Показано с 1 по 16 из 16.

"Trojan.Radmin.13" по классификации Dr.WEB'а. Нужна информация.

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    34

    "Trojan.Radmin.13" по классификации Dr.WEB'а. Нужна информация.

    В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.

    В кратце известные мне действия вируса:
    все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.

    Информации по данной модификации вируса в интернете я не нашел. Посему обращаюсь за помощью в поиске информации. Буду благодарен за ссылки, рекомендации по выявлению и лечению этой "заразы".

    P.S. Если понадобиться, могу приложить файл вируса.

    Спасибо!

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,180
    Вес репутации
    3381
    Необходлимо с любого зараженного ПК выполнить все правила раздела "помогите" и создать там тему с логами, тогда можно сказать что-то определенное

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    34
    В том и проблема - как выявить зараженный ПК - их 100 с лишним. Есть один кандидат. Создам тему в разделе "Помогите". Но эта тема остается открытой - нужна информация.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    737
    А он наверно не один зараженный, пользователь-то не один к Вам обращается. Вставляйте флешку и смотрите её, к примеру, FAR-ом. Как файл трояна появится - вот и зараженный.

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    34
    Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,180
    Вес репутации
    3381
    Цитата Сообщение от h00ch Посмотреть сообщение
    Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.
    Компьютеры в домене ? Если да, то их можно обегать за 10 минут ...

  8. #7
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    34
    Компьютеры не в домене. К тому же они находятся в разных концах города.
    Нашел информацию на вирусню со схожими симптомами. Буду пробовать.

  9. #8
    Junior Member Репутация
    Регистрация
    04.06.2010
    Сообщений
    2
    Вес репутации
    25
    Цитата Сообщение от h00ch Посмотреть сообщение
    В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.

    В кратце известные мне действия вируса:
    все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.
    Столкнулся с такой же заразой. Dr.Web определяет файлы "%имя папки%.exe" как "Trojan.Radmin.13". Каспер и нод - не видят вообще.
    Причем информация с флэшек никуда не пропадает. На флэшках создается каталог с именем ".." (две точки). Там и находятся все папки со всем содержимым. Это возможно только на носителях с файловой системой FAT (обычно флэшки в нее и отформатированы). Лечить вирус пока не пробовал. А папки с содержимым можно выдернуть, используя например UFS Explorer Professional Recovery.
    Удачи..

  10. #9
    Junior Member Репутация
    Регистрация
    04.06.2010
    Сообщений
    2
    Вес репутации
    25

    Способы лечения

    Загрузится с LiveCD и полечить CureIt -ом.
    --
    ОПИСАНИЕ:
    Вирус создает на системном разделе HDD папку ".."? в которой находится файл services.exe (если ФС = FAT32). Если NTFS, то прямо в корне записывается файл ":services.exe" (в начале двоеточие). На флешках создается папка "..", в которую перекочевывают все папки вместе с содержимым. Стандартными средствами винды эти папки увидеть нельзя, равно как и файл ":services.exe". В реестре создаются 3 или 4 записи, где прописан автозапуск вышеуказанного файла.
    --
    Последний раз редактировалось AndreyKa; 04.06.2010 в 18:00. Причина: Убрал трояна

  11. #10
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    34
    Hong Спасибо за информацию.
    Кажется в "Касперский" начинают чесаться http://forum.kaspersky.com/index.php...ic=171735&st=0. Отправил *.ехе файлы ESET. Обещали скоро ответить. Dr.WEB и так их детектирует. Но официальной информации по-прежнему катастрофически мало.

    Аха! ESET, включив в "Сканирование ПК по требованию"->"Сканирование контекстного меню"->"Методы"->"Потенциально опасное ПО", ESET определяет вирус как "stara.exe - модифицированный Win32/RemoteAdmin потенциально опасная программа". Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.
    Последний раз редактировалось h00ch; 10.06.2010 в 12:04.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3705
    Цитата Сообщение от h00ch Посмотреть сообщение
    Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.
    Добавляйте их в исключения
    Left home for a few days and look what happens...

  13. #12
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    34
    Вот что мне ответили на форуме NOD'а:
    В следующем обновлении внесут а базу как

    stara.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application
    zalio.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application

    Тоесть ловится будет только если включить в ноде(везде!) детектирование потенциально опасное ПО
    Будем ждать следующего обновления.

  14. #13
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    34
    Как вытащить папки с содержимым, которые были заменены *.ехе'шными файлами вируса? Другими словами, как попасть в эту самую папку ".." на флешке?
    Последний раз редактировалось h00ch; 21.06.2010 в 15:10.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1289
    По короткому имени. Можно её даже переименовать во что-то более вменяемое.
    Смотрите справку по DOS-команде DIR.

  16. #15
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    34
    Спасибо, попробую. А пока воспользовался программой, которую посоветовали выше UFS Explorer.

  17. #16
    Junior Member Репутация
    Регистрация
    08.09.2010
    Сообщений
    1
    Вес репутации
    24
    у меня на двух флэшках короткое имя было одинаковым
    E2E2~1
    переименовал его командой
    ren E2E2~1 WORK
    где work новая папка где будут лежать помещенные туда файлы

Похожие темы

  1. Ответов: 19
    Последнее сообщение: 14.08.2011, 15:36
  2. Ответов: 30
    Последнее сообщение: 07.06.2010, 20:08
  3. Trojan.Radmin.13 по классификации Dr.WEB'а
    От h00ch в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 01.06.2010, 09:42
  4. Ответов: 5
    Последнее сообщение: 21.05.2009, 00:15
  5. В Интернет "утекла" информация о секретной российской подлодке
    От ALEX(XX) в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 14.09.2007, 17:00

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00871 seconds with 24 queries