# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Будьте бдительны! Трояны в почте!

## ScratchyClaws

Пришло вот такое письмо - 




> От - Катюха <[email protected]>
> Кому - XYZ <[email protected]>
> Тема - Приветик, держи подарок)
> 
> Return-path: <[email protected]>
> Received: from [194.186.36.214] (port=25050 helo=fex.rbc.ru)
>         by mx19.mail.ru with esmtp 
>         id 1FT57L-000DS5-00
>         for [email protected]; Tue, 11 Apr 2006 02:44:19 +0400
> ...


Внутри вложение - 
flash_mult.exe 10751 байт

А вот данные по этому вложению - 




> *AntiVir	6.34.0.24	04.11.2006	TR/Dldr.Del.ake.1.B
> Avast	4.6.695.0	04.03.2006	Win32:Trojano-3499
> AVG	386	04.11.2006	Downloader.Generic.XFM
> Avira	6.34.0.56	04.11.2006	TR/Dldr.Del.ake.1.B
> BitDefender	7.2	04.11.2006	Trojan.Downloader.Ake.A
> CAT-QuickHeal	8.00	04.11.2006	(Suspicious) - DNAScan
> ClamAV	devel-20060202	04.11.2006	Trojan.LdPinch-67
> DrWeb	4.33	04.11.2006	Trojan.DownLoader.8763*
> eTrust-InoculateIT	23.71.126	04.11.2006	no virus found
> ...





> File:  	 flash_mult.exe
> Status: 	INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
> MD5 	2e73e82614f495bf77e899567883cca8
> Packers detected: 	FSG
> 
> Scanner results
> 
> *AntiVir 	Found Trojan/Dldr.Del.ake.1.B
> ArcaVir 	Found Heur.Win95
> ...


Вложение отправила на [email protected], изучайте, надеюсь это поможеть спасти чей-нибудь комп

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ScratchyClaws

Кстати, иконка у файла почти как у флеш мультика отображается... так что выглядит оно совсем невинно... хотя на темном фоне можно заметить что нарисованна иконка кривовато...
Вот скриншот - 
(Flash_mult.exe - тот самый вирус, Флэш мультик - одна из моих флешек, точно безопасная)

И ещё, ссылка (которая выделенна красным в предыдущем посте)
Проверила на сайте DrWeb - 




> Размер файла: 18286 байт
> 4.exe packed by MEW
> В файле >4.exe обнаружен вирус Trojan.PWS.LDPinch.852

----------


## pig

Сразу три варианта текста:



> Тема: Ты сегодня ко мне приедешь 
> 
> Привет, шла по улице и видела  тебя, а  ты меня  даже не заметил...  ладно не обиделась...
> Держи архив с документом, позвоним не  сегодня,  пока.





> Тема: Я тебя сегодня видела
> 
> Приветик, как у тебя  дела?... Ты сегодня в  интернете будешь?
> Напиши мне в аську, окей?  Кстати  документы которые тебе нужны в  архиве
> тебе  выслала, пока)
> Ксюха





> Тема: Привет,какие новости 
> 
> Привет, шла по улице и  видела тебя, а ты  меня даже не  заметил... ладно не обиделась...
> Держи архив с документом, позвоним не  сегодня, пока.


Во всех трёх одно и то же - Trojan-Dropper.Win32.Agent.ami, он же Win32.HLLM.Perf

Рассылали через МТУ.

----------


## SDA

Такая же фигня на прошлой неделе пришла с "флэш мультиком"  мне на мейловский ящик, просто предлагалось посмотреть. Решил скачать и проверить, что за трояна прислали но забыл отключить монитор Каспера и "поросячий визг" и пинч пойман. Кстати,  уже постил, что на Mail.ru
есть защита Каспера, однако почему то пропускает.

Описание и лечение пинча на сайте Олега Зайцева http://z-oleg.com/secur/virlist/vir1074.php

----------


## Melanie

Сегодня пришло письмо:
---
Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась... Держи архив с документом, позвоним не сегодня, пока. 
---
Атач - you.cab 20 kb
Проверка показала - Trojan-Dropper.Win32.Agent.ami
Причем моя Панда его не увидела!!! Проверяла онлайн Касперским.
Письмо прислано с 84.17.234.26 от "Guest" [email protected]
Такое зло разобрало,руки бы вывихнула блин коленками назад*)

----------


## kps

Вот что мне пришло на мейл.ру



> Тема: Приветик, тебе сюрприз!  
> Привет! У меня супер новости! Я сделал тебе флеш мультик, с тобой в главной роли! смотри, он прикреплен к письму... правда это мой первый мульт, поэтому не суди строго....  Напиши сво мнение... Чмокс)
> 
> Прикрепленные данные: flash_mult.exe


Я только не понял, что у него с ориентацией ;-))))

----------


## drongo

Я тоже получил , каспер промолчал . зашёл на сайт каспера проверить , говорит что вирус . нужно переставлять каспера думаете ?
flash_mult.exe - инфицирован Trojan-PSW.Win32.LdPinch.akv 
устанавки ,  по умолчанию . базы последние . странно  :Sad:

----------


## Melanie

[email protected] Задолбал уже!!!
Вот новый текст
---
Привет, я сегодня тебя жду в гости, позвони мне перед тем как ехать... Кстати, в архиве я запоковала необходимые тебе документы... Там все сам поймешь, пока. Жду! 
Атач cool.cab 
---
Я думаю, стоит этого гада наказать хорошенько. Есть идеи?

