# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  "AV-XP 2008" -- не желаете ли свежего трояна?

## DoSTR

Вот мне пришло писмецо:



> Добрый день.
> 
> Наша компания "AV-XP 2008" производит методы борьбы с "Компьютерными вирусами". В данное время мы осуществлям в порядке теста БЕСПЛАТНО проверку компьютеров "ON-Lain".
> Предлогаем Вам проверить свой компьютер на наличие вирусов в тесте "ON-Lain".
> Для полного ознакомления с нашей услугой, предлогаем Вам пройти по этой ссылки: 
> _Ссылка удалена_
> Спасибо за внимание.


Проверил, зверек свежий:


```
 Файл scan.exe получен 2008.09.23 11:55:36 (CET)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО
Результат: 3/36 (8.34%)
	
Антивирус 	Версия 	Обновление 	Результат
AhnLab-V3	2008.9.23.1	2008.09.23	-
AntiVir	7.8.1.34	2008.09.23	-
Authentium	5.1.0.4	2008.09.22	-
Avast	4.8.1195.0	2008.09.22	-
AVG	8.0.0.161	2008.09.22	-
BitDefender	7.2	2008.09.23	-
CAT-QuickHeal	9.50	2008.09.23	(Suspicious) - DNAScan
ClamAV	0.93.1	2008.09.23	-
DrWeb	4.44.0.09170	2008.09.23	-
eSafe	7.0.17.0	2008.09.22	Suspicious File
eTrust-Vet	31.6.6099	2008.09.22	-
Ewido	4.0	2008.09.22	-
F-Prot	4.4.4.56	2008.09.22	-
F-Secure	8.0.14332.0	2008.09.23	-
Fortinet	3.113.0.0	2008.09.23	-
GData	19	2008.09.23	-
Ikarus	T3.1.1.34.0	2008.09.23	-
K7AntiVirus	7.10.467	2008.09.22	-
Kaspersky	7.0.0.125	2008.09.23	-
McAfee	5389	2008.09.22	-
Microsoft	1.3903	2008.09.23	TrojanDropper:Win32/Nuwar.gen!D
NOD32v2	3463	2008.09.23	-
Norman	5.80.02	2008.09.19	-
Panda	9.0.0.4	2008.09.22	-
PCTools	4.4.2.0	2008.09.22	-
Prevx1	V2	2008.09.23	-
Rising	20.63.12.00	2008.09.23	-
Sophos	4.33.0	2008.09.23	-
Sunbelt	3.1.1662.1	2008.09.23	-
Symantec	10	2008.09.23	-
TheHacker	6.3.0.9.091	2008.09.23	-
TrendMicro	8.700.0.1004	2008.09.23	-
VBA32	3.12.8.5	2008.09.23	-
ViRobot	2008.9.23.1389	2008.09.23	-
VirusBuster	4.5.11.0	2008.09.22	-
Webwasher-Gateway	6.6.2	2008.09.23	-
Дополнительная информация
File size: 55808 bytes
MD5...: 13372975fae922475469edab70540a98
SHA1..: d0ded085e7b5624e33dfb79d19165bfa45254501
SHA256: a03a0aa773ab45428d74a1abba698a407d105417fdb0bdefeabdd4abd2bd2e06
SHA512: d404063e0724cbb7b3eef60582dc3475a944f795f20fa0b5b47bbfc9881ad5c8
fde10536a0bf7c792d3d8d20f34a56c108fc6c5379faa91571fc6ea3b5a0f9d4
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (35.2%)
Win32 Dynamic Link Library (generic) (31.3%)
Win16/32 Executable Delphi generic (8.5%)
Clipper DOS Executable (8.3%)
Generic Win/DOS Executable (8.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40190a
timedatestamp.....: 0x48d7572f (Mon Sep 22 08:28:31 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x10940 0x1600 5.55 52a574ba9edd5e9257034c7b3c6d82c9
.data 0x12000 0xcd3c 0xb800 8.00 938afe181b8669ca7c876a78e089ac29
.rsrc 0x1f000 0x1000 0x200 6.24 9e89d4c4b3386daed1c68c6b9ea2d13a
.idata 0x20000 0xee4 0x600 2.59 96f3e1bae3bb6bd65688febac67f777c

( 3 imports )
> kernel32.dll: DeleteVolumeMountPointW, FlushFileBuffers, MapUserPhysicalPagesScatter, QueryPerformanceCounter, FindFirstFileExA, IsBadHugeReadPtr, HeapWalk, GetCommandLineA, ExitProcess, GetStartupInfoA
> user32.dll: CharLowerW, OemKeyScan, CallMsgFilter, MonitorFromRect, DdeCreateStringHandleW
> shell32.dll: ExtractAssociatedIconExW, SHGetNewLinkInfoA, ExtractIconA, SHGetDataFromIDListW, DragAcceptFiles, Shell_NotifyIcon

( 0 exports )
```

