# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Новые вирусы

## Jack2

Сегодня отловил штуковину, которую не детектит ни Касперский, ни др. Вэб, ни AVZ. Если это кому-то интересно, то куда кидать???

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SuperBrat

[email protected]
или
[email protected]
в zip-архиве с паролем infected

----------


## Jack2

Отправил на оба. Подтвердите.

Спасибо.

----------


## SuperBrat

Jack2, спасибо за вклад в дело антивирусной защиты. Работники антивирусных компаний вам наверняка уже ответили. Проверьте ящик. Все подозрительные файлы можете отсылать по этим адресам.

----------


## Jack2

Собственно, связка КьюИт, КИС 6 + АВЗ в данном случае почти не помогла. Пришлось грузиться с загрузочной кампашки и чистить руками. Экзешник из архива КИС 7.0.0.119 с базами за 27 число при сканировании пропускает (эвристика на максимуме). Где можно посмотреть список бесплатных утилит типа АВЗ или поделки от Др. Вэба от других антивирусных производителей? Это обсуждалось на форуме?

----------


## Jack2

Ещё хотелось бы вступить в клуб. Что от меня требуется и может ли кто-нибудь оказать информационную поддержку? В том плане, что знаний достаточно быть не может и вопросы появятся в любом случае.

----------


## PavelA

Пиши Moderatoram просьбу о вступлении в ряды хелперов.
Сверху ссылочка http://virusinfo.info/showthread.php?t=8062
Зачислят в "стажеры", сдашь зачет и вперед работать.

----------


## PavelA

> Собственно, связка КьюИт, КИС 6 + АВЗ в данном случае почти не помогла. Пришлось грузиться с загрузочной кампашки и чистить руками. Экзешник из архива КИС 7.0.0.119 с базами за 27 число при сканировании пропускает (эвристика на максимуме). Где можно посмотреть список бесплатных утилит типа АВЗ или поделки от Др. Вэба от других антивирусных производителей? Это обсуждалось на форуме?


Раздел "Антивирусы". Там много чего есть почитать.

----------


## Jack2

*PavelA*
Понял, спасибо!
Раздел "Антивирусы" читал, надо будет внимательнее... Именно в части одноразовых бесплатных утилит от нероссийских производителей что-то не припомню...
New malicious software was found in the attached file. 
Trojan-Downloader.Win32.Small.cxx
Trojan.Win32.Pakes.ae
It's detection will be included in the next update. Thank you for your help.

Утреннее обновление КАВ уже детектит заразу, молодцы ребята, очень оперативно!

----------


## spoky

[email protected]

что за адрес ? какого ав-лаба ?

----------


## Синауридзе Александр

> [email protected]
> 
> что за адрес ? какого ав-лаба ?


Читай здесь http://virusinfo.info/showthread.php?t=5287&page=2

----------


## SuperBrat

> [email protected]
> что за адрес ? какого ав-лаба ?


Получат почти все. Вам точно будут отвечать: Symantec, ЛК, Dr.Web, Sophos, AVIRA, McAfee. Остальные вендоры по желанию и нерегулярно.

----------


## Jack2

Сегодня наткнулся на сетку, которую иначе, чем "зоопарком" не обзовешь. Домой принес двух интересных зверей, которых не ловит корпоративный Симантек 10 серии (Софос, кстати, тоже). Касперски и доктор ВЭБ справляются на "ура".

Отправил вендорам.
Если кому интересно, могу прислать.

Вот интересно, как Вы оцениваете свой труд по очистке компутеров от заразы. Сетка - 12 компов, куча шар, а значит лечить придется все. 

По моим прикидкам, гораздо дешевле будет взять денег за повторную установку систем, чем возиться с заразой.

*Добавлено через 1 минуту*
Ещё на жестком валяется такая штука

Antivirus	Version	Update	Result
AhnLab-V3	2007.7.5.0	07.04.2007	no virus found
AntiVir	7.4.0.37	07.04.2007	TR/Keygen.AP
Authentium	4.93.8	07.04.2007	no virus found
Avast	4.7.997.0	07.04.2007	no virus found
AVG	7.5.0.476	07.04.2007	no virus found
BitDefender	7.2	07.04.2007	no virus found
CAT-QuickHeal	9.00	07.04.2007	(Suspicious) - DNAScan
ClamAV	devel-20070416	07.04.2007	no virus found
DrWeb	4.33	07.04.2007	no virus found
eSafe	7.0.15.0	07.04.2007	suspicious Trojan/Worm
eTrust-Vet	30.8.3762	07.04.2007	no virus found
Ewido	4.0	07.04.2007	no virus found
FileAdvisor	1	07.04.2007	Low threat detected
Fortinet	2.91.0.0	07.03.2007	Keygen.AP!tr
F-Prot	4.3.2.48	07.04.2007	no virus found
F-Secure	6.70.13030.0	07.04.2007	W32/Suspicious_F.gen
Ikarus	T3.1.1.8	07.04.2007	no virus found
Kaspersky	4.0.2.24	07.04.2007	no virus found
McAfee	5067	07.04.2007	no virus found
Microsoft	1.2701	07.04.2007	no virus found
NOD32v2	2378	07.04.2007	no virus found
Norman	5.80.02	07.04.2007	W32/Suspicious_F.gen
Panda	9.0.0.4	07.04.2007	no virus found
Sophos	4.19.0	06.24.2007	Mal/Packer
Sunbelt	2.2.907.0	07.04.2007	VIPRE.Suspicious
Symantec	10	07.04.2007	no virus found
TheHacker	6.1.6.142	07.04.2007	no virus found
VBA32	3.12.0.2	07.03.2007	no virus found
VirusBuster	4.3.23:9	07.04.2007	
Webwasher-Gateway	6.0.1	07.04.2007	Trojan.Keygen.AP

Валяется очень давно, никто из тестируемых антивирусов ее не трогал. Антивиром сегодня задел, аж поперхнулся. Очень похоже на ложняк.