----------


## PavelA

адресами: mail собака aeroflot.ru, admin собака aeroflot.ru и другие.
В сообщении указано, что изменен пароль на почтовый ящик и предлагалось получить его из приложения.
KAV5 начинал орать, штатный Symantec Corporate 8 - молчал. :Angry:  

Пользователей много, некоторые испугались таких писем. :Embarassed:

----------


## Arkadiy

ВОТ, ещё одна разновидность письма, только сегодня пришло)))



> Привет!  Как тво ничего?  Ты мне когда работу отдашь? Я тут мультик прикольный сделала, смотри с тобой в главной роли))) Я его к письму прикрепили)) Пока, чмок!


Удивительно то что они рассылают такие письма по одному, тоесть, только на один адрес, а не на несколько сразу, как это делают всем известные спамеры.

----------


## MOCT

> ВОТ, ещё одна разновидность письма, только сегодня пришло)))


вот еще в коллекцию текстов:


```
Приветик, как  у  тебя  дела?... Ты  сегодня  в интернете будешь?
Напиши мне в аську, окей?  Кстати документы которые тебе нужны  в  архиве
тебе выслала, пока)
Ксюха
```



```
Привет,  шла  по улице и  видела  тебя, а ты  меня даже не  заметил... ладно  не  обиделась...
Держи архив с  документом, позвоним не сегодня, пока.
```



```
Привет, я сегодня  тебя жду в гости, позвони мне перед  тем как ехать...
Кстати,  в архиве я запоковала необходимые тебе документы... 
Там все  сам поймешь, пока. Жду!
```




> Удивительно то что они рассылают такие письма по одному, тоесть, только на один адрес, а не на несколько сразу, как это делают всем известные спамеры.


так список же демаскирует все (как можно написать личное письмо списку???), да и фильтры некоторые это отслеживают.

----------


## ScratchyClaws

И ещё вариант - 




> ОТ - Ирка <[email protected]>
> ТЕМА - Привет, про меня не забыл?
> 
> Привет, у меня такое чувство, что ты про меня забыл.... Я ждала-ждала тебя вчера в аське, а ты так и не пришел.... а мне так хотелось показать тебе флеш мультик, который я для тебя сделала)) сегодня обязательно выйди в сеть, кстати мультик я прикрепила к письму.. пока...


и внутри mult.exe 18066 байт...

Только по моему начинка другая уже - 



> *AntiVir	6.34.0.24	04.20.2006	TR/Dldr.Del.ake.1.B*
> Avast	4.6.695.0	04.21.2006	no virus found
> AVG	386	04.20.2006	no virus found
> *Avira	6.34.0.56	04.21.2006	TR/Dldr.Del.ake.1.B
> BitDefender	7.2	04.21.2006	Trojan.Downloader.MR
> CAT-QuickHeal	8.00	04.21.2006	(Suspicious) - DNAScan*
> ClamAV	devel-20060202	04.21.2006	no virus found
> *DrWeb	4.33	04.21.2006	Trojan.DownLoader.9192*
> eTrust-InoculateIT	23.71.135	04.21.2006	no virus found
> ...


 


> File:  	 mult.exe
> Status: 	INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
> MD5 	9043672b3741f51d3b97923d7ba3105a
> Packers detected: 	FSG
> Scanner results
> *AntiVir 	Found Trojan/Dldr.Del.ake.1.B
> ArcaVir 	Found Heur.Win95*
> Avast 	Found nothing
> AVG Antivirus 	Found nothing
> ...

----------


## Lennna

И мне грохнулось только что:
"Привет, у меня такое чувство, что ты про меня забыл.... Я ждала-ждала тебя  вчера в аське, а ты так и не
пришел.... а мне так хотелось показать тебе флеш  мультик, который я для тебя сделала)) сегодня
обязательно выйди в сеть, кстати  мультик я прикрепила к письму.. пока..."
С сообщением в теме : Сообщение обезврежено

Приложенного файла уже нет...ящик на майле...Касп наверное не пропустил.

----------


## UsAr

вобщем этот mult.exe качает два файла
4.vexe [http://85.249.23 . 36/o/4.exe]
444.vexe [http://85.249.23 . 37/e/444.exe] 
первый - это Pinch который шлет отчеты через скрипт http://85.249.23.39/nester/m.php
второй это вродебы червь, т.е. самое интересное  :Smiley: 
там были найденые какие-то странные сылки
http://85.249.23.35/m2/g.php
http://207.46.250.119/g/m.php
http://84.22.161.192/s/f.php
и email'ы
[email protected]
[email protected]
и еще 2 ссылки
http://85.249.23 . 43/1.exe
http://falop5fas . com/1.exe

----------


## UsAr

и тексты писем



> Привет! Давно от тебя никаких новостей не слышно что-то... Ты где
> вообще пропадаешь? Я тут файл приложил, давно хотел отправить но всё
> забывал. Там всё просто, откроешь сразу разберешься. Удачи!!!
> 
> 
> Привет, в интернете появился новый вирус, высылаю тебе заплатку...
> Установи пока ещё  твой компьютер не заразился. Пока! Напиши мне!
> 
> Приветик, как у тебя дела? Ты сегодня в интернет зайдешь?
> ...

