# Форум на русском языке  > Аналитика  > Монитор VirusInfo  >  "Свежие" черви

## Minos

http://www.uinc.ru
07.10.2004

Symantec предупреждает о появлении очередной модификации червя Mydoom. Вариант Mydoom.AD распространяется по электронной почте в виде вложений с различными именами, через популярные файлообменные сети, а также через каналы IRC. После проникновения на компьютер-жертву вредоносная программа регистрируется в ключе автозапуска системного реестра, завершает ряд процессов, связанных со службами безопасности, и пытается запретить доступ к сайтам антивирусных компаний. Далее червь осуществляет сканирование жестких дисков в поисках адресов электронной почты, по которым затем отправляются копии вредоносного кода. При организации массовых рассылок Mydoom.AD применяет встроенный SMTP-сервер.
http://[email protected]

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Minos

В сентябре появилось 8 новых разновидностей MyDoom, причем одна из разновидностей научилась распространятся через ICQ (http://www.viruslist.com/viruslist.html?id=145865731). В общем MyDoom штурмует новые высоты !!!

----------


## Minos

В сети обнаружен новый Beagle. В классификации лаборатории Касперского он получил название I-Worm.Bagle.as. В червя заложены BackDoor функции: при заражении он открывает 81 порт. Распространяется по почте и P2P сетям. Подробнее смотрите на http://www.viruslist.com/viruslist.html?id=145990369.

----------


## Minos

Сотрудники антивирусных компаний обнаружили очередную модификацию известного сетевого вируса MyDoom, в которой содержатся угрозы в адрес специализирующихся на компьютерной безопасности фирм F-Secure, Symantec, Trend Micro и McAfee, а также высмеивается автор "конкурирующего" вируса NetSky. Как сообщает CNET News, авторы запустили новый вирус в минувшие выходные. Он содержит стандартные средства для несанкционированного проникновения в системы семейства Windows и саморепликации. Эксперты ожидают в ближайшее время новой волны распространения вируса среди незащищенных компьютеров. Вирус содержит текстовое сообщение, где высмеивается ожидающий суда немецкий подросток Свен Яшан (Sven Jaschan), признавшийся в авторстве широко распространившихся вирусов Sasser и NetSky, обладающих функциональностью, схожей с MyDoom. Авторы MyDoom (за информацию об их местонахождении обещана награда в 250 тысяч долларов) заявляют, что после поимки Яшана они "выиграли вирусную войну" и теперь намерены "атаковать" антивирусные компании и продолжать свою вредоносную деятельность. Вместе с тем, специалисты компаний отмечают, что не понимают, каким именно образом их собираются атаковать. В теле вируса не обнаружено каких-либо специальных средств для этого, остается лишь возможность организованной DDOS-атаки на серверы упомянутых фирм, однако компании такого профиля обычно хорошо подготовлены к таким инцидентам.
unic.ru

----------


## Geser

Сотрудники компании Trend Micro зафиксировали появление в интернете новой вредоносной программы, получившей название Wootbot. Этот червь заражает компьютеры через дыру в локальной подсистеме аутентификации пользователей операционных систем Windows (LSASS).

После проникновения на машину вирус создает на жестком диске свою копию с именем Serviced.exe и регистрируется в реестре с целью обеспечения собственного автозапуска при старте ОС. Кроме того, червь пытается украсть регистрационные ключи к популярным компьютерным играм, таким как Command and Conquer: Generals: Zero Hour, Need For Speed: Underground, Unreal Tournament 2004 и Shogun: Total War: Warlord Edition. 
http://compulenta.ru/

----------


## Geser

Компания Panda Software предупреждает о появлении в интернете новой вредоносной программы Swash. Этот червь распространяется по электронной почте в виде файлов-вложений с различными именами и расширениями ZIP, EXE или SCR, а также через популярные пиринговые сети, в том числе KaZaA, eDonkey, iMesh и LimeWire. После запуска вирус создает в системной директории Windows свою копию с именем Lsasrv.exe и регистрирует данный файл в ключе автоматического запуска реестра. Далее вредоносная программа пытается завершить процессы, связанные со службами безопасности, и, кроме того, закрывает доступ к веб-сайтам производителей антивирусов. 
Подробное описание червя Swash можно найти http://www.pandasoftware.com/virus_i...&idvirus=53716
security.compulenta.ru/2004/10/28/51343/