*Добавлено через 6 минут*
*SuperBrat*, а [email protected] - ящик Олега Зайцева?

*Добавлено через 10 минут*
Ещё вопрос: зачастую при удалении возникают проблемы со сносом некоторых dll, или ещё чего-то вредоносного. Я часто предпочитаю не париться со скриптами, а загрузиться с компакт-диска (вин ре), все нужное скопировать на память на флешку. Все ненужное удалить. 

Возможен ли таковой подход после анализа логов АВЗ и ХайДжек'а???

----------


## SuperBrat

> SuperBrat, а [email protected] - ящик Олега Зайцева?


Да, и в свете последних событий, дополнительный ящик ЛК.

----------


## Jack2

Понял, спасибо!

----------


## PavelA

> Ещё вопрос: зачастую при удалении возникают проблемы со сносом некоторых dll, или ещё чего-то вредоносного. Я часто предпочитаю не париться со скриптами, а загрузиться с компакт-диска (вин ре), все нужное скопировать на память на флешку. Все ненужное удалить. 
> 
> Возможен ли таковой подход после анализа логов АВЗ и ХайДжек'а???


Вариант такой возможен, но не надо забывать, что данное удаление не чистит реестр. Поэтому при загрузки реальной системы могут возникать коллизии.

*Добавлено через 2 минуты*



> Вот интересно, как Вы оцениваете свой труд по очистке компутеров от заразы. Сетка - 12 компов, куча шар, а значит лечить придется все.


Мне по работе приходилось прочищать сетку из 30 компов, да и денег было невозможно стребовать, т.к. это моя работа.

----------


## Макcим

> Вот интересно, как Вы оцениваете свой труд по очистке компутеров от заразы.


Учитывая что переустановка Windows стоит 200-300 руб, на лечении (пять минут работы) много не заработаешь  :Wink:

----------


## Jack2

*PavelA*, речь идет о "шабашке".


*Maxim*, переустановка стоит дороже, тем более, что после сноса нужно наладить работу 1С, общих папок, общих принтеров, не говоря уже о сервере терминалов.

Время тратится на сканирование, а это часы, и заниматься этим тоже придется, юзер "не могёт".  :Sad:

----------


## Макcим

> Maxim, переустановка стоит дороже, тем более, что после сноса нужно наладить работу 1С, общих папок, общих принтеров, не говоря уже о сервере терминалов.


Ну да, я не учел что это не домашний ПК. 

А почему бы тебе не записаться к нам в хелперы? Ты пройдешь такую хорошую практику, которая не написана ни в какой книжке. 

Далее, видел вопрос про адрес Олега. Ему лучше закачивать файлы через эту веб-форму. По почте многое не доходит даже в архиве с паролем.

----------


## PavelA

> Учитывая что переустановка Windows стоит 200-300 руб, на лечении (пять минут работы) много не заработаешь


В столице висят в метро объявления: "приедем, излечим от вирусов, установим программы". Первый визит и анализ - 300руб., далее в зависимости от сложности до 1500-2500руб.

Кстати, недавно человек вызвал такого мастера, отдал 1500, получил рабочую систему, но без всех документов и картинок. Подозреваю, что там была "диструктивная реклама". Очень жалею, что мне поздно об этом сообщили.

----------


## SuperBrat

> Далее, видел вопрос про адрес Олега. Ему лучше закачивать файлы через эту веб-форму. По почте многое не доходит даже в архиве с паролем.


Если посылать через почтовую программу по smtp, то ничего не дойдет. Провы (большинство) блокируют отправку запароленных архивов по smtp. Отправленное через web-интерфейс почтовой службы доходит почти 100%.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

> Если посылать через почтовую программу по smtp, то ничего не дойдет.


Большинство пользуется smtp, там что логичнее советовать загрузку через web-интерфейс на сайте Олега. Проще. IMHO.

----------


## SuperBrat

> Большинство пользуется smtp, там что логичнее советовать загрузку через web-интерфейс на сайте Олега. Проще. IMHO.


Если нет проблем с размером,



> Размер файла не должен превышать 1.5 МБ.


то логично. Не спорю.

----------


## Макcим

Истинное malware весит несколько Кб, так что хватит с головой  :Wink:

----------


## SuperBrat

Бывает что и по 3 мб файлы на флешке приносят. И уже сильно не сжимается. А вообще это вопрос из разряда "на вкус и цвет". Я на форуме lemnews.com советую оба варианта.

----------


## Kuzz

> Истинное malware весит несколько Кб, так что хватит с головой


http://www.viruslist.com/ru/viruses/...ubid=204007552
Пункт 6. 


> ...  Trojan.Win32.KillFiles.ki, функцией которого является банальное уничтожение файлов. Размер этого троянца составил 247MB.

----------


## Макcим

Твоя подпись достаточно выражает то, что я хочу ответить  :Smiley:

----------


## Jack2

*Maxim*, да хочу я записаться. Вот времени маловато... Не хочется браться за то, чем некогда будет заниматься. Хотя, может и стоит попробовать, в конце-концов, не помешаю.  :Smiley: 

*PavelA*, специалистов такого толка - валом. И их будет валом, ибо настоящие специалисты такой рекламой очень редко занимаются, у них работы хватает.

В общем, вчера воевал с ноутом, 2 dll ки никак не хотели удаляться, ни Антивиром, ни дрВэбом (хотя оба писали, что после перезагрузки все будет ОК). АВЗ отчего-то тоже их удалить не захотел - отложенное удаление. Загрузился с компашки и прибил руками. Тут как-то речь шла об avenger, кто-нибудь может подкинуть ТИПОВОЙ скрипт для удаления некоего Х файла???