----------


## ScratchyClaws

> Приложенного файла уже нет...ящик на майле...Касп наверное не пропустил.


Мммм... bk.ru это тоже майл... но ко мне вирус дошел в целости и сохранности  :Cry:

----------


## pig

Свежак. Добавили в базы поутру (это про Delf.alf) - всё, что упало в почту до того, осталось целым.

----------


## Lennna

> Мммм... bk.ru это тоже майл... но ко мне вирус дошел в целости и сохранности


Точно...побили не на серваке, а мой каспер грохнул..нашла запись в резервном хранилище Delf.alf и время совпало со временем получения почты.

----------


## Sunix

> из троянов мне периодически присылают "типа заплатки от Microsoft" на OE & IE, cumulative update for versions 4.0 and above  вощем все весело и красиво, html-страничка оформлена в стиле Microsoft. если еще пришлют - сделаю скрин и сюда кину.
> вправду забавно..


как обещал...  :Smiley:  от Technical Assistance тема Last Network Critical Path
прилепленый вирус DrWeb опознает как Win32.HLLM.Gibe.2
еще пришло мыло такого содержания с тем же вирем:
от ms storage system тема Failure Message
Hi. 
Undeliverable to *[email protected]*
Message follows:

сам хтмл-код а-ля Микрософт лежит в этом же ехе-шнике..

с дурацким ограничением на размер закачек.... потом скрин залью

----------


## Nikita

А как его лечить-то!
В c:\windows есть csrss.exe, в safemode его удалил, потом в реестре убил ссылку на его запуск HKLM\Software\Microsoft\Windows 
NT\CurrentVersion\ImageFileExecutionOptions\Explor  er.exe, там значение csrss.exe.
После перезапуска комп подтормаживает, снова есть Message.hta и csrss.exe в c:\windows снова появился.

----------


## pig

В "Помогите" подобных тем уже с десяток. Если не разберётесь - http://helpme.virusinfo.info/.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kondrat

> 84.17.234.26 - провайдер ReCom, город Орёл.


Имя Хоста для IP
84.17.234.26
Наименование Сети
ReCom
Владелец Сети
JSC ReCom ISP
Дипаозон Адресов
84.17.234.0 - 84.17.234.255
Администратор Сети
Alexander A. Avdeyev
Расположение Сети
27a Oktiabrskaya str
Контактные Данные
+7 4862 497941, +7 4862 497994, [email protected]

----------


## RiC

Ещё "халява" -



> -----------------------------------------------------------------
> From: Masitam <[email protected]>
> Subj: Re: Позвони мне!
> -----------------
> Привет! Я завтра к тебе приеду, ок? Ты во сколько будешь дома? Помнишь ты просил программу, я её прикрепила к письму, очень полезная, пользуйся. пока.....
> -----------------------------------------------------------------


Во вложении Win32.HLLM.Perf в виде файла с расширением *.hta*

----------


## coddy boy

Рассказ о том, какой вирус я словил и как с ним боролся.

Во-первых, приходит письмо от автора Ирка ( посмотрел в Инете, еще встречается На-ташка и т.п. это не важно).
Тема письма       "Привет, когда НАПИШИШЬ?"

Текст письма такой:
Привет!  Как тво ничего?  Ты мне когда работу отдашь? Я тут мультик прикольный сделала, смотри с тобой в главной роли))) Я его к письму прикрепили)) Пока, чмок!

Посмотрел на текст, понял, что пришла "черная метка", т.е. вирус.

К письму было вложение под названием mult.exe размером 18К.

Я смекнул и сразу понял, что никакой мультик не может быть 18К. Просидел минут 20, подумал и решил, да и хрен с ним, ведь есть Каспер, он спасет. Скачал этот mult.exe к себе в машину, проверил его Каспером, тот, естественно, ничего не нашел. Тогда я запустил этот mult.exe. Ничего не случилось.

Через некоторое время заметил, что Инет работает медленно да и весь керогаз что-то стал тормозной. При этом Каспер начал орать, что в системе червь (какой-то E-mail.Worm, что- то такое). Ну, я сказал Касперу удалять всех червей. После удаления червя система на-чала просить инсталляционный CD с WindowsXP Service Pack2. Это повторилось несколько раз. Я решил сделать перезагрузку. И СОВЕРШИЛ СТРАШНУЮ ОШИБКУ!!! 

После перезагрузки WinXP загружался медленно, грузил пустой рабочий стол и оста-навливался. Попытки подобраться через защищенный режим результата не дали. Выходил на черный экран и все. Правда, обратил внимание на то, что как в защищенном режиме, так и при обычной загрузке нажатие Ctrl+Alt+Del давало результат - появлялся диспетчер задач. Но по началу я это дело проигнорировал. А ЗРЯ!