Удаленную ссылку опубликовал в закрытом разделе:
http://virusinfo.info/showpost.php?p...postcount=1537

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sergey888

А вы уверены что это троян? А то те антивирусы которые его определили не вызывают большого доверия, тем более что бывало, что половина из представленных здесь антивирусов ругалось на совершенно безвредный файл, а тут только три из 36.

При соотношении 3/36 я обычно делаю вывод что ложное срабатывание.

----------


## light59

Подобного рода ссылки всегда вызывают недоверие. И все антивирусные компании это знают. Поэтому вряд ли они стали бы себя рекламировать таким способом
 :"http://": http://pandasecurityus.wordpress.com...gn-av-xp-2008/

----------


## DVi

ИМХО достаточно вот этой фразы, чтобы понять ценность этого "антивируса":



> "ON-Lain"


+ еще 4 грамматические ошибки в этом коротком тексте.
Вот копипаст интересной статьи об этом "антивирусе".

----------


## DoSTR

> А вы уверены что это троян?


55 Кб  и не троян?!  :Wink: 
После опубликования своего поста, я конечно же отослал в вирлаб Касперского и Dr.Web +Antivir



> Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
> Вирус: BackDoor.Darkshell.22.





> Hello.
> New malicious software was found in the attached file.
> It's detection will be included in the next update. Thank you for your help.


т.е. Касперский и DrWeb уже подтвердили мои предположения.




> При соотношении 3/36 я обычно делаю вывод что ложное срабатывание.


А я смотрю на источник получения и на конечную длину файла.

----------


## sergey888

> А я смотрю на источник получения и на конечную длину файла.


  В данном случае согласен. Но если я например скачиваю крэк или патч и мне 3 из 36 антивирусов начинают орать, при том что все орущие антивирусы малоизвестные, я склоняюсь к тому, что это ложное срабатывание. Но в данном случае вы правы, 55 Кб уже само по себе подозрительно.

----------


## Geser

> В данном случае согласен. Но если я например скачиваю крэк или патч и мне 3 из 36 антивирусов начинают орать, при том что все орущие антивирусы малоизвестные, я склоняюсь к тому, что это ложное срабатывание. Но в данном случае вы правы, 55 Кб уже само по себе подозрительно.


Креки и патчи это один из основных путей распространения заразы. И даже если один из 36 находит что-то подозрительное я бы не советовал запускать. В принципе я бы вообще их не советовал запускать никогда  :Smiley:

----------


## sergey888

> Креки и патчи это один из основных путей распространения заразы. И даже если один из 36 находит что-то подозрительное я бы не советовал запускать. В принципе я бы вообще их не советовал запускать никогда


 Могу похвастаться. Сейчас у меня не установлено не одной взломанной проги, все бесплатная альтернатива или бесплатные версии платных программ.

  Хотя вру, сам то виндовс у меня совсем не лицензионный. Но увы тут я нормальной альтернативы для себя не нахожу.

----------


## Mamont

> Удаленную ссылку опубликовал в закрытом разделе:
> http://virusinfo.info/showpost.php?p...postcount=1537


Не смог зайти в этот раздел. Дайте доступ - у меня тоже есть ссылки.

