# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Win32.Virut.5 ( Email-Worm.Win32.Warezov.jq, Win32/Virut.10192 )

## Shu_b

Служба мониторинга вирусной активности компании «Доктор Веб» сообщает об обнаружении в сети Интернет нескольких модификаций вирусов, получивших наименования по классификации Dr.Web Win32.Virut.5 (Email-Worm.Win32.Warezov.jq, Win32/Virut.10192 по классификации других антивирусных вендоров) и Win32.Scproj.7573 (Backdoor.PcClient.SYX).

Как известно, уже в течение длительного периода происходит спам-рассылка известного «штормового червя», маскирующегося под поздравительную открытку и детектируемого антивирусом Dr.Web как Trojan.Packed.142. В течение последних трех дней Службой вирусного мониторинга компании «Доктор Веб» было зафиксировано распространение модификаций «штормового червя», инфицированных сложным полиморфным вирусом Win32.Virut.5, заражающего все исполняемые файлы и содержавшего функции управления инфицированными компьютерами с использованием IRC.

Помимо этого, зафиксировано распространение другого файлового вируса, получившего наименование Win32.Scproj.7573. Данный вирус заражает все исполняемые файлы на жёстких дисках компьютера, а также сменных дисках. Вирус, как правило, не меняет размер файла-оригинала жертвы, записываясь в области нулевых байтов. Заражение не сопровождается какими-либо визуальными эффектами, его признаками могут служить ошибки Explorer, сообщения тех или иных программ о нарушении целостности своих исполняемых файлов и.т.п. Вирус перехватывает у зараженных приложений доступ в сеть, поэтому может обходить политики безопасности межсетевых экранов для доверенных приложений. В своём теле содержит ссылки, по которым он может получить инструкции для своих дальнейших действий. Через определённое время после запуска заражённого Explorer, вирус сканирует сетевые ресурсы на наличие доступных для записи сетевых папок, и при обнаружении таковых заражает в них все исполняемые файлы. Вирус не заражает файлы в каталогах Windows, WINNT, System32, System, dllcache.

Если вы подозреваете, что ваш компьютер инфицирован Win32.Virut.5 или Win32.Scproj.7573, рекомендуется проверить компьютер бесплатной лечащей утилитой Dr.Web CureIt!, которую необходимо скачать с заведомо неинфицированного компьютера и записать на сменный носитель с возможностью последующего запрета на запись. Непосредственно перед процедурой сканирования и лечения Dr.Web CureIt! необходимо отключить инфицированные компьютеры от локальной сети и/или Интернета, отключить службу Восстановления и перезагрузить компьютеры в Безопасный режим (F8 при старте Windows) без поддержки сетевых устройств. Для найденных при сканировании инфицированных объектов следует применить действие «Лечить». 

info.drweb.com

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## vaber

Что касается Win32.Scproj.7573, то в KL его не считают вирусом:
http://forum.kaspersky.com/index.php?showtopic=45461

----------


## borka

> Что касается Win32.Scproj.7573, то в KL его не считают вирусом:
> http://forum.kaspersky.com/index.php?showtopic=45461


А его мало кто видит:
File Foxit_PDF_Editor.rar received on 08.14.2007 17:31:18 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED 

Result: 11/32 (34.38%)
Loading server information... 
Your file is queued in position: 3.
Estimated start time is between 52 and 75 seconds.
Do not close the window until scan is complete. 
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file. 
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated. 
 Compact Print results  
Your file has expired or does not exists. 
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished. 
 Email:  

Antivirus Version Last Update Result 
AhnLab-V3 2007.8.9.2 2007.08.13 - 
AntiVir 7.4.1.62 2007.08.14 BDS/PcClient.SYX.42 
Authentium 4.93.8 2007.08.13 - 
Avast 4.7.1029.0 2007.08.13 - 
AVG 7.5.0.476 2007.08.13 - 
BitDefender 7.2 2007.08.14 Backdoor.PcClient.SYX 
CAT-QuickHeal 9.00 2007.08.14 - 
ClamAV 0.91 2007.08.14 - 
DrWeb 4.33 2007.08.14 Win32.Scproj.7573 
eSafe 7.0.15.0 2007.08.10 - 
eTrust-Vet 31.1.5058 2007.08.14 - 
Ewido 4.0 2007.08.14 - 
FileAdvisor 1 2007.08.14 - 
Fortinet 2.91.0.0 2007.08.14 W32/Huhk.A 
F-Prot 4.3.2.48 2007.08.13 - 
F-Secure 6.70.13030.0 2007.08.14 - 
Ikarus T3.1.1.12 2007.08.14 Backdoor.Pcclient.SYX 
Kaspersky 4.0.2.24 2007.08.14 - 
McAfee 5097 2007.08.14 W32/Huhk.a 
Microsoft 1.2704 2007.08.14 - 
NOD32v2 2460 2007.08.14 probably unknown WIN32 virus 
Norman 5.80.02 2007.08.14 - 
Panda 9.0.0.4 2007.08.14 - 
Prevx1 V2 2007.08.14 BACKDOOR.PCCLIENT.SYX 
Rising 19.36.12.00 2007.08.14 Virus.Win32.Huhk.a 
Sophos 4.20.0 2007.08.12 - 
Sunbelt 2.2.907.0 2007.08.14 Backdoor.PcClient.SYX 
Symantec 10 2007.08.14 - 
TheHacker 6.1.8.168 2007.08.14 - 
VBA32 3.12.2.2 2007.08.13 - 
VirusBuster 4.3.26:9 2007.08.14 - 
Webwasher-Gateway 6.0.1 2007.08.14 Trojan.PcClient.SYX.42

----------


## icon

> Что касается Win32.Scproj.7573, то в KL его не считают вирусом:


Даже интересно, что будет дальше.
Наверное, через пару недель симантек заявит об обнаружении нового опасного вируса, касперский скажет о том, что это редчайший коллекционный экземпляр, а лечение будет только по просьбе пострадавших и т.п.
Где же я это видел?  :Smiley:

----------


## borka

> Где же я это видел?


Дежавю?  :Wink:

----------


## _Гость_

Dr.Web CureIt понаходил кучу зараженных .exe файлов модификацией Win32.Virut.10. Нажал "лечить", но  они оказались неизлечимы.
Видимо это какой то новый вирус.

----------


## AndreyKa

Модификация Х.Х.Х это и есть новый вирус (еще не известный). И они не лечатся по определению. Чтобы лечились надо их (хотя бы пару) отправить на адрес [email protected]
подробности тут http://support.drweb.com/sendnew/
В другие антивирусные лаборатории тоже не помешает.

----------


## XL

Пару раз зверь встречался вживую. KAV 7.0 лечить отказывался, CureIt лечил, но после такого "лечения" некоторые файлы оказывались неработоспособными... По DrWeb'у моя разновидность классифицировалась как Virut.5

----------


## borka

> Пару раз зверь встречался вживую. KAV 7.0 лечить отказывался, CureIt лечил, но после такого "лечения" некоторые файлы оказывались неработоспособными... По DrWeb'у моя разновидность классифицировалась как Virut.5


Было бы неплохо, если бы Вы такие файлы заслали бы Вирлаб Доктора ([email protected]) со своими комментариями.

----------