Вдоволь повошкавшись с разными способами загрузки, полез с соседней машины в Инет. Нашёл много разного мата по поводу этой дряни, но дельных советов не было. Лишь в одном месте была наколка на то, что этот вирус создает файл csrss.exe в папке Windows. 
(ОБРАЩАЮ ВНИМАНИЕ, файл с ТАКИМ ЖЕ ИМЕНЕМ, НО В ПАПКЕ  Windows\System32 ЕСТЬ ВСЕГДА и НУЖЕН для НОРМАЛЬНОЙ работы WinXP)

Так вот, решение было таково. Запускаешь WinXP, получаешь пустой рабочий стол без TaskManager'a. Давишь Ctrl+Alt+Del и запускаешь диспетчер задач. В панели "Диспетчер задач" нажимаешь кнопку "Новая задача" (внизу панели). При этом появляется поле для за-пуска задачи. В этом поле набрать regedit и нажать ввод. Пройти по ветке 
"H_KEY_LOCAL_MASHINE\Software\Microsoft\Window  s NT\Currentversion\Image File Exe-cution Optoins".
Найти раздел "explorer", а в нем параметр Debug с значением  С:\windows\csrss.exe
Удалить этот параметр и перезагрузиться.  Все заработало!!!! УРА!!!! 
После этого запустил Каспера и удалил файлы, зараженные червями.
Вот теперь все!  Уффф! Можно выпить пинту пива....
P.S. Я полагаю, что заражение компьютера возможно лишь в том случае, когда запуск файла mult.exe производится с компьютера, находящегося в ONLine в Инете. Если компьютер в OffLine, то mult.exe, по моему простому разумению, не сможет активировать загружаемую из Инета вирусную часть и ничего не произойдет.
								М.Л.

----------


## MedvedD

мдя.. А не прощё ли НЕ ЗАПУСКАТЬ файл вообще?

----------


## WaterFish

> мдя.. А не прощё ли НЕ ЗАПУСКАТЬ файл вообще?





> ...ведь есть Каспер, он спасет.


Надежда умирает последней :Smiley:

----------


## slider

второй это вродебы червь, т.е. самое интересное 
там были найденые какие-то странные сылки 
http://85.249.23.35/m2/g.php 
http://207.46.250.119/g/m.php 
http://84.22.161.192/s/f.php 
и email'ы 
*[email protected] 
[email protected]*и еще 2 ссылки 


те кому пришел вирус интересуются уфологией?

----------


## MOCT

> те кому пришел вирус интересуются уфологией?


это ты к чему? знаком с владельцами e-mail'ов?

----------


## PavelA

2slider



> знаком с владельцами e-mail'ов?


Если это твои знакомые/возможно случайные, то у них сидит на компе дружок :Smiley: .
Предупреди, предложи почиститься.

----------


## ScratchyClaws

Похоже, идёт новая волна подобных писем...
Сегодня пришло - 



> X-AntiVirus: Checked by Dr.Web [version: 4.33, engine: 4.33.4.07270, virus records: 138087, updated:
> 31.08.2006]
> Return-path: <[email protected]>
> Received: from [194.186.36.214] (port=15708 helo=fex.rbc.ru)
>         by mx26.mail.ru with esmtp 
>         id 1GKlwM-000KM1-00
>         for [email protected]; Wed, 06 Sep 2006 05:10:54 +0400
> Received-SPF: none (mx26.mail.ru: 194.186.36.214 is neither permitted nor denied by domain of yahoo.com)
> client-ip=194.186.36.214; [email protected]; helo=fex.rbc.ru;
> ...


Внутри сообщение.html и самораспаковывающийся отдыхаю.exe
а в нем - 



> Antivirus	Version	Update	Result
> *AntiVir	7.1.1.11	09.05.2006	HEUR/Malware*
> Authentium	4.93.8	09.06.2006	no virus found
> Avast	4.7.844.0	09.04.2006	no virus found
> AVG	386	09.05.2006	no virus found
> *BitDefender	7.2	09.06.2006	BehavesLike:Win32.ExplorerHijack
> CAT-QuickHeal	8.00	09.05.2006	(Suspicious) - DNAScan
> ClamAV	devel-20060426	09.06.2006	Trojan.Downloader.Small-2298*
> DrWeb	4.33	09.05.2006	no virus found
> ...


ЗЫ- молю бога чтоб подобное не пришло у нас на фирму одной девушке... Откроет ведь... Обязательно откроет... А DRWEb как назло считает файл безопасным...

----------


## Shu_b

угу, Subject:Как прошел август? - на море.exe

Предыдущей, у одного чела,  утащили аську, почту... асю уже пяток раз перепродали...

----------


## anton_dr

Да, у нас на местном форуме всплеск сообщений о таких письмах. Вложения - я на море.exe, отдыхаю.exe

----------


## Winsent

*От Даша:* Привет я тут

Привет. Я уже вернулась с отпуска. Если свободен в выходные давай встретимся, ок? Ещ╦ тебе несколько фоток выслала, они в архиве, это то что с отпуска. ну короче, жду. пока.