----------


## Geser

Появилась новая версия червя Sober, Sober.i

----------


## Зайцев Олег

> Появилась новая версия червя Sober, Sober.i


Да, его поймали авторы  "ВирусБлокАда" - вероятно, дело закончится эпидемией. Сам вирус имеет размер 56808 байт, сжат UPX, распакованный размер 87161.  При запуске прописывает себя на автозапуск через ключик Run в реестре.
Вирус написан на VBA. Работает только при наличие MSVBVM60.DLL на поражаемом ПК (в Win98 его по умолчанию нет). В момент первого запуска вирус создает в папке System32 два файла с именами, которые явно генерируются по некоему списку/алгоритму Один из созданных в System32 файлов запускается с ключом - %srun%.

----------


## Minos

Набирает обороты эпидемия Zafi.D. Червь распространяет себя по электронной почте, а также через файлообменные сети.

----------


## Minos

Как сообщает www.theregister.co.uk в менувшие выходные, после трехмесячного перерыва,  была зафиксирована рассылка новой версии MyDoom. В письме сообщается, что в приложенном файле находятся пароли к "клубничным" сайтам, на деле же оказывается, что вместо паролей вы получаете MyDoom-AI, который отключает некоторые антивирусы и firewall и зомбирует компьютер. Рассылка не отличалась большим размахом, однако появление новых мадификаций старого "друга" не предвещает ничего хорошего.

----------


## Minos

Новый "червь" атакует через MSN Messenger
Компании F-Secure и Symantec, которые занимаются разработкой антивирусных программ, сообщили сегодня об обнаружении нового "червя", который атакует пользователей интернет-пейджера MSN Messenger.

Новый Brobia.A написан с использованием исходного кода вируса Rbot, который можно применить, например, для атаки с целью сбора системной информации, чтения нажатий клавиш и распространения спама.

После поражения компьютера "червем" система перестает реагировать на нажатия правой кнопки мыши.

Программа копирует себя в корень диска С под одним из следующих имен: drunk_lol.pif, webcam_004.pif и других. А затем пытается переслать созданный файл при помощи MSN Messenger всем активным пользователям в списке контактов. Для успешного распространения на пораженном компьютере должно быть открыто окно MSN Messenger. 

gazeta.ru

----------


## RiC

Свежачёк, набирает обороты, таким темпом часа через 3 станет хитом недели.

This is a report processed by VirusTotal on 09/13/2005 at 07:52:21 (CET) after scanning the file "newprice.zip" file.

Antivirus	Version	Update	Result	
AntiVir	6.31.1.0	09.12.2005	DR/Bagle.P	
Avast	4.6.695.0	09.12.2005	Win32:Mitglieder-BK	
AVG	718	09.12.2005	I-Worm/Bagle.gen	
Avira	6.31.1.0	09.12.2005	DR/Bagle.P	
BitDefender	7.0	09.02.2005	no virus found	
CAT-QuickHeal	8.00	09.12.2005	no virus found	
ClamAV	devel-20050725	09.13.2005	Worm.Bagle.BB-gen	
DrWeb	4.32b	09.13.2005	Win32.HLLM.Beagle.12288	
eTrust-Iris	7.1.194.0	09.13.2005	no virus found	
eTrust-Vet	11.9.1.0	09.12.2005	no virus found	
Fortinet	2.41.0.0	09.07.2005	suspicious	
F-Prot	3.16c	09.13.2005	security risk named W32/Mitglieder.FB	
Ikarus	0.2.59.0	09.12.2005	no virus found	
Kaspersky	4.0.2.24	09.13.2005	Email-Worm.Win32.Bagle.ct	
McAfee	4579	09.12.2005	no virus found	
NOD32v2	1.1214	09.12.2005	no virus found	
Norman	5.70.10	09.12.2005	no virus found	
Panda	8.02.00	09.12.2005	W32/Bagle.EK.worm	
Sophos	3.97.0	09.13.2005	Troj/Dropper-BD	
Symantec	8.0	09.13.2005	Trojan.Tooso.N	
TheHacker	5.8.2.105	09.12.2005	W32/Bagle.cs	
VBA32	3.10.4	09.12.2005	no virus found

