время монитор секунд на 10 погас и снова зажегся.
Я забил в поисковики адрес сайта..информации оказалось негусто (видать свежий вирус), но по отдельным сообщениям удалось выяснить что это одна из разновидностей Pinch.
Естественно первым делом скачал новые базы на др.веб и в безопасном режиме проверил полностью систему. К большому сожалению ни одного вируса обнаружено небыло. После проверки скачал свежий AVZ и тоже запустил на проверку. Мои догадки по поводу заражения подтвердились. AVZ выдал следующий лог: Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100A7812]
>>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100A783E]
>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100A74FA]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100A74CE]
>>> Код руткита в функции SetWindowPos нейтрализован
После перезагрузки и повторной проверки AVZ опять обнаружил руткит. На всякий случай сегодня с утра, с другого компа, поменял пароль на аське. Проверил систему антишпионом аутпоста, но каких либо улучшений замечено небыло. Осталась одна надежда на вас!!!!
По поводу системы. Стоит Windows XP SP2 Ru. Из антивирусов - Dr.web последней версии, из фаерволов - Outpost 6 версии.
P.S. Никогда не щелкайте по незнакомым ссылкам в аське и в почте! Учитесь на чужих ошибках!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В логах ничего плохого не нашел,вы перешли по этой ссылке,там наверняка должен был быть архив для скачивания,с картинкой или видео внутри,был таковой?если вы нечего не скачивали и не запускали то врядле Пинч "поработал",даже если и поработал,то следов уже не найти он самоликвидируется.
P.S. скиньте мне ссылку по которой вы перешли в PM
Когда зашел по ссылке там был стандартный Forbidden.
Начитавшись про возможности пинча(многие знания пораждают печаль) стало страшно за свои пароли. Как говорится, извините за выражение, лучше перебздеть чем недобздеть.
В сложившейся ситуации мня тревожат две вещи: То что после захода на сайт, тут же стали творится чудеса с монитором. И то, что AVZ тоже указывает на руткит в параметрах настройки монитора.
Если уж пинч самоликвидировался, то какие мероприятия можно предпринять для того чтобы неугнали пароли?
Добавлено через 3 минуты
Дополню, что никаких архивов не скачивал и видео не смотрел.
К сожалению непосмотрел сразу аутпостом кто куда ломится, а через два часа когда я все же удосужился это сделать, была тишь да гладь.
Последний раз редактировалось Woodman; 04.05.2008 в 18:38.
Причина: Добавлено
Да...это я про перехваты
Сейчас проверил AVZ другой компьютер с похожими параметрами (WinXP SP2, Dr.Web, Outpost). Обнаружились те же самые перехватчики
Будем надеятся, что заражения не произошло, хотя вчерашние мегания монитора меня до сих пор смущают.
P.S. Попутно хотелось бы задать такой вопрос. Есть ли онлайн проверки сайтов на наличие вирусов? чтоб в следующий раз можно было проверять подозрительные ссылки.
Добавлено через 1 минуту
Пароль на аську сменил. надо еще на веб сайт тоже сменить..а то он у меня в Тотал командере хранится но этим займусь в ближайшее время. Кстати на почту он тоже пароли ворует? У меня The Bat 3.9 стоит
Последний раз редактировалось Woodman; 04.05.2008 в 19:24.
Причина: Добавлено
Пароль на аську сменил. надо еще на веб сайт тоже сменить..а то он у меня в Тотал командере хранится но этим займусь в ближайшее время. Кстати на почту он тоже пароли ворует? У меня The Bat 3.9 стоит
Обычно список программ, от которых Pinch пароли берет обширен. В основном это клиенты icq(И иные для обмена мгновенными сообщениями), почтовые клиенты (TheBat,outlook и типа их), браузеры (В куках и "Жезле" оперы к примеру вкусности можно найти). http://www.viruslist.com/ru/find?wor...=on&kl_only=on вот тут можете почитать про программы подверженные атакам на конкретных примерах.
P.S. Попутно хотелось бы задать такой вопрос. Есть ли онлайн проверки сайтов на наличие вирусов? чтоб в следующий раз можно было проверять подозрительные ссылки.
Проверки есть, НО они мало эффективны. Если антивирус покажет что все ОК - это еще таковым 100% НЕ является.
Вот например http://www.freedrweb.com/browser/
Последний раз редактировалось zerocorporated; 04.05.2008 в 20:29.
Большое спасибо всем за ответы! Спасибо за существование сайта virusinfo.info.
Кажется действительно вирус не смог проникнуть в мою систему, но на всякий случай сменил пароли )
Все верно,что поменяли пароли,сайт использьзует фишинг атаку
Так же по ссылке есть архив с "Видеороликом" под названием "Свирепый начальник" в архиве есть файл chief.scr-это Пинч,на данный момент файл детектируется,но архив обновляют несколько раз в день.
Последний раз редактировалось Гриша; 04.05.2008 в 21:17.
Хочу немного уточнить один вопрос.
Когда я зашел на этот сайт, высветилась довольно стандартная кодовая страница 403.. типа Forbidden You don't have permission to access...и т.д. просматривал я ее от силы секунд 5 браузером Opera (думаю это немаловажно). Никаких архивов нескачивал и видео несмотрел. Возможен ли при такой ситуации загрузка вируса на мой компьютер? Я далеко не новичек в компьютерной безопасности, но иной раз начинаю верить в фантастическую проникаемость вирусов (тем более что щас развелось море технологий, всякие там ActiveX, Ajax и тому подобные)
Сам по себе сайт ни какой угрозы не предстовляет,хоть и определяется как фишинговый,не скачивая архив и не запуская этот файл chief.scr заразиться нельзя,т.к.заражен именно этот файл,это обычная заставка,к которой джойнером приклеен Пинч,странно что вам сразу не дали прямую ссылку на архив,она немного отличается от которой вы мне прислали,там еще нужно нажать "Скачать" обычно в таких сообщениях дается линк на сайт и непосредственно на сам архив.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: