Показано с 1 по 13 из 13.

Новый Pinch? (заявка № 22429)

  1. #1
    Junior Member Репутация
    Регистрация
    04.05.2008
    Сообщений
    6
    Вес репутации
    59

    Thumbs up Новый Pinch?

    Вчера вечером залез в аську и получил от отдного из контактов следующее сообщение:
    Привет, смотри!!!
    http://со_opworl.com/new/top/30/ (ардес ссылки умышленно изменил)
    Классная вещь! :-)
    Никогда не ведусь на подобные вещи, но тут черт меня попутал, нажать на эту ссылку.
    В итоге после захода на этот сайт, сразу же, в течении 30 секунд, монитор стал мерцать, потом вроде бы все успокоилось, но через некоторое время монитор секунд на 10 погас и снова зажегся.
    Я забил в поисковики адрес сайта..информации оказалось негусто (видать свежий вирус), но по отдельным сообщениям удалось выяснить что это одна из разновидностей Pinch.
    Естественно первым делом скачал новые базы на др.веб и в безопасном режиме проверил полностью систему. К большому сожалению ни одного вируса обнаружено небыло. После проверки скачал свежий AVZ и тоже запустил на проверку. Мои догадки по поводу заражения подтвердились. AVZ выдал следующий лог:
    Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100A7812]
    >>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
    Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100A783E]
    >>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
    Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100A74FA]
    >>> Код руткита в функции EndTask нейтрализован
    Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100A74CE]
    >>> Код руткита в функции SetWindowPos нейтрализован

    После перезагрузки и повторной проверки AVZ опять обнаружил руткит. На всякий случай сегодня с утра, с другого компа, поменял пароль на аське. Проверил систему антишпионом аутпоста, но каких либо улучшений замечено небыло. Осталась одна надежда на вас!!!!
    По поводу системы. Стоит Windows XP SP2 Ru. Из антивирусов - Dr.web последней версии, из фаерволов - Outpost 6 версии.

    P.S. Никогда не щелкайте по незнакомым ссылкам в аське и в почте! Учитесь на чужих ошибках!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)
    В логах ничего плохого не нашел,вы перешли по этой ссылке,там наверняка должен был быть архив для скачивания,с картинкой или видео внутри,был таковой?если вы нечего не скачивали и не запускали то врядле Пинч "поработал",даже если и поработал,то следов уже не найти он самоликвидируется.

    P.S. скиньте мне ссылку по которой вы перешли в PM

  4. #3
    Junior Member Репутация
    Регистрация
    04.05.2008
    Сообщений
    6
    Вес репутации
    59
    Когда зашел по ссылке там был стандартный Forbidden.
    Начитавшись про возможности пинча(многие знания пораждают печаль) стало страшно за свои пароли. Как говорится, извините за выражение, лучше перебздеть чем недобздеть.
    В сложившейся ситуации мня тревожат две вещи: То что после захода на сайт, тут же стали творится чудеса с монитором. И то, что AVZ тоже указывает на руткит в параметрах настройки монитора.
    Если уж пинч самоликвидировался, то какие мероприятия можно предпринять для того чтобы неугнали пароли?

    Добавлено через 3 минуты

    Дополню, что никаких архивов не скачивал и видео не смотрел.
    К сожалению непосмотрел сразу аутпостом кто куда ломится, а через два часа когда я все же удосужился это сделать, была тишь да гладь.
    Последний раз редактировалось Woodman; 04.05.2008 в 18:38. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Если Вы о перехватах в логе AVZ - это нормально в Вашем случае, т.к. перехватчик OutPost.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Пароли поменяли?

  7. #6
    Junior Member Репутация
    Регистрация
    04.05.2008
    Сообщений
    6
    Вес репутации
    59
    Да...это я про перехваты
    Сейчас проверил AVZ другой компьютер с похожими параметрами (WinXP SP2, Dr.Web, Outpost). Обнаружились те же самые перехватчики
    Будем надеятся, что заражения не произошло, хотя вчерашние мегания монитора меня до сих пор смущают.

    P.S. Попутно хотелось бы задать такой вопрос. Есть ли онлайн проверки сайтов на наличие вирусов? чтоб в следующий раз можно было проверять подозрительные ссылки.

