-
Junior Member
- Вес репутации
- 63
Trojan.DownLoader.18885. помогите победить
Trojan.DownLoader.18885 (Dr.Web 4.33.2.9262)
Почему пишу тут?
Потому, что выловил его в своей сети. Откуда взялся не могу понять.
На сайте www.securitylab.ru искал про него информацию,
ничего не нашел кроме этой -> http://www.securitylab.ru/virus/264365.php
""22 марта, 2006
Троянская программа. Является приложением Windows (PE EXE-файл).
Написана на языке C++. Упакована UPX. Размер зараженного файла —
23552 байта. Размер распакованного файла — 56832 байта.
Программе соответствует прозрачный значок, вследствие чего её
трудно заметить в некоторых файловых менеджерах.
Данная версия троянца полностью идентична варианту Trojan.Win32.Lipgame.a.
Единственным отличием является только то, что вместо проверки на наличие
в системе объекта с именем %Program Files%\CoolspotD\ialer Control производится
проверка на наличие объекта с именем %Program Files%\Coolspot\Dialer Control.""
но не уверен что это то самое.
...и тут на форуме ничего конкретного не нашел... (может плохо искал, но до боли в глазах)
Вобщем записывается два файла (прикреплены) в открытые для общего полного доступа по сети папки.
причем не важно скрытый это ресурс или открытый (т.е. у меня на компе создано два общих сетевых
ресурса "cc$" и "Public". Соответственно первый в сетевом окружении не виден в отличие от второго)
В тоже время в стандартные сетевые ресурсы (такие как "c$" "d$" "Admin$" и т.д.) вроде не пишется.
Достоверной возможности проверить это небыло, поскольку все стандартные ресурсы отключены.
Вопрос такого рода. как с этим зверем бороться? Откуда растут корни? И какие последсвия могут быть?
К специалистам:
упаковал этого зверя в архивчик. лежит тут (простите за рапиду, больше некуда залить...) если нужно, могу залить его на Е-мэйл, или еще куда...
Содержание архива .rar:
ReadMe.txt = 1 528 байт
autorun.inf = 43 байт (переименован *.#nf)
setup.exe = 23 552 байт (переименован *.#xe)
Пароль на архив: пишите в личку скажу
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вам, похоже, в раздел "Помогите!"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
PavelA
Вам, похоже, в раздел "Помогите!"
согласен, но я думаю не стоит дублировать сообщение и там?
если что Администрация может переместить тему туда...
простите если ни туда написал...
Но очень нужна помощь в борьбе с этой заразой...
-
Сообщение от
V@lik
Но очень нужна помощь в борьбе с этой заразой...
Так выполните правила ( http://virusinfo.info/showthread.php?t=1235 ) обращения, переместим ;-)
-
-
Junior Member
- Вес репутации
- 63
Trojan.DownLoader.18885. помогите победить
Продублировал свое сообщение
тут. уже по правилам.
Trojan.DownLoader.18885 (Dr.Web 4.33.2.9262)
Выловил его в своей сети. Откуда взялся не могу понять.
На сайте www.securitylab.ru искал про него информацию,
ничего не нашел кроме этой -> http://www.securitylab.ru/virus/264365.php
""22 марта, 2006
Троянская программа. Является приложением Windows (PE EXE-файл).
Написана на языке C++. Упакована UPX. Размер зараженного файла —
23552 байта. Размер распакованного файла — 56832 байта.
Программе соответствует прозрачный значок, вследствие чего её
трудно заметить в некоторых файловых менеджерах.
Данная версия троянца полностью идентична варианту Trojan.Win32.Lipgame.a.
Единственным отличием является только то, что вместо проверки на наличие
в системе объекта с именем %Program Files%\CoolspotD\ialer Control производится
проверка на наличие объекта с именем %Program Files%\Coolspot\Dialer Control.""
но не уверен что это то самое.
...и тут на форуме ничего конкретного не нашел... (может плохо искал, но до боли в глазах)
Вобщем записывается два файла (прикреплены) в открытые для общего полного доступа по сети папки.
причем не важно скрытый это ресурс или открытый (т.е. у меня на компе создано два общих сетевых
ресурса "cc$" и "Public". Соответственно первый в сетевом окружении не виден в отличие от второго)
В тоже время в стандартные сетевые ресурсы (такие как "c$" "d$" "Admin$" и т.д.) вроде не пишется.
Достоверной возможности проверить это небыло, поскольку все стандартные ресурсы отключены.
Вопрос такого рода. как с этим зверем бороться? Откуда растут корни? И какие последсвия могут быть?
К специалистам:
упаковал этого зверя в архивчик Trojan.DownLoader.18885.rar и запаролил от греха подальше....
Содержание архива .rar:
ReadMe.txt = 1 528 байт
autorun.inf = 43 байт (переименован *.#nf)
setup.exe = 23 552 байт (переименован *.#xe)
Вот логи.VirusInfo_logs.rar = 57 996 байт
Лог DrWeb.drweb32w.log = 1 786 байт
Последний раз редактировалось Shu_b; 09.03.2007 в 19:49.