----------


## priv8v

у нас у всех есть ссылки))

----------


## valho

Вот ещё один левый онлайн-сканер, адрес вроде совсем свежий, судя по whois, для меня по крайне мере - *antivi************.com/360/1/en/_freescan.php?sid=77001101*
Очень сильно навязывает скачать прогу, ну и далее приобрести её - http://www.virustotal.com/analisis/d...fbd3e20e18660c

----------


## valho

и ещё один - *sys-******.com*

----------


## valho

http://www.virustotal.com/analisis/6...16f40fe437482e

----------


## valho

Ещё один, не первой свежести но всё ещё на плаву...
Мдя, только за один день совершенно спокойно находятся новых по 3-4 штуки, мне как обыкновенному пользователю с 15-ти летним стажем уже как обуза это всё, но всё же интерес иногда одолевает.
http://www.virustotal.com/analisis/7...c80d3a43b164e9

----------


## senyak

О, совсем свежий. Надо бы исправить  :Smiley:  
Отослал Авире и Агнитуму, глянем что ответят...

ЗЫ сайт красивый

----------


## valho

Ещё один какой то мутный антивирус, инсталятор занимает 72МБ

----------


## Damien

> Ещё один какой то мутный антивирус, инсталятор занимает 72МБ


по крайней мере о ParetoLogic Anti-Virus PLUS 
что то пишут, он продается на софткей и т.д.

----------


## valho

> по крайней мере о ParetoLogic Anti-Virus PLUS 
> что то пишут, он продается на софткей и т.д.


Ну здесь он красный - http://hosts-file.net/?s=antiviruspros.com
и пишут -



> Used for the distribution of "rogue" security or other such applications.


...Всё понятно, настоящий сайт у ParetoLogic Anti-Virus PLUS вот какой *paretologic.com/products/antivirusplus/index.aspx*
Всё просто 
- - -
Мдя, не так всё просто, на этот настоящий сайт ещё больше ругани, ну лана, мне и симантека хватает.

----------


## Rampant

Ребят, а как с этим бороться, BitDefender мочит утилитку для  отправки подозрительных файлов на VirusTotal.
http://www.virustotal.com/analisis/e...2da247b62bfd7d

----------


## valho

> Ребят, а как с этим бороться, BitDefender мочит утилитку для  отправки подозрительных файлов на VirusTotal.


У меня интернет уже второй день нормально не работает, или нужно отключить антивирус и установить vtsetup.exe и добавить папку в исключение VirusTotalUploader если он там тоже будет принимать его за вирус

----------


## Rampant

Самое интересное, я этой утилитой пользуюсь давно, Бит её начал мочить совсем недавно, и удаляет он только дистриб, установленную утилиту не трогает)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## valho

ну так и есть, они её добавили себе в базу числа 9-10 января

----------


## Rampant

Отправил к ним в лабораторию, на анализ, с CoreTemp они быстро исправили фолс.

----------


## valho

Несколько адресочков *антивируса*



> 94.247.2.75    Sysantivirus2009 com
> 78.26.179.232    Files.sysav-download com
> 94.247.2.92          Int.sysreport1 com
> 78.26.179.239    Dl.sysav-storage com
> 94.247.2.94          Int.sysreport2 com
> 64.27.18.137     Sales.buysysantivirus2009 com

----------


## Jolly Rojer

> Ребят, а как с этим бороться, BitDefender мочит утилитку для  отправки подозрительных файлов на VirusTotal.
> http://www.virustotal.com/analisis/e...2da247b62bfd7d


Собственно его нужно добавить в список исключений. Хотя наверное имеет смысл написать о ложном срабатывании в BitDefender. Уверен что они примут меры ИМХО.

----------


## valho

Если сравнивать наши сайты, где за скачивание бесплатных антивирусов или лицензии на несколько лет у нас требуют отослать смс, это всё детский лепет по сравнению с этим
avira2009.free4ail.info 
тут уже в дело идут все виды патежей

----------


## valho

Возможно после установки этой программы меняются параметры в реестре об оповещении что безопасность компьютера может быть под угрозой и ненавязчивое желание побыстрей бы её приобрести. Ну как обычно так любят делать.



> Site is associated with C-Net Media, a company known for its deceptive marketing tactics and poor control over its affiliates.
> 
> Read here for more http://www.benedelman.org/news/021408-1.html



Можно дополнительно почитать названия всякие, 634 штуки -
http://www.sunbeltsecurity.com/Categ...E489A124D24BFE
---
Походу сайт нерабочий, тока картинка осталась

----------


## Jolly Rojer

уверен % на 90 что после установки сей софта следует обратьться в раздел помогите.ИМХО!

----------


## valho

spy-wareprotector2009.com
secure.spy-wareprotector2009.com
Данные домена интересные



> Registrar: Regtime Ltd.
> Creation date: 2009-04-04
> Expiration date: 2010-04-04
> 
> Registrant:
>     Geraldevich Viktus
>     Email: [email protected]
>     Organization: Private person
>     Address: Varshavskaya nab., 12-45
> ...


И снова ничего нового

----------


## Kuzz

Лже-антивирусы и как дружно все о них написали:

Раз: http://bishop-it.ru/2009/04/fakeantivirus/
Два: http://v-martyanov.livejournal.com/4109.html
Три: http://secureblog.info/articles/455.html 
Четыре: на http://www.viruslist.com/ru/weblog?calendar=2009-04 то же что и "Три"

----------


## valho

Как говорил великий Карлсон "Спокойствие, только спокойствие" веселье только начинается, это правда тоже всё отдаёт старьём, однако сайты никто не закрывает
updatespc.com
microsoft.updatespc.com

----------


## senyak

Фаил с первого сайта: http://www.virustotal.com/ru/analisi...047be0ec6a8f2f
Это точно вирусы?

----------


## valho

> Фаил с первого сайта: http://www.virustotal.com/ru/analisi...047be0ec6a8f2f
> Это точно вирусы?


Это мошенничество, будут требовать денег за якобы найденные неполадки, про вирусы в файле это уже другой разговор, их надо там ещё поискать будет, но не беспокойтесь всему своё время  :Smiley:

----------


## senyak

Тогда почему никто не детектит этот фаил? Странно

----------


## valho

Кто нить объясните про этот сайт eharmony.com 
С ним что то не то, это точно...

----------


## valho

А вот ещё посмотрите кто английский хорошо знает criminalsearches.com
а то он сегодня -



> hpHosts
> Engaged in phishing

----------


## bolshoy kot

updatespc.com - RegFixPro может быть и обычной программой такого плана, просто платной, как например, CCleaner или Uninlue RegistryBooster 2009.

----------


## valho

Из них нормальная только CCleaner



> Folks you download, you wait a long time for a scan to complete, you click repair to find out you need to register. Now here's where the credit card info comes in to play... If you want a quick reliable PC cleaner and registry tweaker, go to www.ccleaner.com
> - it's free, it's quick and it works.


Ещё могут просить номера кредитных карт чтоб снимать с них денег каждый месяц якобы абонентская плата

*Добавлено через 22 минуты*

---
А как Вам это?

(На сам сайт заходить не стоит)

----------


## senyak

А че на самом сайте?

----------


## valho

> А че на самом сайте?


Точно не знаю, линки всякие странные, наверно при поиске делается какая нибудь подмена адресов, пару сайтов как раз есть



> Trojan.Exploit.131 is a heuristic detection for a zero-day vulnerability affecting Microsoft Animated Cursor (ANI) file parsers
> http://www.symantec.com/security_res...033008-3019-99





> HTTP Malicious Toolkit Variant Activity
> This signature detect attempts to download exploits from a malicious toolkit which may compromise a computer through various vendor vulnerabilities.
> http://www.symantec.com/business/sec...jsp?asid=23086


*Добавлено через 39 минут*

Почтовый ящик то какой  :Smiley: 



> domain:     SMICROSOFT.RU
> type:       CORPORATE
> nserver:    ns1.everydns.net.
> nserver:    ns2.everydns.net.
> state:      REGISTERED, DELEGATED
> person:     Private Person
> phone:      +7 495 5468874
> e-mail:     [email protected]
> registrar:  NAUNET-REG-RIPN
> ...


Там ещё есть один на этом же IP китайский весь с вирусами эксплойтами pdf



> Bloodhound.PDF.8 is a heuristic detection for potentially malicious PDF files that may exploit known vulnerabilities in Adobe Acrobat in order to perform further malicious actions.

----------


## valho

Пока заходил на один сайт из этой кучи, антивирус ругался 24 раза
home-a-virus-2009.com
homeavirus-2009.com
home-avirus2009.com
homeavirus2009.com
home-a-v-2009.com
homeav-2009.com
home-av2009.com
homeav2009.com
home-anti-virus-2009.com
homeanti-virus-2009.com
home-anti-virus2009.com
home-antivirus2009.com
home-anti-v2009.com
home-antiv2009.com
homeantiv2009.com
h-a-virus-2009.com
h-a-virus2009.com
ha-virus2009.com
h-avirus2009.com
havirus2009.com
h-anti-virus-2009.com
h-anti-virus2009.com
hanti-virus2009.com
h-antivirus2009.com
hantivirus2009.com
http://securityresponse.symantec.com...102718-1528-99
http://securityresponse.symantec.com...101013-3606-99

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## valho

На одном сайте предлагают посмотреть видео, предварительно нужно загрузить кодек.
После запуска кодека открывается страница ие с показывающим видео, параллельно на компьютер пользователя и вроде через какую то уязвимость в BITS ставится фальшивый антивирус, какой то windefender.
Теперь у мну два центра обеспечения безопасности  :Smiley: 
На втором фальшивом написано что windefender включен, да ещё с ошибкой, достали с попапами да ещё кнопки работают только те которые связаны с его оплатой

----------


## valho

virusinfocheck.com
 :Smiley:

----------


## ScratchyClaws

Совершенно непостижимым образом попала на страничку с подобным зверем)) (непостижимым, потому что искала в яндексе магазины торгующие одной маркой косметики)
Выскакивает вот такое окно - 

Достаточно потыкать вкладочки открытых программ в панели ПУСК, чтобы понять, что окошко security center нарисованно на самой страничке. Кстати обратите внимание, как оно выделяется на фоне *классического* оформления
Далее, если нажать *отмена*, выскакивает вот такое окно 

и далее по кругу...
при этом закрыть окошко ie или отдельную вкладку не дает... Зато процесс iexplore.exe отлично завершается через диспетчер задач.

----------


## senyak

А Доктор не ловит 
http://www.virustotal.com/ru/analisi...d2bd88a4283f16

----------


## Гриша

Так отправьте им файл, будет ловить  :Smiley:

----------


## valho

hofimove.ru
Предложение скачать за смс продукты -
Avast! Antivirus Home Edition 4.8
Антивирус Касперского 2009
Антивирус NOD32
Антивирус Dr.Web 5.0



> Получив доступ к закрытому разделу нашего сайта, вы сможете:
> Скачать любой антивирус последней версии.
> Быть уверены, что вы скачали лицензионную версию антивируса.
> Получить 100% гарантию отсутствия вирусов и троянов в скачиваемых файлах.
> Скачать полнофункциональную версию антивируса Avast!
> Скачать бесплатно Dr.Web CureIt!, Kaspersky Virus Removal Tool и NOD32 On-Demand Scanner





> Как получить доступ?
> 
> ШАГ 1. Из России отправьте SMS с текстом 55anti на номер 4460*.
>              Если SMS не отправляется, то используйте номер 5537.
> 
> ШАГ 2. Полученный в ответном SMS пароль введите в эту форму:

----------


## Jolly Rojer

Ну тут ни чего удивительного на самом деле нет... наталкивался на нечто аналогичное только скачать можно было от MS и фактически все что угодно , а антивирус по сравнению с продуктами MS уже мелочи  :Wink:  Хотя тут могут быть и вполне легальные акции и естественно смс будет стоить не 5$... во всяком случае не думаю что крупные порталы как mail или yandex бы это так легко рекламировали. Хотя как говорится и на старуху бывает проруха.