*Добавлено через 7 минут*
AhnLab-V3	2007.7.14.0	2007.07.14	Win-Trojan/Adload.5080
AntiVir	7.4.0.42	2007.07.15	TR/Agent.5080
Authentium	4.93.8	2007.07.13	no virus found
Avast	4.7.997.0	2007.07.13	no virus found
AVG	7.5.0.476	2007.07.15	Downloader.Generic4.XOO
BitDefender	7.2	2007.07.15	DeepScan:Generic.Malware.dld!!.9869F3AE
CAT-QuickHeal	9.00	2007.07.14	TrojanDownloader.Adload.fu
ClamAV	devel-20070416	2007.07.15	Trojan.Downloader-10521
DrWeb	4.33	2007.07.15	no virus found
eSafe	7.0.15.0	2007.07.10	Win32.Adload.fu
eTrust-Vet	30.8.3784	2007.07.14	no virus found
Ewido	4.0	2007.07.14	Downloader.Adload.fu
FileAdvisor	1	2007.07.15	no virus found
Fortinet	2.91.0.0	2007.07.14	W32/Adload.FU!tr.dldr
F-Prot	4.3.2.48	2007.07.13	no virus found
Ikarus	T3.1.1.8	2007.07.15	Trojan-Downloader.Win32.Zlob.and
Kaspersky	4.0.2.24	2007.07.15	Trojan-Downloader.Win32.Adload.fu
McAfee	5074	2007.07.13	no virus found
Microsoft	1.2704	2007.07.15	no virus found
NOD32v2	2399	2007.07.14	no virus found
Norman	5.80.02	2007.07.13	W32/Suspicious_U.gen
Panda	9.0.0.4	2007.07.15	Generic Malware
Sophos	4.19.0	2007.07.06	Mal/Packer
Sunbelt	2.2.907.0	2007.07.14	Trojan-Downloader.Win32.Adload.fu
Symantec	10	2007.07.15	no virus found
TheHacker	6.1.6.146	2007.07.13	Trojan/Downloader.Adload.fu
VBA32	3.12.0.2	2007.07.14	Trojan-Downloader.Win32.Adload.fu

Отправил вендорам.

----------


## Макcим

> Тут как-то речь шла об avenger, кто-нибудь может подкинуть ТИПОВОЙ скрипт для удаления некоего Х файла???


Почему ни в AVZ? В AVZ проще.

----------


## Jack2

Максим, не всегда. Как показывает практика, зачастую вообще удалить можно только загрузившись с ЦД.

Только что принесли флешку, а там коллекция:
Autorun.~ex
autorun.bin
autorun.exe
AUTORUN.FCB
Autorun.ico
Autorun.ini
autorun.reg

Так понимаю, что это куски чего-то одного. Ни касперский, ни Вэб его не кушают... Если кому нужен архивчик - обращайтесь.

AhnLab-V3	2007.7.27.0	2007.07.27	-
AntiVir	7.4.0.50	2007.07.27	CC/UKMalw.LB
Authentium	4.93.8	2007.07.27	-
Avast	4.7.997.0	2007.07.27	-
AVG	7.5.0.476	2007.07.27	-
BitDefender	7.2	2007.07.27	-
CAT-QuickHeal	9.00	2007.07.26	-
ClamAV	0.91	2007.07.26	-
DrWeb	4.33	2007.07.27	-
eSafe	7.0.15.0	2007.07.24	-
eTrust-Vet	31.1.5008	2007.07.26	-
Ewido	4.0	2007.07.26	Trojan.Legmir
FileAdvisor	1	2007.07.27	-
Fortinet	2.91.0.0	2007.07.27	-
F-Prot	4.3.2.48	2007.07.27	-
F-Secure	6.70.13030.0	2007.07.27	-
Ikarus	T3.1.1.8	2007.07.27	Trojan-PWS.Legmir
Kaspersky	4.0.2.24	2007.07.27	-
McAfee	5084	2007.07.26	-
Microsoft	1.2704	2007.07.27	-
NOD32v2	2424	2007.07.26	-
Norman	5.80.02	2007.07.26	-
Panda	9.0.0.4	2007.07.27	-
Rising	19.33.41.00	2007.07.27	-
Prevx1	V2	2007.07.27	-
Sophos	4.19.0	2007.07.26	-
Sunbelt	2.2.907.0	2007.07.26	-
Symantec	10	2007.07.27	-
TheHacker	6.1.7.155	2007.07.27	-
VBA32	3.12.2.1	2007.07.24	Trojan.PWS.Legmir
VirusBuster	4.3.26:9	2007.07.27	-
Webwasher-Gateway	6.5.3	2007.07.27	Virus.UKMalw.LB

*Добавлено через 2 минуты*
Гм, а Касперского с Антивиром подружить можно???

*Добавлено через 1 минуту*
в рег файле
Windows Registry Editor Version 5.00
autorun风暴
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000

*Добавлено через 3 часа 34 минуты*
Получил ответ от Касперского. Если это ложняк, то зачем чему-то создавать скрытые экзешники весом в 25 Кб в корне флешки? Непонятно (с) Комеди.

Hello.
No malicious software was found in the attached file.
-----------------
Regards,  Namestnikov Yury
Virus Analyst, Kaspersky Lab.

Ph.: +7(095) 797-8700
E-mail: [email protected]
http://www.kaspersky.com http://www.viruslist.com

*Добавлено через 3 минуты*
Копию архива отправил Олегу Зайцеву, теперь бы узнать, что же это такое было на самом деле.  :Smiley: 

*Добавлено через 1 час 0 минут*
Только что на другой флешке принесли то же самое. На этот раз получилось сохранить все, архив отправил SuperBrat. Жду реакции.

----------


## deus_ex

Касперский прекрасно живёт с антивиром, антивир ставится после установки Касперского и только сканер.

----------


## Jack2

Да, уже поставил. Спасибо!

----------


## SuperBrat

> No malicious software was found in the attached file.


Avira уточняет:



> The file 'autorun.exe' has been determined to be 'MALWARE (NOT ANALYZABLE)'. In particular this means that this file is not working properly or not functional as a stand alone component. Nevertheless we were able to determine that it is malware. Our analysts named the threat CC/UKMalw.LB. The term "COLLCRAP/" denotes files with damaged virulent content.Detection will be added to our virus definition file (VDF) with one of the next updates.


Т.е., вольный перевод, поврежденное вредоносное содержимое не поддающееся анализу, но добавленное в базу детекта.

----------


## Jack2

Итого во втором архиве, который я тебе отправил, 12 файлов. Это все куски одного и того же зловреда?

*Добавлено через 22 минуты*
ИМХО, нужно детектить все куски. Центральным является *autorun.vbs*
AhnLab-V3	2007.7.28.0	2007.07.27	VBS/Autorun
AntiVir	7.4.0.50	2007.07.27	VBS/Small.K
Authentium	4.93.8	2007.07.27	VBS/[email protected]
Avast	4.7.997.0	2007.07.27	VBS:Small
AVG	7.5.0.476	2007.07.27	VBS/Small.A
BitDefender	7.2	2007.07.27	VBS.Small.P
CAT-QuickHeal	9.00	2007.07.26	VBS/Small.A
ClamAV	0.91	2007.07.27	VBS.Autorun
DrWeb	4.33	2007.07.27	VBS.Igidak
eSafe	7.0.15.0	2007.07.24	Virus.Win32.Small.k
eTrust-Vet	31.1.5008	2007.07.26	VBS/Aurun.A
Ewido	4.0	2007.07.27	-
FileAdvisor	1	2007.07.27	High threat detected
Fortinet	2.91.0.0	2007.07.27	VBS/Autorun.RU!tr
F-Prot	4.3.2.48	2007.07.27	VBS/[email protected]
F-Secure	6.70.13030.0	2007.07.27	VBS/[email protected]
Ikarus	T3.1.1.8	2007.07.27	Virus.VBS.Small.a
Kaspersky	4.0.2.24	2007.07.27	Virus.VBS.Small.a
McAfee	5084	2007.07.26	VBS/Generic
Microsoft	1.2704	2007.07.27	Worm:VBS/Agent.B
NOD32v2	2425	2007.07.27	VBS/Small.K
Norman	5.80.02	2007.07.27	VBS/Smallworm.NZ
Panda	9.0.0.4	2007.07.27	VBS/Autom
Rising	19.33.42.00	2007.07.27	Worm.VBS.Agent.v
Prevx1	V2	2007.07.27	Generic.Malware
Sophos	4.19.0	2007.07.26	W32/Autom-A
Sunbelt	2.2.907.0	2007.07.26	Trojan.Unclassified.gen
Symantec	10	2007.07.27	VBS.Runauto
TheHacker	6.1.7.155	2007.07.27	Trojan/Small.autorun
VBA32	3.12.2.1	2007.07.27	Virus.VBS.Small.a
VirusBuster	4.3.26:9	2007.07.27	-
Webwasher-Gateway	6.0.1	2007.07.27	Script.Small.K


По поводу поврежденного вредоноса - на второй флешке файл идентичен первому, хотя принесен совсем из другого места. По идее файл выполняет какие-то функции. К примеру AUTORUN.FCB

AhnLab-V3	2007.7.28.0	2007.07.27	-
AntiVir	7.4.0.50	2007.07.27	VBS/Small.R
Authentium	4.93.8	2007.07.27	-
Avast	4.7.997.0	2007.07.27	VBS:Small-B
AVG	7.5.0.476	2007.07.27	-
BitDefender	7.2	2007.07.27	VBS.Small.Q
CAT-QuickHeal	9.00	2007.07.26	-
ClamAV	0.91	2007.07.27	-
DrWeb	4.33	2007.07.27	VBS.Igidak
eSafe	7.0.15.0	2007.07.24	-
eTrust-Vet	31.1.5008	2007.07.26	-
Ewido	4.0	2007.07.27	-
FileAdvisor	1	2007.07.27	High threat detected
Fortinet	2.91.0.0	2007.07.27	-
F-Prot	4.3.2.48	2007.07.27	-
F-Secure	6.70.13030.0	2007.07.27	Virus.VBS.Small.a
Ikarus	T3.1.1.8	2007.07.27	Virus.VBS.Small.a
Kaspersky	4.0.2.24	2007.07.27	Virus.VBS.Small.a
McAfee	5084	2007.07.26	Generic component
Microsoft	1.2704	2007.07.27	-
NOD32v2	2425	2007.07.27	-
Norman	5.80.02	2007.07.27	BAT/Smallworm.NZ
Panda	9.0.0.4	2007.07.27	Trj/ScriptLauncher.A
Prevx1	V2	2007.07.27	Generic.Malware
Rising	19.33.42.00	2007.07.27	-
Sophos	4.19.0	2007.07.26	VBS/Autom-B
Sunbelt	2.2.907.0	2007.07.26	-
Symantec	10	2007.07.27	VBS.Runauto
TheHacker	6.1.7.155	2007.07.27	Trojan/Small.autorun
VBA32	3.12.2.1	2007.07.27	Virus.VBS.Small.a
VirusBuster	4.3.26:9	2007.07.27	-
Webwasher-Gateway	6.0.1	2007.07.27	Script.Small.R


Раскладка по Autorun.exe уже изменилась, его детектит ещё пара антивирусников.

AhnLab-V3	2007.7.28.0	2007.07.27	-
AntiVir	7.4.0.50	2007.07.27	CC/UKMalw.LB
Authentium	4.93.8	2007.07.27	-
Avast	4.7.997.0	2007.07.27	-
AVG	7.5.0.476	2007.07.27	-
BitDefender	7.2	2007.07.27	-
CAT-QuickHeal	9.00	2007.07.26	-
ClamAV	0.91	2007.07.27	-
DrWeb	4.33	2007.07.27	-
eSafe	7.0.15.0	2007.07.24	-
eTrust-Vet	31.1.5008	2007.07.26	-
Ewido	4.0	2007.07.27	Trojan.Legmir
FileAdvisor	1	2007.07.27	-
Fortinet	2.91.0.0	2007.07.27	-
F-Prot	4.3.2.48	2007.07.27	-
F-Secure	6.70.13030.0	2007.07.27	W32/Malware.dam
Ikarus	T3.1.1.8	2007.07.27	Trojan-PWS.Legmir
Kaspersky	4.0.2.24	2007.07.27	-
McAfee	5084	2007.07.26	-
Microsoft	1.2704	2007.07.27	-
NOD32v2	2425	2007.07.27	-
Norman	5.80.02	2007.07.27	W32/Malware.dam
Panda	9.0.0.4	2007.07.27	-
Rising	19.33.42.00	2007.07.27	-
Sophos	4.19.0	2007.07.26	-
Sunbelt	2.2.907.0	2007.07.26	-
Symantec	10	2007.07.27	-
TheHacker	6.1.7.155	2007.07.27	-
VBA32	3.12.2.1	2007.07.27	Trojan.PWS.Legmir
VirusBuster	4.3.26:9	2007.07.27	-
Webwasher-Gateway	6.0.1	2007.07.27	Virus.UKMalw.LB

