Будьте бдительны! Трояны в почте!

[ScratchyClaws]

Пришло вот такое письмо -

Цитата:

От - Катюха <yiyan@hotmail.com>
Кому - XYZ <XYZ@inbox.ru>
Тема - Приветик, держи подарок)

Return-path: <yiyan@hotmail.com>
Received: from [194.186.36.214] (port=25050 helo=fex.rbc.ru)
by mx19.mail.ru with esmtp
id 1FT57L-000DS5-00
for XYZ@inbox.ru; Tue, 11 Apr 2006 02:44:19 +0400
Received-SPF: softfail (mx19.mail.ru: transitioning domain of hotmail.com does not designate
194.186.36.214 as permitted sender) client-ip=194.186.36.214; envelope-from=yiyan@hotmail.com;
helo=fex.rbc.ru;
Received: from ouo (39.107.160.210)
by fex.rbc.ru; Tue, 11 Apr 2006 02:44:19 +0400
Date: Tue, 11 Apr 2006 02:44:19 +0400
From: =?koi8-r?B?68HUwMjB?= <yiyan@hotmail.com>
X-Mailer: The Bat! (v2.01)
Reply-To: =?koi8-r?B?eG1lbg==?= <xmen@hotmail.com>
X-Priority: 4 (Low)
Message-ID: <668285591.20060117212245@hotmail.com>
To: =?koi8-r?B?YmlnZmxvd2Vy?= <XYZ@inbox.ru>
Subject: =?koi8-r?B?8NLJ18XUycssIMTF0tbJINDP?=
=?koi8-r?B?xMHSz8sp?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------A4C4CD8964"
X-Spam: Not detected

Привет, как у тебя дела? Уже соскучалась)
Захотелось тебе мультик клевый прислать, сама его сделала, он на флеш)) возможно там ты узнаешь себя) хи-хи... Пока, чмок.

Внутри вложение -
flash_mult.exe 10751 байт

А вот данные по этому вложению -

Цитата:

AntiVir 6.34.0.24 04.11.2006 TR/Dldr.Del.ake.1.B
Avast 4.6.695.0 04.03.2006 Win32:Trojano-3499
AVG 386 04.11.2006 Downloader.Generic.XFM
Avira 6.34.0.56 04.11.2006 TR/Dldr.Del.ake.1.B
BitDefender 7.2 04.11.2006 Trojan.Downloader.Ake.A
CAT-QuickHeal 8.00 04.11.2006 (Suspicious) - DNAScan
ClamAV devel-20060202 04.11.2006 Trojan.LdPinch-67
DrWeb 4.33 04.11.2006 Trojan.DownLoader.8763
eTrust-InoculateIT 23.71.126 04.11.2006 no virus found
eTrust-Vet 12.4.2158 04.11.2006 no virus found
Ewido 3.5 04.11.2006 Downloader.Delf.ajd
Fortinet 2.71.0.0 04.11.2006 suspicious
F-Prot 3.16c 04.11.2006 no virus found
Ikarus 0.2.59.0 04.11.2006 no virus found
Kaspersky 4.0.2.24 04.11.2006 Trojan-PSW.Win32.LdPinch.akv
McAfee 4738 04.11.2006 Downloader-AVH
NOD32v2 1.1482 04.11.2006 Win32/TrojanDownloader.Delf.AJD
Norman 5.90.15 04.11.2006 W32/Downloader
Panda 9.0.0.4 04.11.2006 Suspicious file
Sophos 4.04.0 04.11.2006 no virus found
Symantec 8.0 04.11.2006 no virus found
TheHacker 5.9.7.128 04.11.2006 no virus found
UNA 1.83 04.11.2006 no virus found
VBA32 3.10.5 04.11.2006 Trojan-PSW.Win32.LdPinch.akv

Цитата:

File: flash_mult.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 2e73e82614f495bf77e899567883cca8
Packers detected: FSG

Scanner results

AntiVir Found Trojan/Dldr.Del.ake.1.B
ArcaVir Found Heur.Win95
Avast Found Win32:Trojano-3499
AVG Antivirus Found nothing
BitDefender Found Trojan.Downloader.Ake.A
ClamAV Found Trojan.LdPinch-67
Dr.Web Found Trojan.DownLoader.8763
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-PSW.Win32.LdPinch.akv
NOD32 Found a variant of Win32/TrojanDownloader.Delf.AJD
Norman Virus Control Found Sandbox: W32/Downloader; [ General information ]

* File might be compressed.
* Decompressing Unk3!FSG?.
* File length: 10757 bytes.