----------


## valho

Что могу сказать, что то своё сделать нормально у большинства кишка тонка на данный момент... Ведь надо трудиться...

----------


## valho

Корея, какие то два сайта.



> PC clear +plus
> Anti-Spyware Virus Technology


Авира с авг на них постоянно визжат
'TR/Malagent' [trojan]
'TR/Dldr.Angel.E [trojan]'
'HTML/Crypted.Gen' [virus]
Так и не понял что это за продукт

----------


## TANUKI

> Теперь у мну два центра обеспечения безопасности


C ума сойти  :Smiley:  Ты спецом испоганил себе систему?  :Shocked:  :Shocked:  :Shocked:

----------


## valho

Нет конечно, через песочницу, правда заметил что не всегда помогает

----------


## Vagon

*valho*
Ты наверное сначала тему не читал,поэтому скажу коротко.Авира раз ругается,тому есть причины
1. Поддельный софт,от которого толку никакого,хоть и выглядит красиво.
2. Ворует инфу и пароли.
3. При нахождении на компе того,чего в действительности нет,но просит удалить,предлагая пользователю купить.
4. Если всё же заплатили,то по всей вероятности к вам на комп посадили дополнительного вредителя.
5. Поздравляю - ваш комп превратился в Ботнет.
6. Выход из сложившейся ситуации раздел *Помогите!*,который вначале форума.
Надеюсь,я понятно разложил по полочкам,ну и на последок вам будет очень полезно почитать тут.Там много похожей инфы.

----------


## valho

> Ты наверное сначала тему не читал,


Да вроде читал. Просто немного не тот случай по сравнению с другими. Ну лана, Кореей займёмся чуть поже...

----------


## valho

antispy.ru
По моему проект давно умер

http://www.virustotal.com/analisis/5...0ec5a6409bd67e

----------


## valho

official-anti-virus.com
якобы антивирус AVG

----------


## valho

На ютубе нынче опасно лазить, можно получить в подарок фальшивый антивирус

Надо же, ещё женским голосом говорит  :Smiley: 
p.s. 19 февраля 2009 года сам сайт ютубе тоже был взломан, про это ничего так и не нашёл в прессе  :Sad:

----------


## senyak

Это нормальный сайт, или тоже из этой оперы? gsasecurity.ucoz.com/
Просто Авира кричит на него



> При доступе к данным по URL "http://gsasecurity.ucoz.com/favicon.ico"
> обнаружен вирус или вредоносная программа 'KIT/Downloader.L' [constructor].
> Выполненное действие: Доступ к файлу был заблокирован

----------


## valho

> Это нормальный сайт, или тоже из этой оперы? gsasecurity.ucoz.com/
> Просто Авира кричит на него


Кабы наиболее вероятно -
Exploit: Search Engine Hijack
Хайджекер    – особый вид эксплоита (кусочка кода, внедренного в веб-страницу и использующего    бреши в безопасности компьютера для всяких несанкционированных действий), который    изменяет значения в регистратуре таким образом, чтобы сделать вашей стартовой    страницу какого-то левого сайта. Часто – какой-нибудь поганой искалки, чуть    реже – порносайта, еще реже, но тоже возможно – странички, нафаршированной по    самые уши вирусами и троянами.
http://www.chegorian.com/chegorian/Hijack.html

Статья маленько старовата там, но пойдёт

----------


## bolshoy kot

> antispy.ru
> По моему проект давно умер
> 
> http://www.virustotal.com/analisis/5...0ec5a6409bd67e


Там просто TMAgent приклеен к программе. AdWare такой.

----------