-
Для загрузки вредного и подозрительного существует специальная форма загрузки, всё описано в правилах.
-
-
Однако у вас много неизвестных . Начнём пожалуй с тех которые в карантине AVZ плюс те, которые должны попасть туда послe исполнения скрипта :
Код:
begin
QuarantineFile('C:\WINDOWS\Downloaded Program Files\Urdu98.dll','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\PDMSIN~1.DLL','');
QuarantineFile('C:\WINDOWS\wc98pp.dll','');
QuarantineFile('C:\WINDOWS\system32\vistaui.exe','');
end.
Пришлите по 3 пункту правил .
-
-
Junior Member
- Вес репутации
- 63
заметил еще одну особенность.
в те расшаренные ресурсы положил по два файла нулевого размера с атрибутами "ReadOnly". теперь уже в оригинале вирус не записывается туда...
сейчас по правилам сканирую комп с жаражаемыми ресурсами (тот на котором и положил нулевые файлы). позже вышлю все логи...
предыдушие логи были с моего компа. на нем все ресурсы закрыты, и установлен FTP-Server для доступа к информации.
и далее., объясните пожалуйста, как мне по правилам добавить файлы самого вируса в карантин, если я их удалил... не заражать же мне поновой этот комп вирусом, дабы добавить его в карантин по правилам!!! разве не так?
Они у меня как раз лежат в отдельном архиве который я выкладывал тут. но администрация форума удалила прикрепление с ним из соображения безопасности наверняка... и я с этим согласен.
буду очень благодарен, если найдется такой (другой) вариант передать Вам вредоносный продукт творения рук человека...
-
К теме можно прикреплять только логи.
Компьютер свой не надо заражать. Присылайте то, что есть.
Файлы вирусов/подозрительных файлов нужно загружать через форму:
http://virusinfo.info/upload_virus.php?tid=8314
-
-
Ну если очень хочется : Запакуйте вирус в zip архив стандартным паролем virus и по ссылке http://virusinfo.info/upload_virus.php?tid=8314
а также те файлы которые просил ранее по правилам .Если всё выполните верно, авз сам их запакует в зип
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
drongo
Однако у вас много неизвестных . Начнём пожалуй с тех которые в карантине AVZ плюс те, которые должны попасть туда послe исполнения скрипта :
Код:
begin
QuarantineFile('C:\WINDOWS\Downloaded Program Files\Urdu98.dll','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\PDMSIN~1.DLL','');
QuarantineFile('C:\WINDOWS\wc98pp.dll','');
QuarantineFile('C:\WINDOWS\system32\vistaui.exe','');
end.
Пришлите по 3 пункту правил .
по скрипту отослал. (Quarantine-2007-03-09.zip) по форме
дальше отослал файл карантина с заражаемого компа (quarantine_Zu.zip) тоже по форме
а вот с него логи. Zu.zip
сам вирус также отправил по форме (Trojan.DownLoader.18885.zip)
все сделал по правилам... (пароли, архиваторы и т.д.)
-
Junior Member
- Вес репутации
- 63
Доброго времени суток всем!!!
неужели ни кто не может мне помочь победить этот вирус?
-
Сообщение от
V@lik
Доброго времени суток всем!!!
неужели ни кто не может мне помочь победить этот вирус?
Что вы имеете ввиду?
Это троян его нужно просто удалить.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
AndreyKa
Что вы имеете ввиду?
Это троян его нужно просто удалить.
так просто удаление проблемы не решает.
обЪясню еще раз...
у меня в сети 33 компа (домашняя сеть)
и этот троян постоянно лезет в шары открытые для полного доступа.
мне нужно выяснить откуда он приходит...
вернее я знаю что есть зараженный комп в сети, и он его рассылает по ней. как мне найти этот зараженный комп? и как писал ранее
"заметил еще одну особенность.
в те расшаренные ресурсы положил по два файла нулевого размера с атрибутами "ReadOnly". теперь уже в оригинале вирус не записывается туда..."
но таким образом я решил проблему появления трояна на одном компе, но это не полноценное решение проблемы. не так ли? держать на компе лишние нулевые файлы не интересно...
-
Установите Outpost на тот компьютер, куда записывается троян.
Когда запишется, посмотрите в Журнеле Outpost-а историю NetBIOS, какой компьютер подключался во время создания файла трояна.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
AndreyKa
Установите Outpost на тот компьютер, куда записывается троян.
Когда запишется, посмотрите в Журнеле Outpost-а историю NetBIOS, какой компьютер подключался во время создания файла трояна.
спасибо. попробую. позже отпишу...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- \\trojan.downloader.18885\\setup.exe - Trojan-Proxy.Win32.Horst.xc (DrWEB: Trojan.DownLoader.18885)
-