[ Changes to filesystem ]
* Creates file csrss.exe.

[ Changes to registry ]
* Sets value "K"="K" in key "HKCU\Software\Microsoft\Windows".

[ Network services ]
* Looks for an Internet connection.
* Opens URL:http://85.249.23.36/o/4.exe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Process/window information ]
* Modifies other process memory.
* Attemps to open csrss.exe NULL.
UNA Found nothing
VirusBuster Found Trojan.PWS.LdPinch.NP1
VBA32 Found Trojan-PSW.Win32.LdPinch.akv

Вложение отправила на virus@virusinfo.info, изучайте, надеюсь это поможеть спасти чей-нибудь комп

[ScratchyClaws]

Кстати, иконка у файла почти как у флеш мультика отображается... так что выглядит оно совсем невинно... хотя на темном фоне можно заметить что нарисованна иконка кривовато...
Вот скриншот -
(Flash_mult.exe - тот самый вирус, Флэш мультик - одна из моих флешек, точно безопасная)

И ещё, ссылка (которая выделенна красным в предыдущем посте)
Проверила на сайте DrWeb -

Цитата:

Размер файла: 18286 байт
4.exe packed by MEW
В файле >4.exe обнаружен вирус Trojan.PWS.LDPinch.852

[pig]

Сразу три варианта текста:

Цитата:

Тема: Ты сегодня ко мне приедешь

Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась...
Держи архив с документом, позвоним не сегодня, пока.

Цитата:

Тема: Я тебя сегодня видела

Приветик, как у тебя дела?... Ты сегодня в интернете будешь?
Напиши мне в аську, окей? Кстати документы которые тебе нужны в архиве
тебе выслала, пока)
Ксюха

Цитата:

Тема: Привет,какие новости

Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась...
Держи архив с документом, позвоним не сегодня, пока.

Во всех трёх одно и то же - Trojan-Dropper.Win32.Agent.ami, он же Win32.HLLM.Perf

Рассылали через МТУ.

[SDA]

Такая же фигня на прошлой неделе пришла с "флэш мультиком" мне на мейловский ящик, просто предлагалось посмотреть. Решил скачать и проверить, что за трояна прислали но забыл отключить монитор Каспера и "поросячий визг" и пинч пойман. Кстати, уже постил, что на Mail.ru
есть защита Каспера, однако почему то пропускает.

Описание и лечение пинча на сайте Олега Зайцева http://z-oleg.com/secur/virlist/vir1074.php

[Melanie]

Сегодня пришло письмо:
---
Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась... Держи архив с документом, позвоним не сегодня, пока.
---
Атач - you.cab 20 kb
Проверка показала - Trojan-Dropper.Win32.Agent.ami
Причем моя Панда его не увидела!!! Проверяла онлайн Касперским.
Письмо прислано с 84.17.234.26 от "Guest" guest@bomb.net.ua
Такое зло разобрало,руки бы вывихнула блин коленками назад*)

[kps]

Вот что мне пришло на мейл.ру

Цитата:

Тема: Приветик, тебе сюрприз!
Привет! У меня супер новости! Я сделал тебе флеш мультик, с тобой в главной роли! смотри, он прикреплен к письму... правда это мой первый мульт, поэтому не суди строго.... Напиши сво мнение... Чмокс)

Прикрепленные данные: flash_mult.exe

Я только не понял, что у него с ориентацией ;-))))

[drongo]

Я тоже получил , каспер промолчал . зашёл на сайт каспера проверить , говорит что вирус . нужно переставлять каспера думаете ?
flash_mult.exe - инфицирован Trojan-PSW.Win32.LdPinch.akv
устанавки , по умолчанию . базы последние . странно

[Melanie]

guest@bomb.net.ua Задолбал уже!!!
Вот новый текст
---
Привет, я сегодня тебя жду в гости, позвони мне перед тем как ехать... Кстати, в архиве я запоковала необходимые тебе документы... Там все сам поймешь, пока. Жду!
Атач cool.cab
---
Я думаю, стоит этого гада наказать хорошенько. Есть идеи?

[PavelA]

адресами: mail собака aeroflot.ru, admin собака aeroflot.ru и другие.
В сообщении указано, что изменен пароль на почтовый ящик и предлагалось получить его из приложения.
KAV5 начинал орать, штатный Symantec Corporate 8 - молчал.

Пользователей много, некоторые испугались таких писем.

