-
Junior Member
- Вес репутации
- 60
"Trojan.Radmin.13" по классификации Dr.WEB'а. Нужна информация.
В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.
В кратце известные мне действия вируса:
все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.
Информации по данной модификации вируса в интернете я не нашел. Посему обращаюсь за помощью в поиске информации. Буду благодарен за ссылки, рекомендации по выявлению и лечению этой "заразы".
P.S. Если понадобиться, могу приложить файл вируса.
Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Необходлимо с любого зараженного ПК выполнить все правила раздела "помогите" и создать там тему с логами, тогда можно сказать что-то определенное
-
-
Junior Member
- Вес репутации
- 60
В том и проблема - как выявить зараженный ПК - их 100 с лишним. Есть один кандидат. Создам тему в разделе "Помогите". Но эта тема остается открытой - нужна информация.
-
А он наверно не один зараженный, пользователь-то не один к Вам обращается. Вставляйте флешку и смотрите её, к примеру, FAR-ом. Как файл трояна появится - вот и зараженный.
-
-
Junior Member
- Вес репутации
- 60
Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.
-
Сообщение от
h00ch
Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.
Компьютеры в домене ? Если да, то их можно обегать за 10 минут ...
-
-
Junior Member
- Вес репутации
- 60
Компьютеры не в домене. К тому же они находятся в разных концах города.
Нашел информацию на вирусню со схожими симптомами. Буду пробовать.
-
Junior Member
- Вес репутации
- 51
Сообщение от
h00ch
В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.
В кратце известные мне действия вируса:
все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.
Столкнулся с такой же заразой. Dr.Web определяет файлы "%имя папки%.exe" как "Trojan.Radmin.13". Каспер и нод - не видят вообще.
Причем информация с флэшек никуда не пропадает. На флэшках создается каталог с именем ".." (две точки). Там и находятся все папки со всем содержимым. Это возможно только на носителях с файловой системой FAT (обычно флэшки в нее и отформатированы). Лечить вирус пока не пробовал. А папки с содержимым можно выдернуть, используя например UFS Explorer Professional Recovery.
Удачи..
-
Junior Member
- Вес репутации
- 51
Способы лечения
Загрузится с LiveCD и полечить CureIt -ом.
--
ОПИСАНИЕ:
Вирус создает на системном разделе HDD папку ".."? в которой находится файл services.exe (если ФС = FAT32). Если NTFS, то прямо в корне записывается файл ":services.exe" (в начале двоеточие). На флешках создается папка "..", в которую перекочевывают все папки вместе с содержимым. Стандартными средствами винды эти папки увидеть нельзя, равно как и файл ":services.exe". В реестре создаются 3 или 4 записи, где прописан автозапуск вышеуказанного файла.
--
Последний раз редактировалось AndreyKa; 04.06.2010 в 18:00.
Причина: Убрал трояна
-
Junior Member
- Вес репутации
- 60
Hong Спасибо за информацию.
Кажется в "Касперский" начинают чесаться http://forum.kaspersky.com/index.php...ic=171735&st=0. Отправил *.ехе файлы ESET. Обещали скоро ответить. Dr.WEB и так их детектирует. Но официальной информации по-прежнему катастрофически мало.
Аха! ESET, включив в "Сканирование ПК по требованию"->"Сканирование контекстного меню"->"Методы"->"Потенциально опасное ПО", ESET определяет вирус как "stara.exe - модифицированный Win32/RemoteAdmin потенциально опасная программа". Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.
Последний раз редактировалось h00ch; 10.06.2010 в 12:04.
-
Сообщение от
h00ch
Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.
Добавляйте их в исключения
Left home for a few days and look what happens...
-
-
Junior Member
- Вес репутации
- 60
Вот что мне ответили на форуме NOD'а:
В следующем обновлении внесут а базу как
stara.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application
zalio.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application
Тоесть ловится будет только если включить в ноде(везде!) детектирование потенциально опасное ПО
Будем ждать следующего обновления.
-
Junior Member
- Вес репутации
- 60
Как вытащить папки с содержимым, которые были заменены *.ехе'шными файлами вируса? Другими словами, как попасть в эту самую папку ".." на флешке?
Последний раз редактировалось h00ch; 21.06.2010 в 15:10.
-
По короткому имени. Можно её даже переименовать во что-то более вменяемое.
Смотрите справку по DOS-команде DIR.
-
-
Junior Member
- Вес репутации
- 60
Спасибо, попробую. А пока воспользовался программой, которую посоветовали выше UFS Explorer.
-
Junior Member
- Вес репутации
- 50
у меня на двух флэшках короткое имя было одинаковым
E2E2~1
переименовал его командой
ren E2E2~1 WORK
где work новая папка где будут лежать помещенные туда файлы