----------


## SuperBrat

Да. Особо опасные файлы Касперский детектит: Virus.VBS.Small.a (autorun.bat, AUTORUN.FCB, autorun.vbs). Остальное: ошметки, которые может и нужны зловреду, но не очень повредят пользователю.

----------


## Jack2

Пожалуй.

*Добавлено через 55 секунд*
Но по сути остальные ложняком не являются.

----------


## Soloton

Всмотревшись в тело autorun.bat, можно увидеть, что он копирует файлы autorun.* в системную директорию и в корни всех дисков системы. Для чего так сделано не знаю, может вирусописатель так сделал от лени, хоть в связку этого вируса входит только вышеупомянутый autorun.vbs и autorun.bat

----------


## PavelA

Сделано это для того, чтобы потом вирусописателю легко восстанавливать autorun.vbs и autorun.bat при помощи операции rename.

----------


## Jack2

_В отличие от ранее обнаруженных подобных приложений, таких как Mpack, эта утилита самостоятельно выполняет заражение и распространяется без вмешательство хакера. Появление этой утилиты свидетельствует о существовании в интернете определенной бизнес-модели, основанной на разработке и продаже подобных видов вредоносных приложений

PandaLabs обнаружила новую опасную утилиту, устанавливающую вредоносное ПО с помощью эксплойтов. Эта утилита носит название Icepack и продается в интернете за 400 долларов США. Она дополняет ряд других утилит, обнаруженных PandaLabs в последнее время, таких как Mpack, XRummer, Zunker, Barracuda, Pinch и др., подтверждая успешность и выгодность бизнеса, который развивается в интернете за счет создания и продажи вредоносных приложений.

Icepack заражает компьютеры следующим образом: утилита получает доступ к определенной веб-странице, куда оно добавляет iframe-ссылку, ведущую на сервер, на котором установлено данное приложение. Основное отличие Icepack заключается в том, что такую ссылку добавляет сама утилита. Предыдущим приложениям, таким как Mpack, были необходимы действия хакера, который вручную осуществлял доступ к веб-страницам, на которые затем добавлялась ссылка.

При посещении таких искаженных страниц пользователями, активируется Icepack, которая анализирует компьютер пользователя на предмет уязвимостей. При положительном результате, она скачивает из сети эксплойт, необходимый для использования имеющейся в компьютере уязвимости. Еще один отличительный признак Icepack - это то, что она использует эксплойты, соответствующие самым последним выявленным уязвимостям. Этому есть разумное объяснение – в таком случае существует меньшая вероятность того, что пользователи уже обновили свои компьютеры для исправления новейших брешей безопасности.

После этого кибер-преступники могут загружать на зараженные компьютеры любое вредоносное ПО. Если учесть стоимость утилиты, скорее всего она будет загружать вредоносные коды, наиболее часто использующиеся для кражи конфиденциальных данных и позволяющие заниматься онлайновым мошенничеством (трояны, шпионское ПО, боты и др.).

“Данная утилита очень похожа на другие наборы для инсталляции вредоносного ПО с помощью эксплойтов, такие как Mpack, но по сравнению с Mpack создатели дополнили Icepack новыми разработками. Такая эволюция вполне логична, поскольку эти приложения приносят значительное количество прибыли, и естественно, что преступники стремятся заоевать рынок, предлагая более мощные продукты,” объясняет Луис Корронс, технический директор PandaLabs.

Другое нововведение в Icepack – это то, что она сочетает в себе программу проверки ftp и iframe. Первая помогает кибер-преступникам пользоваться информацией об учетных записях FTP, украденных с зараженных компьютеров. Данные этих учетных записей проходят через специальную программу проверки, чтобы удостовериться в их подлинности. Утилита добавляет в учетную запись iframe-ссылку, ведущую к Icepack. Повторением этого процесса приложение начинает свой “жизненный цикл” заново._
http://www.securitylab.ru/news/300408.php

----------


## Jack2

Кое чего ещё накопал:
Antivirus  	Version  	Last Update  	Result
AhnLab-V3	2007.8.3.0	2007.08.03	-
AntiVir	7.4.0.57	2007.08.03	-
Authentium	4.93.8	2007.08.03	Possibly a new variant of W32/Downloader-WebExe-based!Maximus
Avast	4.7.1029.0	2007.08.05	-
AVG	7.5.0.476	2007.08.05	Win32/Ngvck.BP
BitDefender	7.2	2007.08.05	-
CAT-QuickHeal	9.00	2007.08.04	-
ClamAV	0.91	2007.08.05	-
DrWeb	4.33	2007.08.05	-
eSafe	7.0.15.0	2007.07.31	-
eTrust-Vet	31.1.5032	2007.08.04	-
Ewido	4.0	2007.08.05	-
FileAdvisor	1	2007.08.05	-
Fortinet	2.91.0.0	2007.08.05	-
F-Prot	4.3.2.48	2007.08.03	W32/Downloader-WebExe-based!Maximus
F-Secure	6.70.13030.0	2007.08.03	-
Ikarus	T3.1.1.8	2007.08.05	-
Kaspersky	4.0.2.24	2007.08.05	-
McAfee	5090	2007.08.03	-
Microsoft	1.2704	2007.08.05	TrojanDownloader:Win32/Murlo.gen
NOD32v2	2438	2007.08.05	-
Norman	5.80.02	2007.08.03	-
Panda	9.0.0.4	2007.08.05	-
Prevx1	V2	2007.08.05	-
Rising	19.34.40.00	2007.08.03	-
Sophos	4.19.0	2007.08.01	-
Sunbelt	2.2.907.0	2007.08.04	-
Symantec	10	2007.08.05	-
TheHacker	6.1.7.162	2007.08.04	-
VBA32	3.12.2.2	2007.08.04	-
VirusBuster	4.3.26:9	2007.08.05	-
Webwasher-Gateway	6.0.1	2007.08.03	-

