Показано с 1 по 16 из 16.

"Trojan.Radmin.13" по классификации Dr.WEB'а. Нужна информация.

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    33

    "Trojan.Radmin.13" по классификации Dr.WEB'а. Нужна информация.

    В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.

    В кратце известные мне действия вируса:
    все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.

    Информации по данной модификации вируса в интернете я не нашел. Посему обращаюсь за помощью в поиске информации. Буду благодарен за ссылки, рекомендации по выявлению и лечению этой "заразы".

    P.S. Если понадобиться, могу приложить файл вируса.

    Спасибо!

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Необходлимо с любого зараженного ПК выполнить все правила раздела "помогите" и создать там тему с логами, тогда можно сказать что-то определенное

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    33
    В том и проблема - как выявить зараженный ПК - их 100 с лишним. Есть один кандидат. Создам тему в разделе "Помогите". Но эта тема остается открытой - нужна информация.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    А он наверно не один зараженный, пользователь-то не один к Вам обращается. Вставляйте флешку и смотрите её, к примеру, FAR-ом. Как файл трояна появится - вот и зараженный.

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    33
    Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от h00ch Посмотреть сообщение
    Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.
    Компьютеры в домене ? Если да, то их можно обегать за 10 минут ...

  8. #7
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    33
    Компьютеры не в домене. К тому же они находятся в разных концах города.
    Нашел информацию на вирусню со схожими симптомами. Буду пробовать.

  9. #8
    Junior Member Репутация
    Регистрация
    04.06.2010
    Сообщений
    2
    Вес репутации
    24
    Цитата Сообщение от h00ch Посмотреть сообщение
    В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.

    В кратце известные мне действия вируса:
    все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.
    Столкнулся с такой же заразой. Dr.Web определяет файлы "%имя папки%.exe" как "Trojan.Radmin.13". Каспер и нод - не видят вообще.
    Причем информация с флэшек никуда не пропадает. На флэшках создается каталог с именем ".." (две точки). Там и находятся все папки со всем содержимым. Это возможно только на носителях с файловой системой FAT (обычно флэшки в нее и отформатированы). Лечить вирус пока не пробовал. А папки с содержимым можно выдернуть, используя например UFS Explorer Professional Recovery.
    Удачи..

  10. #9
    Junior Member Репутация
    Регистрация
    04.06.2010
    Сообщений
    2
    Вес репутации
    24

    Способы лечения

    Загрузится с LiveCD и полечить CureIt -ом.
    --
    ОПИСАНИЕ:
    Вирус создает на системном разделе HDD папку ".."? в которой находится файл services.exe (если ФС = FAT32). Если NTFS, то прямо в корне записывается файл ":services.exe" (в начале двоеточие). На флешках создается папка "..", в которую перекочевывают все папки вместе с содержимым. Стандартными средствами винды эти папки увидеть нельзя, равно как и файл ":services.exe". В реестре создаются 3 или 4 записи, где прописан автозапуск вышеуказанного файла.
    --
    Последний раз редактировалось AndreyKa; 04.06.2010 в 18:00. Причина: Убрал трояна

  11. #10
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    33
    Hong Спасибо за информацию.
    Кажется в "Касперский" начинают чесаться http://forum.kaspersky.com/index.php...ic=171735&st=0. Отправил *.ехе файлы ESET. Обещали скоро ответить. Dr.WEB и так их детектирует. Но официальной информации по-прежнему катастрофически мало.

    Аха! ESET, включив в "Сканирование ПК по требованию"->"Сканирование контекстного меню"->"Методы"->"Потенциально опасное ПО", ESET определяет вирус как "stara.exe - модифицированный Win32/RemoteAdmin потенциально опасная программа". Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.
    Последний раз редактировалось h00ch; 10.06.2010 в 12:04.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    Цитата Сообщение от h00ch Посмотреть сообщение
    Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.
    Добавляйте их в исключения
    Left home for a few days and look what happens...

  13. #12
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    33
    Вот что мне ответили на форуме NOD'а:
    В следующем обновлении внесут а базу как

    stara.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application
    zalio.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application

    Тоесть ловится будет только если включить в ноде(везде!) детектирование потенциально опасное ПО
    Будем ждать следующего обновления.

  14. #13
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    33
    Как вытащить папки с содержимым, которые были заменены *.ехе'шными файлами вируса? Другими словами, как попасть в эту самую папку ".." на флешке?
    Последний раз редактировалось h00ch; 21.06.2010 в 15:10.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    По короткому имени. Можно её даже переименовать во что-то более вменяемое.
    Смотрите справку по DOS-команде DIR.

  16. #15
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    36
    Вес репутации
    33
    Спасибо, попробую. А пока воспользовался программой, которую посоветовали выше UFS Explorer.

  17. #16
    Junior Member Репутация
    Регистрация
    08.09.2010
    Сообщений
    1
    Вес репутации
    23
    у меня на двух флэшках короткое имя было одинаковым
    E2E2~1
    переименовал его командой
    ren E2E2~1 WORK
    где work новая папка где будут лежать помещенные туда файлы

Похожие темы

  1. Ответов: 19
    Последнее сообщение: 14.08.2011, 15:36
  2. Ответов: 30
    Последнее сообщение: 07.06.2010, 20:08
  3. Trojan.Radmin.13 по классификации Dr.WEB'а
    От h00ch в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 01.06.2010, 09:42
  4. Ответов: 5
    Последнее сообщение: 21.05.2009, 00:15
  5. В Интернет "утекла" информация о секретной российской подлодке
    От ALEX(XX) в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 14.09.2007, 17:00

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00907 seconds with 24 queries