Показано с 1 по 12 из 12.

Snatch.exe (IM-Worm.Win32.QiMiral.ax): описание и лечение

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838

    Snatch.exe (IM-Worm.Win32.QiMiral.ax): описание и лечение

    16-17 августа 2010 года наблюдается активное распространение нового червя для Интернет-пейджеров.

    Официальное наименование:

    IM-Worm.Win32.QiMiral.ax (Лаборатория Касперского)
    DeepScan:Generic.Malware.FPPkTkg.7388E5A8 (BitDefender)

    Самоназвание:

    За вредоносной программой закрепилось неофициальное название "Snatch" - по имени ее основного файла.

    Как можно заразиться?

    Вредоносная программа распространяется через Интернет-пейджер ICQ. Потенциальной жертве приходит сообщение с предложением скачать исполняемый файл snatch.exe, который якобы является развлекательным приложением (мини-игрой и т.п.) и запустить его. Как только файл запущен, начинается вредоносная активность.

    Что происходит при заражении?

    При запуске основной файл snatch.exe (размер - 938496 байт) захватывает контроль над учетной записью ICQ пользователя и начинает рассылать сообщения с предложением загрузить свою копию по всему списку контактов жертвы. Вредоносная программа способна поддерживать несложный разговор с собеседником, реагируя на определенные слова; к примеру, если пользователь присылает ответное сообщение со словами "вирус" или "троян", то робот отвечает письмом наподобие "ну что ты ? как можно ?" или "да нет, глянь", а при ошибках загрузки вредоносная программа советует включить в ICQ-клиенте сервис передачи файлов.

    Что делать?

    Если вы запустили присланный вам файл snatch.exe или подобный ему (в будущем злоумышленники могут изменить имя распространяемого файла) и заразились, то вам необходимо:

    1. Уничтожить собственно вредоносную программу. Для этого достаточно провести сканирование вашего компьютера с помощью антивирусной утилиты AVPTool (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ ), либо, если вы опытный пользователь, завершить вредоносный процесс в Диспетчере задач и удалить собственно тело вируса (тот самый файл, загруженный через ICQ).

    2. Срочно сменить пароль к вашей учетной записи ICQ.

    Также мы рекомендуем вам пройти диагностику в лечебном сервисе Антивирусного портала VirusInfo, чтобы убедиться, что удаление вредоносной программы прошло успешно и на компьютере нет сопутствующих инфекций.

    Напоминаем о правилах безопасности

    Помните, что вредоносная программа может довольно убедительно имитировать живого пользователя. Если ваш собеседник ведет себя необычным для него образом и настойчиво предлагает загрузить и запустить некий файл, свяжитесь с ним по каким-либо другим каналам и убедитесь, что это действительно он, а не робот, - или хотя бы проверяйте присланные вам файлы в онлайн-сканере VirusTotal, если у вас нет времени на выяснение всех обстоятельств.

    Источник: Антивирусный портал VirusInfo
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    17.08.2010
    Сообщений
    8
    Вес репутации
    50
    похищаются пароли, сохраненные самим клиентом на локальной машине и через уже подключенную аську добываются с сервера аськи?

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    12
    Вес репутации
    57
    На данный момент какие антивирусы ловят этого червя ( кроме касперского и битдефендера)?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от sasha2 Посмотреть сообщение
    На данный момент какие антивирусы ловят этого червя ( кроме касперского и битдефендера)?
    http://www.virustotal.com/file-scan/...88c-1281980107
    http://club-symantec.ru/forum.php

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    383
    Цитата Сообщение от SDA Посмотреть сообщение
    http://www.virustotal.com/file-scan/...88c-1281980107
    как бы неактуальный, т.к. вчерашний детект

    Цитата Сообщение от NickM Посмотреть сообщение
    может ftp вместо http? а ошибка из-за того что по ссылке тянется версия setup_9.0.0.722_17.08.2010_19-47.exe, которой в папке AVPTool нету,
    ага, вижу в html прописана более поздняя версия которой нет, сейчас это уже setup_9.0.0.722_17.08.2010_21-47.exe..
    а почему индекс.хтмл генерится независимо от содержимого каталога?
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  7. #6
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    22.02.2009
    Сообщений
    66
    Вес репутации
    59
    Последние данные: http://www.virustotal.com/file-scan/...88c-1282048397

    ловят 21 антивирусный продукт.

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2010
    Сообщений
    8
    Вес репутации
    50
    КТО-НИБУДЬ ОТВЕТИТ, ПРОФЕССИОНАЛЫ, КООРДИНАТОРЫ ТЕМЫ?
    или все оффтопиками про уже утилиту довольствоваться?

    похищаются пароли, сохраненные самим клиентом на локальной машине или через уже подключенную аську добываются с сервера аськи?
    Последний раз редактировалось Niko2; 18.08.2010 в 00:16.