----------


## pig

Предыдущая модификация (заловлен вчера вечером):
Antivirus Version Update Result
AntiVir 6.31.1.0 09.13.2005 DR/Bagle.P
Avast 4.6.695.0 09.12.2005 Win32:Mitglieder-BK
AVG 718 09.12.2005 no virus found
Avira 6.31.1.0 09.13.2005 no virus found
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.12.2005 no virus found
ClamAV devel-20050725 09.13.2005 Worm.Bagle.BB-gen
DrWeb 4.32b 09.13.2005 Win32.HLLM.Beagle.12288
eTrust-Iris 7.1.194.0 09.13.2005 no virus found
eTrust-Vet 11.9.1.0 09.13.2005 Win32.Glieder.BG!ZIP
Fortinet 2.41.0.0 09.07.2005 suspicious
F-Prot 3.16c 09.13.2005 security risk named W32/Mitglieder.FB
Ikarus 0.2.59.0 09.12.2005 no virus found
Kaspersky 4.0.2.24 09.13.2005 Email-Worm.Win32.Bagle.cs
McAfee 4579 09.12.2005 no virus found
NOD32v2 1.1214 09.12.2005 Win32/Bagle.BI
Norman 5.70.10 09.12.2005 W32/Bagle.CS
Panda 8.02.00 09.12.2005 W32/Bagle.EK.worm
Sophos 3.97.0 09.13.2005 Troj/Dropper-BC
Symantec 8.0 09.13.2005 no virus found
TheHacker 5.8.2.105 09.12.2005 no virus found
VBA32 3.10.4 09.12.2005 no virus found

----------


## SDA

W32.Iberio
обнаружен 16 сентября.
Тип: червь.
Длина кода: 6 кб.
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Технические детали:
Добавляет значение "MSPRO32" = "[PATH TO WORM FILE]" в реестр
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV  ersionRun

Загружает файлы:
VfProtect.exe с [http://]strtt.interfree.it/[REMOVED]/VfProtect.exe
Hiberium.rar с [http://]strtt.interfree.it/[REMOVED]/Hiberium.rar
VfProtect2.exe с [http://]utenti.lycos.it/[REMOVED]/VfProtect2.exe
Hiberium2.rar с [http://]utenti.lycos.it/[REMOVED]/Hiberium2.rar

Выполняет VfProtect.exe и VfProtect2.exe, которые распознаются как Keylogger.Trojan.
Червь эксплуатирует уязвимость Microsoft Windows Plug and Play Buffer Overflow Vulnerability (Microsoft Security Bulletin MS05-039).

Распространяется по случайным ip адресам, избегая:
0.*.*.*
10.*.*.*
127.*.*.*
224.*.*.* through 255.*.*.*
172.16.*.* through 172.31.*.*
192.168.*.*

----------


## pig

Пришло письмо. Зверь не свежий - Worm.Win32.Eyeveg.l, его даже Dr.Web 4.31b с базами двухмесячной давности знает. Но письмо не ловится, поскольку в нём только ссылка - хттп://africaplc.com/readme.zip
Осторожно, ссылка живая!

P.S. Пока отвлекался, нарисовалось ещё одно, с похожей ссылкой. Этот africaplc.com, видимо, гнездо для зверья.

----------


## Minos

Вот еще зеркала africaplc.com:
www.neptuncaffe.com scheduleconsult.com www.sismodular.com.

----------


## santy

Complete scanning result of "_sv__1089", received in VirusTotal at 08.08.2006, 09:43:13 (CET).