Вложение: Фото.exe
Внутри, как выше упомянуто, Trojan-Downloader.Win32.Delf.awg

----------


## MOCT

> Вложение: Фото.exe
> Внутри, как выше упомянуто, Trojan-Downloader.Win32.Delf.awg


как говорится, следите за обновлениями. наверняка много версий будет.

----------


## XL

> Complete scanning result of "1.exe", received in VirusTotal at 09.06.2006, 11:23:28 (CET).
> Antivirus	Version	Update	Result
> *AntiVir	7.1.1.11	09.06.2006	HEUR/Crypted*
> Authentium	4.93.8	09.06.2006	no virus found
> Avast	4.7.844.0	09.06.2006	no virus found
> AVG	386	09.05.2006	no virus found
> BitDefender	7.2	09.06.2006	no virus found
> CAT-QuickHeal	8.00	09.05.2006	no virus found
> *ClamAV	devel-20060426	09.06.2006	Trojan.Agent-614
> ...


а вот как на данный момент различные антивирусы детектят конфетку, загружаемую из дроппером из интернета. А NOD32 с последними базами и правда молчит. Даже при расширенной эвристике....

----------


## drongo

Сйчас тоже его получил с mail.ru . не понятно , почему ? на маил.ру написано что касперски антивус защищает , или они просто для красоты там поставили его значёк  ?

----------


## SDA

Аналогично, сегодня получил на мейл.ру: Привет, как провел весь август? Я позавчера вернулась из отпуска, мне понравилось, вот тока погодка была не очень. Ну в принципе фотки глянь которые я тебе прислала, там увидишь. Что делаешь на выходных?
Прикрепленные данные: на море.exe (application/octet-stream, 11K)
Значок касперского у них наверное для красоты стоит.

----------


## XL

Или касп на сервере обновляется нечасто...

----------


## ScratchyClaws

Ну и на другой адрес (опят меилрушный)
Сашка <[email protected]>
на [email protected]
Привет, как провел лето? Я уже вернулась из отпуска, мне понравилось, вот тока погода подкачала. Ну, а так фотки глянь которые я тебе прислала, там увидишь. Завтра что делаешь?
и файл *на море.exe*

----------


## MOCT

> Ну и на другой адрес (опят меилрушный)
> Сашка <[email protected]>
> на [email protected]
> Привет, как провел лето? Я уже вернулась из отпуска, мне понравилось, вот тока погода подкачала. Ну, а так фотки глянь которые я тебе прислала, там увидишь. Завтра что делаешь?
> и файл *на море.exe*


практика показывает, что файлы бывают размером 10713, 11113, 11131 байт (два последних имеются в наличии). также я сделал вывод, что файлы получили только пользователи mail.ru, но не все (лично мне на пару ящиков не пришло), на ящики других почтовых серверов ничего не приходило.

----------


## HATTIFNATTOR

Закинул 10713 на фтп.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## anton_dr

А ввот и ответ, почему на mail.ru
http://exler.ru/expromt/16-12-2005.htm

----------


## MOCT

> А ввот и ответ, почему на mail.ru
> http://exler.ru/expromt/16-12-2005.htm


пришло даже на некоторые ящики, не засвеченные в сети  :Huh:  

2 HATTIFNATTOR : спасибо!

----------


## anton_dr

А мне не пришло. Хотя пользуюсь им уже три года, и везде регистрируюсь с ним. И вообще на него мало очень спама идет, а вирусов не видел ваабще.

----------


## Олеся

Скажите это лучше не открывать? Что будет если открыть?

----------


## AndreyKa

> Скажите это лучше не открывать? Что будет если открыть?


Лучше не надо.  :Smiley:  Если откроете ваши пароли на почту, ICQ и т.д. утекут через Интеренет к нехорошим людям. От вашего имени смогут написать что им угодно и вашу почту смогут читать.

----------


## MOCT

> Скажите это лучше не открывать? Что будет если открыть?


это письмо ни в коем случае не открывайте. иначе на компьютер будут скачиваться вирусы и троянцы, которые украдут Ваши пароли от почты, аськи, кошельков и всего прочего, да еще будут рассылать вирусы с Вашего компьютера.

----------


## PulseLine

Мне тоже пришло это письмо... Я сразу понял, что это херня - не доброй вести. Решил скачать... и как на зло, я касперыча вырубил (я не люблю антивиры, потому что это и есть вирус), думал очередная хрень!!! Кхе... поначалу было очень весело!!!  :Smiley:  Моргал экран... обновлялся раб. стол, запускается с каких то херов каспер, говорит, что его модуль повреждён... Я не долго думая нажал reset. (скорость моего модема на тот момент была 48 кб/с ) Так что тому лоху ничего не успело отправиться... Хорошо что у меня 2 системы!!! Смог во второй системе просканировать C

----------


## ScratchyClaws

Гм... у меня блогов на мейле нету... а второй е-мыл я уже пару лет использую только для пары рассылок... И спам там весьма редкий гость)
А вообще ИМХО те кто адреса предоставляет - они же их и продают... У меня адрес есть... особо понтовый.. его всего один человек знает... И туад почему-то валится спам... Причем не просто спам... а сочетание имени и адреса которые я использовала всего 1 раз, когда писала письмо в техподдрежку этого адреса. Вот так вот

2*МОСТ* -  у меня один файл 11107 байт(на море.ехе), а второй 11127 байт(отдыхаю.exe), могу подарить оба)

----------


## AVP

Как будто прямо все такие лохи и все будут открывать "фотографию" с расширением .exe и размером 18 кб... Это какаяж должна быть фотография.. =) Да и тем более каким лохом нуна быть... чтобы не понять что ето вирь (или червь или еще какая гадость) имя "Ксюха" а e-mail [email protected] (по-моему такой был у мну).. 
жуть!