[Arkadiy]

ВОТ, ещё одна разновидность письма, только сегодня пришло)))

Цитата:

Привет! Как тво ничего? Ты мне когда работу отдашь? Я тут мультик прикольный сделала, смотри с тобой в главной роли))) Я его к письму прикрепили)) Пока, чмок!

Удивительно то что они рассылают такие письма по одному, тоесть, только на один адрес, а не на несколько сразу, как это делают всем известные спамеры.

[MOCT]

Цитата:

Сообщение от Arkadiy

ВОТ, ещё одна разновидность письма, только сегодня пришло)))

вот еще в коллекцию текстов:

Код:

Приветик, как  у  тебя  дела?... Ты  сегодня  в интернете будешь?
Напиши мне в аську, окей?  Кстати документы которые тебе нужны  в  архиве
тебе выслала, пока)
Ксюха

Код:

Привет,  шла  по улице и  видела  тебя, а ты  меня даже не  заметил... ладно  не  обиделась...
Держи архив с  документом, позвоним не сегодня, пока.

Код:

Привет, я сегодня  тебя жду в гости, позвони мне перед  тем как ехать...
Кстати,  в архиве я запоковала необходимые тебе документы... 
Там все  сам поймешь, пока. Жду!

Цитата:

Удивительно то что они рассылают такие письма по одному, тоесть, только на один адрес, а не на несколько сразу, как это делают всем известные спамеры.

так список же демаскирует все (как можно написать личное письмо списку???), да и фильтры некоторые это отслеживают.

[ScratchyClaws]

И ещё вариант -

Цитата:

ОТ - Ирка <wspirit@hotmail.com>
ТЕМА - Привет, про меня не забыл?

Привет, у меня такое чувство, что ты про меня забыл.... Я ждала-ждала тебя вчера в аське, а ты так и не пришел.... а мне так хотелось показать тебе флеш мультик, который я для тебя сделала)) сегодня обязательно выйди в сеть, кстати мультик я прикрепила к письму.. пока...

и внутри mult.exe 18066 байт...

Только по моему начинка другая уже -

Цитата:

AntiVir 6.34.0.24 04.20.2006 TR/Dldr.Del.ake.1.B
Avast 4.6.695.0 04.21.2006 no virus found
AVG 386 04.20.2006 no virus found
Avira 6.34.0.56 04.21.2006 TR/Dldr.Del.ake.1.B
BitDefender 7.2 04.21.2006 Trojan.Downloader.MR
CAT-QuickHeal 8.00 04.21.2006 (Suspicious) - DNAScan
ClamAV devel-20060202 04.21.2006 no virus found
DrWeb 4.33 04.21.2006 Trojan.DownLoader.9192
eTrust-InoculateIT 23.71.135 04.21.2006 no virus found
eTrust-Vet 12.4.2171 04.21.2006 no virus found
Ewido 3.5 04.21.2006 no virus found
Fortinet 2.71.0.0 04.21.2006 W32/Delf.ALF!tr.dldr
F-Prot 3.16c 04.19.2006 no virus found
Ikarus 0.2.59.0 04.20.2006 no virus found
Kaspersky 4.0.2.24 04.21.2006 Trojan-Downloader.Win32.Delf.alf
McAfee 4745 04.20.2006 no virus found
NOD32v2 1.1499 04.21.2006 Win32/TrojanDownloader.Delf.AJD
Norman 5.90.16 04.20.2006 W32/Downloader
Panda 9.0.0.4 04.20.2006 Suspicious file
Sophos 4.04.0 04.21.2006 no virus found
Symantec 8.0 04.21.2006 no virus found
TheHacker 5.9.7.132 04.21.2006 no virus found
UNA 1.83 04.20.2006 no virus found
VBA32 3.10.5 04.19.2006 no virus found

Цитата:

File: mult.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 9043672b3741f51d3b97923d7ba3105a
Packers detected: FSG
Scanner results
AntiVir Found Trojan/Dldr.Del.ake.1.B
ArcaVir Found Heur.Win95
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found BehavesLike:Win32.ExplorerHijack (probable variant)
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found a variant of Win32/TrojanDownloader.Delf.AJD
Norman Virus Control Found Sandbox: W32/Downloader; [ General information ]

* File might be compressed.
* Decompressing Unk3!FSG?.
* File length: 18077 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\TEMP\csrss.exe.

[ Changes to registry ]
* Sets value "K"="K" in key "HKCU\Software\Microsoft\Windows".