и ещё

Antivirus  	Version  	Last Update  	Result
AhnLab-V3	2007.8.3.0	2007.08.03	-
AntiVir	7.4.0.57	2007.08.05	TR/Crypt.XPACK.Gen
Authentium	4.93.8	2007.08.03	-
Avast	4.7.1029.0	2007.08.05	-
AVG	7.5.0.476	2007.08.05	-
BitDefender	7.2	2007.08.05	MemScan:Trojan.PWS.LdPinch.BSJ
CAT-QuickHeal	9.00	2007.08.04	(Suspicious) - DNAScan
ClamAV	0.91	2007.08.05	-
DrWeb	4.33	2007.08.05	-
eSafe	7.0.15.0	2007.07.31	Suspicious Trojan/Worm
eTrust-Vet	31.1.5032	2007.08.04	-
Ewido	4.0	2007.08.05	-
FileAdvisor	1	2007.08.05	-
Fortinet	2.91.0.0	2007.08.05	-
F-Prot	4.3.2.48	2007.08.03	-
F-Secure	6.70.13030.0	2007.08.03	Trojan-PSW.Win32.LdPinch.bjx
Ikarus	T3.1.1.8	2007.08.05	Generic.Dialer
Kaspersky	4.0.2.24	2007.08.05	Trojan-PSW.Win32.LdPinch.bjx
McAfee	5090	2007.08.03	New Malware.da
Microsoft	1.2704	2007.08.05	-
NOD32v2	2438	2007.08.05	a variant of Win32/PSW.LdPinch.NCB
Norman	5.80.02	2007.08.03	-
Panda	9.0.0.4	2007.08.05	Suspicious file
Rising	19.34.40.00	2007.08.03	-
Sophos	4.19.0	2007.08.01	Mal/Basine-C
Sunbelt	2.2.907.0	2007.08.04	VIPRE.Suspicious
Symantec	10	2007.08.05	-
TheHacker	6.1.7.162	2007.08.04	-
VBA32	3.12.2.2	2007.08.04	-
Webwasher-Gateway	6.0.1	2007.08.03	Trojan.Crypt.XPACK.Gen

Есть экзешники, которые вообще не детектятся.
Отправил вендорам.

----------


## borka

> Всмотревшись в тело autorun.bat, можно увидеть, что он копирует файлы autorun.* в системную директорию и в корни всех дисков системы. Для чего так сделано не знаю, может вирусописатель так сделал от лени, хоть в связку этого вируса входит только вышеупомянутый autorun.vbs и autorun.bat


Не совсем так. В autorun.bat есть строка 
if exist .\autorun.reg regedit /s .\autorun.reg
И файл autorun.reg, разумеется, тоже есть:
 Windows Registry Editor Version 5.00
autorun
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"
...

Кроме того, сегодня получил в лапы AUTORUN.ZIP, в котором сидит десяток файлов:
autorun    bat│     653│30.06.06│22:31
autorun    bin│     959│30.07.06│23:20
Autorun    exe│   61440│29.10.01│22:00
Autorun    ico│    2238│16.08.01│06:42
autorun    inf│     203│14.06.06│17:06
Autorun    ini│   17213│29.06.06│15:49
autorun    reg│     560│14.06.06│19:21
autorun    txt│      24│14.06.06│10:26
autorun    wsh│      72│06.07.06│19:58

Почему-то мне кажется, что Autorun.exe не имеет отношения к вирусу...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PavelA

Встречается еще autorun с китайским или вьетнамским продолжением в названии. Очень плохо удаляется просто из проводника.

----------


## Jack2

Что с форумом???
Получил ответ:
Лаборатория Касперского
sysilgp.exe_ - Trojan-Downloader.Win32.Tiny.iv

Детектирование файла будет добавлено в следующее обновление.

Др. ВЭБ
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирусы: Trojan.Proxy.1872, Trojan.PWS.LDPinch.1417, Trojan.DownLoader.29548.

Спасибо за сотрудничество.

----------


## Soloton

> Почему-то мне кажется, что Autorun.exe не имеет отношения к вирусу...


Совершенно верно, не имеет. Своё сообщение изменю и дополню:
Не autorun.bat, а autorun.vbs копирует autorun* в корни дисков и системную директорию.
Всего в связку вируса входят 4 осн. файла:
autorun.vbs -- скрипт на VBasic
autorun.bin -- зашифрованное послание потомкам от автора вируса
autorun.bat -- батник с функцией расшифровки и запуска autorun.bin после 30.06.2030г.
autorun.reg -- регистрирует автозапуск autorun.bat

----------


## Jack2

Что за послание???