----------


## MOCT

> "фотографию" с расширением .exe и размером 18 кб


с нами поделитесь? а то нам такую фотку не присылали  :Sad:

----------


## Alexey P.

> Скажите это лучше не открывать? Что будет если открыть?


 Ничего не будет. Ни коня, ни шашки .. (с) анекдот  :Smiley: .

----------


## pig

Вот такое уже второй раз валится из сети Северо-Западного Мегафона (конкретика сегодняшняя):
От кого: "Koma" <[email protected]>
Тема: Re: Where are you?
Текст: Hi, drop me a line today, ok? And see  the program  I'm sending. Bye!

Вложение: Passwords.hta
Диагноз: Email-Worm.Win32.Scano.aq

Файл сохранён как scano_45027598ea026.rar
Размер файла 28955
MD5 551d26e8856fcbefaf392484c2a9b0ba

----------


## pig

Файл сохранён как 060911_021152_scano_4504fe28ad80d.rar 
Размер файла 57131 
MD5 1c26b0b386b549bea539451615d06d1d 

Источник тот же, шкурка не изменилась, но внутри какое-то новьё, KAV пока не определяет.

----------


## BiZ

> Файл сохранён как 060911_021152_scano_4504fe28ad80d.rar 
> Размер файла 57131 
> MD5 1c26b0b386b549bea539451615d06d1d


zato GMAIL etu xrenatu mne vychistil... !!!

----------


## ScratchyClaws

Свалилось вот - 



> ОТ Кристинка <[email protected]>
> КОМУ ХХХ <ХХХ@bk.ru>
> ТЕМА НУ хоть позвони!
> 
> X-AntiVirus: Checked by Dr.Web [version: 4.33, engine: 4.33.5.10110, virus records: 151545, updated: 
> 2.11.2006]
> Return-path: <[email protected]>
> Received: from [195.149.227.182] (port=52897 helo=1082.v.tld.pl)
>         by mx23.mail.ru with esmtp 
> ...



Внутри умываюсь.ехе 11135 байт

а это внутри архива - 




> Complete scanning result of "___1091", received in VirusTotal at 11.07.2006, 19:52:50 (CET).
> 
> Antivirus	Version	Update	Result
> *AntiVir	7.2.0.37	11.07.2006	TR/Dldr.Delf.awg.2*
> Authentium	4.93.8	11.07.2006	no virus found
> *Avast	4.7.892.0	11.07.2006	Win32elf-BSE*
> AVG	386	11.07.2006	no virus found
> *BitDefender	7.2	11.07.2006	BehavesLike:Win32.ExplorerHijack*
> _CAT-QuickHeal	8.00	11.07.2006	(Suspicious) - DNAScan_
> ...

----------


## Участковый

Почему-то его пропустил антивирус на mail.ru... :Huh:  



> От кого: Анютка <[email protected]> 
> Дата:	09 Ноя 2006 08:12:50 
> Тема:	я в сети
> 
> Привет, я снова в интернете, так что пиши мне. И глянь мою новую фотку, я тебе ее прислала, пока.


Complete scanning result of "1.exe", received in VirusTotal at 11.09.2006, 16:38:10 (CET).
Antivirus	Version	Update	Result
AntiVir	7.2.0.39	11.09.2006	TR/Dldr.Delf.awg.2
Authentium	4.93.8	11.09.2006	*no virus found*
Avast	4.7.892.0	11.09.2006	Win32: Delf-BSE
AVG	386	11.09.2006	* no virus found* 
BitDefender	7.2	11.09.2006	BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal	8.00	11.09.2006	(Suspicious) - DNAScan
ClamAV	devel-20060426	11.09.2006	Trojan.Downloader.Small-2298
DrWeb	4.33	11.09.2006	Trojan.DownLoader.14688
eTrust-InoculateIT	23.73.50	11.09.2006	*no virus found*
eTrust-Vet	30.3.3184	11.09.2006	*no virus found*
Ewido	4.0	11.09.2006	*no virus found*
Fortinet	2.82.0.0	11.09.2006	suspicious
F-Prot	3.16f	11.09.2006	*no virus found*
F-Prot4	4.2.1.29	11.09.2006	*no virus found*
Ikarus	0.2.65.0	11.09.2006	Packer.byDwing
Kaspersky	4.0.2.24	11.09.2006	Trojan-Downloader.Win32.Delf.awg
McAfee	4891	11.08.2006	Downloader-AWA
Microsoft	1.1609 	11.09.2006	*no virus found*
NOD32v2	1860	11.09.2006	a variant of Win32/TrojanDownloader.Delf.AJD
Norman	5.80.02	11.09.2006	W32/Downloader
Panda	9.0.0.4	11.09.2006	Trj/Downloader.LGH
Sophos	4.11.0	11.07.2006	Mal/Packer
TheHacker	6.0.1.116	11.09.2006	*no virus found*
UNA	1.83	11.09.2006	*no virus found*
VBA32	3.11.1	11.08.2006	*no virus found*
VirusBuster	4.3.15:9	11.09.2006	Trojan.DL.Delf.TZU