[ Network services ]
* Looks for an Internet connection.
* Opens URL: http://85.249.23.36/o/4.exe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Process/window information ]
* Modifies other process memory.
* Attemps to open C:\WINDOWS\TEMP\csrss.exe NULL.
UNA Found nothing
VirusBuster Found nothing
VBA32 Found nothing

[Lennna]

И мне грохнулось только что:
"Привет, у меня такое чувство, что ты про меня забыл.... Я ждала-ждала тебя вчера в аське, а ты так и не
пришел.... а мне так хотелось показать тебе флеш мультик, который я для тебя сделала)) сегодня
обязательно выйди в сеть, кстати мультик я прикрепила к письму.. пока..."
С сообщением в теме : Сообщение обезврежено

Приложенного файла уже нет...ящик на майле...Касп наверное не пропустил.

[UsAr]

вобщем этот mult.exe качает два файла
4.vexe [http://85.249.23 . 36/o/4.exe]
444.vexe [http://85.249.23 . 37/e/444.exe]
первый - это Pinch который шлет отчеты через скрипт http://85.249.23.39/nester/m.php
второй это вродебы червь, т.е. самое интересное
там были найденые какие-то странные сылки
http://85.249.23.35/m2/g.php
http://207.46.250.119/g/m.php
http://84.22.161.192/s/f.php
и email'ы
sergienko@yahoo.com
kuralev@bk.ru
и еще 2 ссылки
http://85.249.23 . 43/1.exe
http://falop5fas . com/1.exe

[UsAr]

и тексты писем

Цитата:

Привет! Давно от тебя никаких новостей не слышно что-то... Ты где
вообще пропадаешь? Я тут файл приложил, давно хотел отправить но всё
забывал. Там всё просто, откроешь сразу разберешься. Удачи!!!


Привет, в интернете появился новый вирус, высылаю тебе заплатку...
Установи пока ещё твой компьютер не заразился. Пока! Напиши мне!

Приветик, как у тебя дела? Ты сегодня в интернет зайдешь?
Напиши мне в аську, окей? Кстати, держи программку, она теперь работает!
Пользуйся, я прикрепил её к письму....
Покеда!

Привет!
Я завтра к тебе приеду, ок? Ты во сколько будешь дома?
Помнишь ты просил программу, я её прикрепила к письму, очень полезная,
пользуйся. пока.....

Привет, вот куда ты всё время пропадаешь???
Как только будешь в интернете напиши мне!!! Кстати программу которую ты
просил, я вложил в письмо.... пока!

Привет! Ты сегодня мне позвонишь????
Я уже не могу ждать! Пока думаешь посмотри програмку которую тебе
прислала, ну как? правда здорово?

[ScratchyClaws]

Цитата:

Сообщение от Lennna

Приложенного файла уже нет...ящик на майле...Касп наверное не пропустил.

Мммм... bk.ru это тоже майл... но ко мне вирус дошел в целости и сохранности

[pig]

Свежак. Добавили в базы поутру (это про Delf.alf) - всё, что упало в почту до того, осталось целым.

[Lennna]

Цитата:

Сообщение от CePguTKa

Мммм... bk.ru это тоже майл... но ко мне вирус дошел в целости и сохранности

Точно...побили не на серваке, а мой каспер грохнул..нашла запись в резервном хранилище Delf.alf и время совпало со временем получения почты.

[Sunix]

Цитата:

Сообщение от Sunix

из троянов мне периодически присылают "типа заплатки от Microsoft" на OE & IE, cumulative update for versions 4.0 and above вощем все весело и красиво, html-страничка оформлена в стиле Microsoft. если еще пришлют - сделаю скрин и сюда кину.
вправду забавно..

как обещал... от Technical Assistance тема Last Network Critical Path
прилепленый вирус DrWeb опознает как Win32.HLLM.Gibe.2
еще пришло мыло такого содержания с тем же вирем:
от ms storage system тема Failure Message
Hi.
Undeliverable to drrwtzrhwd@freemail.com
Message follows:

сам хтмл-код а-ля Микрософт лежит в этом же ехе-шнике..

с дурацким ограничением на размер закачек.... потом скрин залью

[Nikita]

А как его лечить-то!
В c:\windows есть csrss.exe, в safemode его удалил, потом в реестре убил ссылку на его запуск HKLM\Software\Microsoft\Windows
NT\CurrentVersion\ImageFileExecutionOptions\Explor er.exe, там значение csrss.exe.
После перезапуска комп подтормаживает, снова есть Message.hta и csrss.exe в c:\windows снова появился.