----------


## Jack2

Вчера вечером отловил экзешник, который не определялся вообще ничем на вирустотале. 
Ночью отправил вендорам.
Очень правдоподобно маскируется под кусок Ворда - и иконка, и подпись в свойствах.  Сейчас Авира уже его кушает (пришло письмо, что добавили в базу). От др.Вэб пришло письмо, что этот вирус они знают. Проверил свежей cureit - зараза определяется. А на ВирТотал:

*** Файл sy.exe получен 2007.10.16 21:48:59 (CET)

Антивирус 	Версия 	Обновление 	Результат
AhnLab-V3	2007.10.13.1	2007.10.12	-
AntiVir	7.6.0.23	2007.10.16	-
Authentium	4.93.8	2007.10.16	-
Avast	4.7.1051.0	2007.10.15	-
BitDefender	7.2	2007.10.16	-
CAT-QuickHeal	9.00	2007.10.16	-
ClamAV	0.91.2	2007.10.14	-
DrWeb	4.44.0.09170	2007.10.16	-
eSafe	7.0.15.0	2007.10.15	-
eTrust-Vet	31.2.5214	2007.10.16	-
Ewido	4.0	2007.10.16	-
FileAdvisor	1	2007.10.16	-
Fortinet	3.11.0.0	2007.10.16	-
F-Secure	6.70.13030.0	2007.10.16	-
Ikarus	T3.1.1.12	2007.10.16	-
Kaspersky	7.0.0.125	2007.10.16	-
McAfee	5142	2007.10.16	-
Microsoft	1.2908	2007.10.16	-
NOD32v2	2595	2007.10.16	-
Norman	5.80.02	2007.10.16	-
Panda	9.0.0.4	2007.10.16	-
Prevx1	V2	2007.10.16	-
Rising	19.45.12.00	2007.10.16	-
Sophos	4.22.0	2007.10.16	-
Sunbelt	2.2.907.0	2007.10.13	-
TheHacker	6.2.8.093	2007.10.16	-
VBA32	3.12.2.4	2007.10.16	-
VirusBuster	4.3.26:9	2007.10.16	-
Webwasher-Gateway	6.6.1	None..	-
Дополнительная информация
File size: 25088 bytes
MD5: 45fa04619150dbb01bb01148a6258f82
SHA1: 1086b8f2cf05c8f7ca9d4396bbc12e7ff284be0e

***

Я тупой или на виртотал не обновляют базы???

----------


## Shu_b

> Я тупой или на виртотал не обновляют базы???


Вчера была какая-то проблема с ним. В русской локализации ничего не определялось, переключился на enu, всё стало определяться.

----------


## SuperBrat

Проверяйте еще и на http://www.virscan.org/

----------


## Jack2

Shu_b, спасибо! Однако, помимо этого ещё кое-какие проверял, там все показывалось отлично.
SuperBrat, тормозит он чего-то  :Smiley:  Сейчас ещё раз проверю, спасибо!

Все, теперь вижу - косяк виртотала... Спасибо за ссылку.  :Smiley:

----------


## SuperBrat

> Спасибо за ссылку.


Спасибо нажимается.  :Wink:

----------


## Jack2

Понял.  :Smiley: 

Наткнулся на файлохранилище http://letitbit.net. Файлы там качаются только Ослом и перед бесплатной скачкой в обязательном порядке предлагают:
///
+ Качайте бесплатно.  
+ Качайте без рекламы.
+ Качайте без ожидания. 
Файлы, используя нашу новую технологию 
Bit Accelerator 
Bit Accelerator позволяет увеличить скорость до 10 раз. Установите нашу программу и получите файл 
/// 
http://letitbit.net/download/0b55519...part1.rar.html

Проверил файл:

A-Squared  	3.0.0.126  	2007.10.25 	2007-10-25  	
-
	4.192
AhnLab V3 	2007.10.26.00 	2007.10.26 	2007-10-26 	
-
	1.146
AntiVir 	7.6.0.30 	7.0.0.142 	2007-10-26 	
-
	2.001
Arcavir 	1.0.4 	200710260919 	2007-10-26 	
-
	1.897
Avast 	1.0.8 	071025-1 	2007-10-25 	
Win32:Adware-gen [Adw]
	3.055
AVG 	7.5.49.442 	269.15.11/1094 	2007-10-26 	
-
	1.732
BitDefender 	7.60825.935671 	7.15504 	2007-10-27 	
Adware.BHO.WPW
	3.755
CA (VET) 	8.4.0.24 	31.2.5241 	2007-10-25 	
-
	1.000
ClamAV 	0.91.2 	4600 	2007-10-26 	
Adware.BHO-50
	1.918
Comodo 	2.11 	2.0.0.324 	2007-10-25 	
-
	1.152
Dr.Web 	4.33 	2007.10.26 	2007-10-26 	
Adware.BitAcc
	5.303
Ewido 	4.0.0.2 	2007.10.25 	2007-10-25 	
-
	2.253
F-Prot 	4.4.0.50 	20071026 	2007-10-26 	
-
	1.327
F-Secure 	5.51.6100 	2007.10.25.05 	2007-10-25 	
-
	3.342
Fortinet 	2.81-3.11 	8.284 	2007-10-25 	
-
	0.470
Ikarus 	T3.1.1.12 	2007.10.25.69718 	2007-10-25 	
Virus.Win32.AdWare
	1.462
JiangMin 	10.00.650 	2007.10.25 	2007-10-25 	
-
	1.227
Kaspersky 	5.5.10 	2007.10.25 	2007-10-25 	
not-a-virus:AdWare.Win32.BHO.ic
	4.599
KingSoft 	2007.6.20.249 	2007.10.26 	2007-10-26 	
-
	0.923
McAfee 	5.2.00 	5149 	2007-10-25 	
-
	0.970
mks_vir 	2.01 	2007.10.26 	2007-10-26 	
-
	2.290
NOD32 	2.70.10 	2619 	2007-10-26 	
-
	0.431
Norman 	5.91.08 	5.90 	2007-10-26 	
-
	7.023
nProtect 	2007-10-25.00 	1009851 	2007-10-25 	
-
	15.288
Panda 	9.04.03.0001 	2007.10.25 	2007-10-25 	
Adware/BHO.L        
	4.784
Prevx 	V2 	20071026 	2007-10-26 	
TROJAN.DOWNLOADER.GEN
	11.269
Quick Heal 	9.00 	2007.10.25 	2007-10-25 	
-
	3.001
Rising 	19.0 	19.46.31.00 	2007-10-25 	
-
	1.953
Sophos 	2.49.1 	4.21 	2007-10-27 	
-
	6.008
Symantec 	1.3.0.24 	20071025.021 	2007-10-25 	
-
	5.314
The Hacker 	6.2.9 	v00107 	2007-10-24 	
-
	0.747
Trend Micro 	8.500-1001 	4.796.05 	2007-10-26 	
-
	0.044
VBA32 	3.12.2.4 	20071026.0542 	2007-10-26 	
-
	1.056
ViRobot 	20071026 	2007.10.26 	2007-10-26 	
-
	0.537
VirusBuster 	4.3.19:9 	9.113.1/11.0 	2007-10-26 	
-
	1.405


ТО есть вполне возможно впаривание совершенно бесплатной адвари, может и ещё чего-то. 