Aditional Information
File size: 11139 bytes
MD5: a4fb9212e5be5676b21d256a02de97cf
SHA1: 385427da118f3d8e095fb702da4d3409828e4f6f
packers: Upack
packers: UPACK
packers: UPack
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: [email protected] - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* **Locates window "NULL [class AVP.AlertDialog]" on desktop.
* File length: 11139 bytes.

[ Changes to filesystem ]
* Creates file C:WINDOWSTEMPcsrss.exe.

[ Changes to registry ]
* Sets value "m"="m" in key "HKCUSoftwareMicrosoftWindows".

[ Network services ]
* Looks for an Internet connection.
* Opens URL: _http://www.xeseretuo.com/px1.exe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Process/window information ]
* Modifies other process memory.
* Attemps to open C:WINDOWSTEMPcsrss.exe NULL.

----------


## Участковый

А вот то, что он загружает:

Complete scanning result of "px1.exe", received in VirusTotal at 11.09.2006, 17:16:07 (CET).
Antivirus	Version	Update	Result
AntiVir	7.2.0.39	11.09.2006	HEUR/Crypted
Authentium	4.93.8	11.09.2006	W32/PWStealer.AHW
Avast	4.7.892.0	11.09.2006	*no virus found*
AVG	386	11.09.2006	PSW.Ldpinch.CNN
BitDefender	7.2	11.09.2006	Trojan.Mirm.A
CAT-QuickHeal	8.00	11.09.2006	(Suspicious) - DNAScan
ClamAV	devel-20060426	11.09.2006	*no virus found*
DrWeb	4.33	11.09.2006	Trojan.PWS.LDPinch.1286
eTrust-InoculateIT	23.73.50	11.09.2006	*no virus found*
eTrust-Vet	30.3.3184	11.09.2006	*no virus found*
Ewido	4.0	11.09.2006	Trojan.LdPinch.azf
Fortinet	2.82.0.0	11.09.2006	W32/LdPinch.AZF!tr.pws
F-Prot	3.16f	11.09.2006	security risk named W32/PWStealer.AHW
F-Prot4	4.2.1.29	11.09.2006	W32/PWStealer.AHW
Ikarus	0.2.65.0	11.09.2006	Backdoor.Win32.Ciadoor.N
Kaspersky	4.0.2.24	11.09.2006	Trojan-PSW.Win32.LdPinch.azf
McAfee	4891	11.08.2006	*no virus found*
Microsoft	1.1609 	11.09.2006	Win32/Ldpinch
NOD32v2	1860	11.09.2006	a variant of Win32/PSW.LdPinch.NCC
Norman	5.80.02	11.09.2006	W32/LdPinch.FBB
Panda	9.0.0.4	11.09.2006	Trj/Ldpinch.UP
Sophos	4.11.0	11.07.2006	Mal/Packer
TheHacker	6.0.1.116	11.09.2006	Trojan/PSW.LdPinch.azf
UNA	1.83	11.09.2006	*no virus found*
VBA32	3.11.1	11.09.2006	Trojan-PSW.Win32.LdPinch.azf
VirusBuster	4.3.15:9	11.09.2006	*no virus found*

Aditional Information
File size: 24426 bytes
MD5: db54fdcb81c497ca2863fb1297eaaa6f
SHA1: 9633aa3cd5510849037c08547759487283337ef1
packers: MEW

Кстати, AVZ его тоже видит как *Trojan-PSW.Win32.LdPinch.azf*.

----------


## DoSTR

> пришло даже на некоторые ящики, не засвеченные в сети


Попытаюсь ответить на данный вопрос.
Дело в том, что:
http://agent.mail.ru/developer.html
Mail.Ru Агент - разработчикам
*Открыт внутренний протокол обмена данными Mail.Ru Агент.*
Это позволяет Спамерам создав не хитрую программу пополнить свой спам лист свежими нигде не светившимися e-mail'лами.

создавать клиентские приложения для разных платформ
добавлять поддержку Агента в мультипротокольные IM 
расширять возможности клиента, добавляя новый функционал

Описание протокола обмена данными Mail.ru Агент.

----------


## MOCT

> *Открыт внутренний протокол обмена данными Mail.Ru Агент.*


это позволить создавать другие программы, которые смогут слать почту на mail.ru или в программу MRU. 




> Это позволяет Спамерам создав не хитрую программу пополнить свой спам лист свежими нигде не светившимися e-mail'лами.


и каким же это интересно образом?  :Smiley:

----------


## DoSTR

> это позволить создавать другие программы, которые смогут слать почту на mail.ru или в программу MRU.