    Добавлено через 1 минуту

    Пароль на аську сменил. надо еще на веб сайт тоже сменить..а то он у меня в Тотал командере хранится но этим займусь в ближайшее время. Кстати на почту он тоже пароли ворует? У меня The Bat 3.9 стоит
    Последний раз редактировалось Woodman; 04.05.2008 в 19:24. Причина: Добавлено

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от Woodman Посмотреть сообщение
    Пароль на аську сменил. надо еще на веб сайт тоже сменить..а то он у меня в Тотал командере хранится но этим займусь в ближайшее время. Кстати на почту он тоже пароли ворует? У меня The Bat 3.9 стоит
    Обычно список программ, от которых Pinch пароли берет обширен. В основном это клиенты icq(И иные для обмена мгновенными сообщениями), почтовые клиенты (TheBat,outlook и типа их), браузеры (В куках и "Жезле" оперы к примеру вкусности можно найти).
    http://www.viruslist.com/ru/find?wor...=on&kl_only=on вот тут можете почитать про программы подверженные атакам на конкретных примерах.

    P.S. Попутно хотелось бы задать такой вопрос. Есть ли онлайн проверки сайтов на наличие вирусов? чтоб в следующий раз можно было проверять подозрительные ссылки.
    Проверки есть, НО они мало эффективны. Если антивирус покажет что все ОК - это еще таковым 100% НЕ является.
    Вот например http://www.freedrweb.com/browser/

  9. #8
    Junior Member Репутация
    Регистрация
    04.05.2008
    Сообщений
    6
    Вес репутации
    59
    Большое спасибо всем за ответы! Спасибо за существование сайта virusinfo.info.
    Кажется действительно вирус не смог проникнуть в мою систему, но на всякий случай сменил пароли )

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Все верно,что поменяли пароли,сайт использьзует фишинг атаку

    Так же по ссылке есть архив с "Видеороликом" под названием "Свирепый начальник" в архиве есть файл chief.scr-это Пинч,на данный момент файл детектируется,но архив обновляют несколько раз в день.
    Последний раз редактировалось Гриша; 04.05.2008 в 21:17.

  11. #10
    Junior Member Репутация
    Регистрация
    04.05.2008
    Сообщений
    6
    Вес репутации
    59
    Хочу немного уточнить один вопрос.
    Когда я зашел на этот сайт, высветилась довольно стандартная кодовая страница 403.. типа Forbidden You don't have permission to access...и т.д. просматривал я ее от силы секунд 5 браузером Opera (думаю это немаловажно). Никаких архивов нескачивал и видео несмотрел. Возможен ли при такой ситуации загрузка вируса на мой компьютер? Я далеко не новичек в компьютерной безопасности, но иной раз начинаю верить в фантастическую проникаемость вирусов (тем более что щас развелось море технологий, всякие там ActiveX, Ajax и тому подобные)

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Сам по себе сайт ни какой угрозы не предстовляет,хоть и определяется как фишинговый,не скачивая архив и не запуская этот файл chief.scr заразиться нельзя,т.к.заражен именно этот файл,это обычная заставка,к которой джойнером приклеен Пинч,странно что вам сразу не дали прямую ссылку на архив,она немного отличается от которой вы мне прислали,там еще нужно нажать "Скачать" обычно в таких сообщениях дается линк на сайт и непосредственно на сам архив.

  13. #12
    Junior Member Репутация
    Регистрация
    04.05.2008
    Сообщений
    6
    Вес репутации
    59
    Всем участникам еще раз БОЛЬШОЕ спасибо!!!
    Тему можно закрывать

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Там про такие ссылки написано

  • Уважаемый(ая) Woodman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Pinch
      От Lamerrrrrr в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.04.2008, 21:47
    2. Pinch через спам по аське
      От minah в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.03.2008, 13:30
    3. Арестованы создатели компьютерного вируса "Pinch"
      От rubin в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 01.01.2008, 03:20
    4. Не зайти в Safe Mode. Pinch?
      От severny в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.07.2007, 19:30
    5. trojan.pws.ld pinch 508
      От bandit-007 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.02.2006, 23:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00595 seconds with 20 queries