Вопрос: что делать с подобными сайтами? Отправлять ли файл с ускорителем интернета вендорам? Может что-то особенное нужно писать в теле письма или в теме?

----------


## AndreyKa

Наличие Adware в бесплатном ПО дело обычное. Если функционал этого ПО превосходит неприятые свойства Adware, то им даже можно пользоваться.  :Smiley: 
Файл можно отправить тем вендорам, которые его не знают.

----------


## Jack2

ПО весит 300 Кб, сомневаюсь, что функционал оного идет выше показа рекламы. И сильно сомневаюсь, что ПО реально ускоряет интернет до 10 раз  :Smiley: ))

Отправил вендорам.

----------


## TANUKI

Такое "ПО" (именно в кавычках!) следует отправлять вендорам. Сейчас по инету ходит програмулина по типу пирамиды с переводом вэб-мани (hxxp://mlm-projects.ucoz.ru/forum/4-21-1). Хоть ничего зловредного она не делает, но некоторые вендоры, типа ЛК, считают ее рекламной и нежелательной, о чем предупреждают пользователя:

_Антивирусными продуктами "Лаборатории Касперского" приложение Financial Reality классифицируется как программа-мистификация Hoax.Win32.Webmoner.bd. Сигнатура угрозы Hoax.Win32.Webmoner.bd была добавлена в антивирусные базы компании в сентябре этого года, сигнатура Hoax.Win32.Webmoner.t - первой версии программы - еще в июне, несмотря на жалобы ее распространителей. Программы поведения Hoax не обладают вредоносным функционалом и предназначены для введения пользователей в заблуждение (например, при помощи ложных обещаний или запугивания несуществующими угрозами)._. 

Считаю, что такие предупреждения важны!

----------


## Jack2

Согласен. В данном случае под видом с "совершенно бесплатного и безвредного ускорителя интернета" мне впаривают совершенно платный за мой траффик показ рекламы. Ещё можно было бы понять, если бы на сайте так и было написано: ставь примочку, смотри рекламу и качай сколько влезет.

А сам адрес сайта куда-нибудь отослать можно? Есть же компании, которые собирают список нежелательных сайтов...

----------


## AndreyKa

> А сам адрес сайта куда-нибудь отослать можно? Есть же компании, которые собирают список нежелательных сайтов...


Есть такие. Например, Site Advisor. Он про данный сайт уже знает и не считает его вредным.
http://www.siteadvisor.com/sites/letitbit.net

----------


## drongo

> Есть такие. Например, Site Advisor. Он про данный сайт уже знает и не считает его вредным.
> http://www.siteadvisor.com/sites/letitbit.net


Ну так, а кто мешает голосовать? Я вот зарегился и проголосовал за adaware , присоединяетесь  :Wink:

----------


## Jack2

Меня там регистрировать не хотят...  :Sad: ((

----------


## TANUKI

Ну эту программу можно встретить по всему интернету на сайтах тематики МЛМ, так что всех не забанишь  :Sad:

----------


## Jack2

+1
Авира

The file 'BitAccelerator.exe' has been determined to be 'MALWARE'. Our analysts named the threat DR/BHO.IC.14. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection is added to our virus definition file (VDF) starting with version 7.00.00.143.

----------


## Макcим

> Есть такие. Например, Site Advisor. Он про данный сайт уже знает и не считает его вредным.
> http://www.siteadvisor.com/sites/letitbit.net


Аболютно бесполезный ресурс. Сегодня сайт чист - завтра уже хакнут - после завтра снова чист...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Jack2

Народ, а кто-нибудь посещает www.fishki.net ??? Я периодически заглядываю и уже больше недели как Авира секьюрити сьют ругается (причем на русском):
***
Доступ к файлу был запрещен
Предупреждение: в данных (HTTP) был обнаружен вирус или вредоносная программа.

Запрошенный URL: 	www.fishki.net/
Информация: 	Contains detection pattern of the HTML script virus HTML/IFrame.169858
***

В то же время работающий параллельно Симантэк Эндпоинт Протекшн молчит как партизан и ни на что не ругается.

----------


## SuperBrat

Проверил главную страницу fishki.net:



> VirSCAN.org Scanned Report :
> Scanned time   : 2007/11/11 21:55:22 (ALMT)
> Scanner results: 3% Scanner(1/36) found malware!
> File Name      : index.html
> File Size      : 175962 byte
> File Type      : Non-ISO extended-ASCII C++ program text, with very long line
> MD5            : 503452c2d825f3a388164a6bf631aaee
> SHA1           : 3b696e1f05dadbafc6223c9382d5e2537aea2f0d
> Online report  : http://virscan.org/report/ef3e77e752...4dc1a1f34.html
> ...





> Файл index.html получен 2007.11.11 16:55:50 (CET)
> Антивирус	Версия	Обновление	Результат
> *AntiVir	7.6.0.34	2007.11.09	HTML/IFrame.169858
> Webwasher-Gateway	6.0.1	2007.11.11	Script.IFrame.169858*
> 
> Дополнительная информация
> File size: 175962 bytes
> MD5: 503452c2d825f3a388164a6bf631aaee
> SHA1: 3b696e1f05dadbafc6223c9382d5e2537aea2f0d

----------


## Jack2

Лажает авира в общем...

----------

