-
Virus.DOS.Tupas.j
Мне тут [email protected] по меил-агенту упорно впаривал мега крутую бесплатную программу, принять файл, увы, не вышло, выпросила копию на электронку))
по virustotal -
Файл _____________________..Viat_32_.E получен 2008.09.12 11:56:19 (CET)
Результат: 4/36 (11.12%)
AhnLab-V3 2008.9.12.2 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.11 -
AVG 8.0.0.161 2008.09.12 -
BitDefender 7.2 2008.09.11 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
DrWeb 4.44.0.09170 2008.09.12 Win32.HLLP.Tupas.2
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6086 2008.09.12 -
Ewido 4.0 2008.09.11 -
F-Prot 4.4.4.56 2008.09.12 -
F-Secure 8.0.14332.0 2008.09.12 Virus.DOS.Tupas.j
Fortinet 3.113.0.0 2008.09.12 -
GData 19 2008.09.12 Virus.DOS.Tupas.j
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.452 2008.09.11 -
Kaspersky 7.0.0.125 2008.09.12 Virus.DOS.Tupas.j
McAfee 5382 2008.09.11 -
Microsoft 1.3903 2008.09.12 -
NOD32v2 3437 2008.09.12 -
Norman 5.80.02 2008.09.12 -
Panda 9.0.0.4 2008.09.11 -
PCTools 4.4.2.0 2008.09.11 -
Prevx1 V2 2008.09.12 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.12 -
Sunbelt 3.1.1628.1 2008.09.11 -
Symantec 10 2008.09.12 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.10 -
ViRobot 2008.9.11.1373 2008.09.11 -
VirusBuster 4.5.11.0 2008.09.11 -
Webwasher-Gateway 6.6.2 2008.09.12 -
Дополнительная информация
File size: 5601 bytes
MD5...: 76b31ed6425eef6c232de1524d5bafe1
SHA1..: 649918cf285b47e51e86d61e7be7235f0e5e0701
SHA256: 5c0f6f1d6d10d04c81af00a472773e71986daa20822a126886 08aa81544af524
SHA512: 48810f323a6fd9eee4a11fe6a48bc066d22956f692512c0611 ba69ee2d744318
8a85ad904a3235d13c9e3c6b5803c41f7ccea93f785a91a0d2 4253897deca272
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (50.0%)
DOS Executable Generic (49.9%)
PEInfo: -
packers (Kaspersky): UPX
Файл сохранён как 080912_052308_Супер прога..Viat_32__48ca430cb9757.zip
Размер файла 176
MD5 4ec7ca6549edd3329439fe7ccf2377ce
Последний раз редактировалось ScratchyClaws; 13.09.2008 в 13:54.
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Почти раритет предлагают
-
-
Сообщение от
Гриша
Почти раритет предлагают
причем что характерно - предлагает живой человек, а не бот....
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
файл не дошел, наверное из-за русских букв в названии.
-
-
попытка номер 2 -
Файл сохранён как 080912_124325_virus_48caaa3d2c9cf.zip
Размер файла 5705
MD5 22112d29a1d74bd9c9222a7c85873926
кстати файл этот получается удалить с жесткого диска только через отложенное удаление файла в avz. при выключенном антивире... включенный доктор веб тоже просто так удалить не может
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Интересная штука. Судя по отчету ThreatExpert она:
- копирует себя в системную папку;
- прописывается в реестре для автозагрузки;
- отключает автозагрузку программ;
- отключает Панель управления;
- отключает показ всех дисков в Проводнике;
- отключает пункты меню Пуск -> Выключить компьютер, Выполнить и Поиск;
- отключает контекстные меню панели задач.
-
-
Сообщение от
ScratchyClaws
включенный доктор веб тоже просто так удалить не может
Чем мотивирует свой отказ?
-
Сообщение от
borka
Чем мотивирует свой отказ?