С этим я не спорю, но это используют также спамеры, сейчас даже есть бот, который рассылает спам в Mail Agent.



> и каким же это интересно образом?


Через функцию добавить контак
см. описание протокола обмена данными:



> Пакет: *Добавление нового контакта*
> 
> Имя пакета: MRIM_CS_ADD_CONTACT
> Тип пакета: cs
> Параметры:
> 
> UL ## flags ## флаги ##
> 
> CONTACT_FLAG_GROUP ## Добавляется новая группа, а не контакт (несовместим с остальными). Верхний байт содержит количество уже имеющихся групп в контакт-листе
> ...





> Пакет: *Поиск контакта*
> 
> Имя пакета: MRIM_CS_WP_REQUEST
> Тип пакета: cs
> Параметры:
> 
> UL ## field ## параметр поиска ##
> 
> MRIM_CS_WP_REQUEST_PARAM_USER ## логин (без домена), обязан комбинироваться с доменом
> ...





> Пакет: *Найденные пользователи*
> 
> Имя пакета: MRIM_CS_ANKETA_INFO
> Тип пакета: cs
> Параметры:
> 
> UL ## status ## успешность запроса ##
> 
> MRIM_ANKETA_INFO_STATUS_OK ## поиск успешно завершен
> ...


и много разных функций...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## [email protected]

А что делать, если ты закачал эту хрень на комп??? Как избавится от вируса???

----------


## MOCT

> А что делать, если ты закачал эту хрень на комп??? Как избавится от вируса???


Прочитать правила раздела "Помогите!" http://virusinfo.info/forumdisplay.php?f=46 и выполнить их

----------


## Lex0505

Всем привет..
помогите!! у меня AVG выискал
Trojan horse Downloader. Generic7.EBJ 
AVG его удаляет, а после перезагрузки он снова появляется, что мне делать??

PS: Мои родители на компьютере пользуются только почтой и сайтом однокласники.. однако этот троян загружает кучу разных порно сайтов.. причём увидеть это можно токо по журналу Explorer_а, получается он грузит это левым потоком, так что этого никто не замечает..

----------


## vidocq89

Lex0505, вам сюда: 
http://virusinfo.info/showthread.php?t=1235

----------


## Lex0505

vidocq89

спасиб попробую.. :Smiley: 

*Добавлено через 3 минуты*

Почему AVG находит в Mail_агенте троян..??
и как можно избавиться от постоянно всплывающей таблички Virus..  :Smiley:

----------


## Codname

> Почему AVG находит в Mail_агенте троян..??


Если программа скачана с официального сайта,то это антивирус фолсит.Трояна там нет(С KAV было также).Придётся ждать пока исправят или добавлять в исключения/доверенную зону.

----------


## iSurfer

> Пришло вот такое письмо - 
> 
> 
> 
> 
> 
> 			
> 				От - Катюха <[email protected]>
> Кому - XYZ <[email protected]>
> ...


Блин, по какому поводу "атас"? Cобственно в теле письма не пролезло никакого вредоносного кода? Так что за паника?

А что до приложений... Ох, ну сколько можно воспитывать "чайников": Не запускайте EXE-шники в приложениях к письму, не проверив их на вирусы, Двумя средствами проверьте на вирусы любой нетекстовый файл в приложении к письму от НЕЗНАКОМОГО отправителя, если уж в одном месте зачесалось его посмотреть.  :Wink: 

Ну что вот тут копья ломать! Народ надо учить уму разуму. Не будет чайник разбираться в этих листингах со служебными заголовками и логами, а опытному ЭТО НЕ НАДО! Вы что, сами не способны проверить приложение на вирусы?

Мне вот непонятно, это попытка "опустить" фильр безопасности на *Mail.Ru*? Кто-нить хоть раз получал через *Mail.Ru* письмо с вредоносным кодом в самом письме, а не в приложении? Я не поклонник "Касперского", но вот то, что установлено на почтовых серверах *Mail.Ru*, работает хорошо.

И еще раз: "чайников" надо ВОСПИТЫВАТЬ, а не обучать их структуре служебных заголовков, кодовым названиям вирусов и т.д, потому что правильное ПОВЕДЕНИЕ даст фору лазанию по форумам безопасности и чтению хвастливых мемуаров охотников за вирусами.

----------


## vidocq89

обучение/воспитание/наставление на путь истинный  новичков проходит всеми возможными и невозможными способами, как на самом форуме куча статей и книжек по этой тематике для новичков, так можно и советы форумчан слушать, по окончанию лечения хелперы также часто советуют юзерам, что почитать, что бы в будущем с вирями было меньше проблем...

а в этот раздел люди приходят часто из поисковиков - им приходит на мыло письмо, они начинают в нем сомневаться и вбивают часть письма в гугл - приходят сюда - читают, что все это или развод или страшный пинч и дальше все хорошо - человек не попадается на развод и/или не запускает пинча, а если он еще и не ленивый, а любознательный - то полазает по соседним темам и почитает статьи/умные посты...

----------


## Lex0505

Codname 
Да, это логично, я так всем и говорил,
зато теперь сам точно знаю..  :Cool:  спасиб.. :Smiley:

----------