  9. #8
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    22.02.2009
    Сообщений
    66
    Вес репутации
    59
    chap, у меня такая же проблема, решил с помощью Download master'a просто кинул ему ссылку и все, он закачал.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Karlson
    Регистрация
    06.12.2007
    Адрес
    Химки.
    Сообщений
    555
    Вес репутации
    174
    Цитата Сообщение от Niko2 Посмотреть сообщение
    КТО-НИБУДЬ ОТВЕТИТ, ПРОФЕССИОНАЛЫ, КООРДИНАТОРЫ ТЕМЫ?
    или все оффтопиками про уже утилиту довольствоваться?

    похищаются пароли, сохраненные самим клиентом на локальной машине или через уже подключенную аську добываются с сервера аськи?
    у меня у двоих знакомых после этой заразы с паролем ничего не случилось. не знаю ушел ли он на сторону, но во всяком случае не поменялся.
    Dis is one half.
    Press any key to continue...

  11. #10
    Junior Member Репутация
    Регистрация
    17.08.2010
    Сообщений
    8
    Вес репутации
    50
    > но во всяком случае не поменялся.

    просто пока и вручную его поменять нельзя - ни через веб-интерфейс, ни через клиент.

    где вирусные аналитики? что делает программа - как она получает пароль?
    если клиент во время заражения был запущен и флажок "сохранять пароль" не стоит (и никогда не стоял) - может ли вирус как-то получить пароль в этом случае (может он в кэше клиента или уже как-то связь с серваком налажена, что можно сразу поменять / может он его отправляет в Сеть (конечно злоумышленникам))?
    какие у него алгоритмы? вы же тестили его и молчите... а народ всё офтопиком об утилите беседует... а тут эпидемия и никто ничего не знает...
    знатоки, пролейте свет на вопросы!
    Последний раз редактировалось Niko2; 18.08.2010 в 02:38.

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.06.2010
    Адрес
    Московская область
    Сообщений
    68
    Вес репутации
    104
    Изучил Snatch.exe
    Прога написана на Borland Delphi, представляет собой простейший ICQ-клиент, умеет весело беседовать.
    Для собственной беседы тырит пароли, похоже знает как работать через прокси.
    Список асек которые знает:
    QIP Infium
    QIP 2010
    IM ICQ
    причем зараза знает только стандартные пути их установки, однако через TaskKill валит их в процессах
    Адрес, куда сливает инфу выловить не удалось если она вообще их сливает
    Цепляется к ICQ серверу по адресу 64.12.201.185, если его уронить на время, то прога кажись накроется, хотя и вроде

    как знает что такое login.icq.com

    Реагирует на слова в сообщении и их части:
    слово или часть:
    троян
    трой
    вирь
    вирус
    Ответ:
    нет, что ты? как можно?! )
    нет, глянь )))

    слово или часть:
    чито
    що
    шо
    че
    чё
    чо
    что
    Ответ:
    ну мини игра типа )
    глянь ))

    слово или часть:
    не могу
    ринимает
    Ответ:
    включи в настройках передачу файлов )

    слово или часть:
    ахуя
    ачем
    Ответ:
    а зачем рыбе велосипед? )

    слово или часть:
    Бот
    бот
    Ответ:
    эээ… сам ты бот =\

    слово или часть:
    Сейчас
    сейчас
    Теперь
    теперь
    Пробуй
    Ану
    ану
    Передай
    передай
    Передавай
    передавай
    Кидай
    кидай
    Кинь
    кинь
    Опять
    опять
    Снова
    снова
    Еще
    еще
    Ответ:
    file

    слово или часть:
    спам
    Ответ:
    где это видано чтоб спаммеры файлы слали? это я шлю!

    И также знает:
    привет!
    здра
    хай
    здар
    прев
    прив
    Не будите во мне зверя,он и так не высыпается:)

  13. #12
    Junior Member Репутация
    Регистрация
    17.08.2010
    Сообщений
    8
    Вес репутации
    50
    Wesley Sneijder,
    >Для собственной беседы тырит пароли

    как он это делает?

    например, если клиент во время заражения был запущен и флажок "сохранять пароль" не стоит (и никогда не стоял) - может ли вирус как-то получить пароль в этом случае (может он в кэше клиента или уже как-то связь с серваком налажена, что можно сразу поменять / может он его отправляет в Сеть)?

Похожие темы

  1. Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение
    От NickGolovko в разделе Вредоносные программы
    Ответов: 52
    Последнее сообщение: 13.06.2010, 07:19
  2. Get Accelerator (Trojan-Ransom.Win32.Agent.gc): описание и лечение
    От NickGolovko в разделе Вредоносные программы
    Ответов: 55
    Последнее сообщение: 06.12.2009, 22:40
  3. Описание вирусов: Email-Worm.Win32.Rays
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 9
    Последнее сообщение: 25.09.2007, 19:39
  4. Описание вирусов: Email-Worm.Win32.Bagle.fy - червь с руткитом
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 8
    Последнее сообщение: 07.09.2006, 20:29
  5. Описание вирусов: Net-Worm.Win32.Padobot.z с встроенным руткитом
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 06.08.2005, 15:52

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00770 seconds with 19 queries