выбираешь *удалить* а появляется окошко *запрещен доступ*
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Ребят, дайте пожалуйста прямую ссылку на карантин, куда там его наша леди замуровала, ума не приложу
-
-
Сообщение от
ScratchyClaws
выбираешь *удалить* а появляется окошко *запрещен доступ*
Хм... Мало информации. Насколько я понял, речь о спайдере. Когда он срабатывает? При каких условиях?
Рекомендую настроить дополнительную детализацию логов спайдера (нужен ключ LogPID) и показать соответствующую часть лога. Там многое будет видно.
Либо можете обратиться в Суппорт или на форум.
А самостоятельно Вы можете спокойно удалить его сканером. Сканер умеет проверять файлы, залоченные спайдером.
-
Сообщение от
Гриша
дайте пожалуйста прямую ссылку на карантин
http://upload.virusinfo.info/080912_...aaa3d2c9cf.zip
-
-
Сообщение от
borka
А самостоятельно Вы можете спокойно удалить его сканером. Сканер умеет проверять файлы, залоченные спайдером.
вот в том-то и фишка что не удаляет)) он сначала его нашел при экспресс-проверке (или как там называется проверка при самом запуске)... спросил что делать, я выбрала удалить, он написал доступ запрещен и потом показал чистый отчет о проверке однако файл, как лежал на рабочем столе, так и лежал....
я бы поэкспериментировала ещё... но безумно боюсь эту фигню случайно запустить.....
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Сообщение от
ScratchyClaws
но безумно боюсь эту фигню случайно запустить
Экспериментируй внутри песочницы. Даже если запустишь, ничего страшного не произойдёт.
-
-
Ничего интересного,типичный варвар
Первым делом после запуска копирует себя в системный каталог C:/Windows под именем [email protected]
Затем прописывает себя в автозагрузку:
[HKEY_USERS\S-1-5-21-842925246-1343024091-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Run]
"MAX@LVIR"="C:\\WINDOWS\\
[email protected]"
И затем начинается варварство во всех его проявлениях:
-отключает автозагрузку программ;
- отключает Панель управления;
- отключает показ всех дисков в Проводнике;
- отключает пункты меню Пуск -> Выключить компьютер, Выполнить и Поиск;
- отключает контекстные меню панели задач.
-отключает диспетчер задач
-полностью скрывает рабочий стол
В реестре это выглядит так:
[HKEY_USERS\S-1-5-21-842925246-1343024091-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
"DisableLocalMachineRun"=dword:00000001
"NoFileMenu"=dword:00000001
"NoControlPanel"=dword:00000001
"NoDrives"=dword:03FFFFFF
"NoViewOnDrive"=dword:03FFFFFF
"NoClose"=dword:00000001
"NoChangeStartMenu"=dword:00000001
"NoViewContextMenu"=dword:00000001
"NoRun"=dword:00000001
"NoFind"=dword:00000001
"NoDesktop"=dword:00000001
[HKEY_USERS\S-1-5-21-842925246-1343024091-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\System]
"DisableTaskMgr"=dword:00000001
"DisableRegistryTools"=dword:00000001
"NoDispCPL"=dword:00000001
Проверял после этого KIS 2009 удаляет без проблем,так же можно восстановить показ дисков,диспетчер задач,меню Пуск и прочее с помощью встроенного в KIS мастера "Анализа безопасности", но я сделал это с помощью AVZ
Кому интересно здесь лог AVZ (наш движок не дает мне прикрепить файл )
Последний раз редактировалось Гриша; 14.09.2008 в 17:48.
Причина: добавил лог...
-
-
Сообщение от
ScratchyClaws
вот в том-то и фишка что не удаляет)) он сначала его нашел при экспресс-проверке (или как там называется проверка при самом запуске)... спросил что делать, я выбрала удалить, он написал доступ запрещен и потом показал чистый отчет о проверке
однако файл, как лежал на рабочем столе, так и лежал....
Хм... Правильно ли я понял, что файл просто лежит на рабочем столе, он не запущен, и с ним никто не работает? И сканер его удалить не может? Странно... Очень хотелось бы посмотреть в логи сканера...
Буду благодарен за сэмпл.
-