Antivirus	Version	Update	Result
AntiVir	6.35.1.0	08.08.2006	HEUR/Crypted.Modified
Authentium	4.93.8	08.08.2006	no virus found
Avast	4.7.844.0	08.04.2006	no virus found
AVG	386	08.07.2006	no virus found
BitDefender	7.2	08.08.2006	no virus found
CAT-QuickHeal	8.00	08.07.2006	(Suspicious) - DNAScan
ClamAV	devel-20060426	08.08.2006	no virus found
DrWeb	4.33	08.08.2006	Trojan.PWS.LDPinch.1026
eTrust-InoculateIT	23.72.89	08.08.2006	no virus found
eTrust-Vet	12.6.2329	08.08.2006	no virus found
Ewido	4.0	08.07.2006	no virus found
Fortinet	2.77.0.0	08.08.2006	suspicious
F-Prot	3.16f	08.06.2006	no virus found
F-Prot4	4.2.1.29	08.06.2006	no virus found
Ikarus	0.2.65.0	08.08.2006	no virus found
Kaspersky	4.0.2.24	08.08.2006	no virus found
McAfee	4823	08.07.2006	no virus found
Microsoft	1.1508	08.04.2006	no virus found
NOD32v2	1.1696	08.07.2006	a variant of Win32/PSW.LdPinch
Norman	5.90.23	08.07.2006	no virus found
Panda	9.0.0.4	08.07.2006	Suspicious file
Sophos	4.08.0	08.07.2006	no virus found
Symantec	8.0	08.08.2006	no virus found
TheHacker	5.9.8.187	08.07.2006	no virus found
UNA	1.83	08.07.2006	no virus found
VBA32	3.11.0	08.07.2006	suspected of Trojan-PSW.PdPinch.1
VirusBuster	4.3.7:9	08.07.2006	no virus found

Aditional Information
File size: 20930 bytes
MD5: 682e61d78500b5308b7977ef6e3ed9ce
SHA1: 35ec558f16c35fd726f38c93a59688b961d4a921
packers: FSG
-------------
ОБЫДНО ЗА НОД. На антивирусной базе сборки 1.1694 сканер не распознал вирус, прописанный в автозагрузку, и только на версии 1.1696 распознал как вариант LdPinch.

----------


## lerson

Есть Trojan program Trojan.Win32.Agent.py
и Worm.Win32.Rahak.a в живом виде. 
Идут в комплекте. 
VirusTotal не определяет.
Вольготно чуствует себя в провайдерских подсетках.

----------


## MOCT

> Есть Trojan program Trojan.Win32.Agent.py
> и Worm.Win32.Rahak.a в живом виде. 
> Идут в комплекте. 
> VirusTotal не определяет.


ну если ни один антивирус на VirusTotal не определяет, то откуда же вам известны их имена? :-)

----------


## lerson

> ну если ни один антивирус на VirusTotal не определяет, то откуда же вам известны их имена? :-)


Каспер их видит Ж) с последними базами. Больше ничем не проверял...

----------


## MOCT

> Каспер их видит Ж) с последними базами. Больше ничем не проверял...


ну а зачем тогда дезинформацию писать?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Синауридзе Александр

> Есть Trojan program Trojan.Win32.Agent.py
> и Worm.Win32.Rahak.a в живом виде. 
> Идут в комплекте. 
> VirusTotal не определяет.
> Вольготно чуствует себя в провайдерских подсетках.


Как же так? :Huh:  VirusTotal не определяет, а Вы пишете их название. Значит все же определяет! :Stick Out Tongue:

----------


## lerson

> ну а зачем тогда дезинформацию писать?


где здесь дезинформация прошу прощенья
каспер ясно определил и назвал, а то что VirusTotal не определяет так это ахтунг для тех кто им пользуется.
Сомневающимся могу живых выслать.
Добавлю еще: каспер 6 с последними базами - оказался единственный из тех что под руками были, кто видит их вообще; пока по крайней мере... 
Каспер 5 с немножко прокисшими (2-3 недели) базами - пропустил, NOD32, DRWEB тоже.

----------


## MOCT

> где здесь дезинформация прошу прощенья
> каспер ясно определил и назвал, а то что VirusTotal не определяет так это ахтунг для тех кто им пользуется.


VirusTotal - это сайт, который проверяет присланный файл почти тремя десятками антивирусов. Касперский среди этих антивирусов тоже присутствует. Если Касперский детектирует - значит на VirusTotal файлы тоже будут названы троянцами/вирусами.




> Сомневающимся могу живых выслать.


ждем. закачивайте через форму тут: https://virusinfo.info/upload_virus.php
указав в поле "Ссылка на тему" ссылку на эту тему.

----------


## anton_dr

> ждем. закачивайте через форму тут: https://virusinfo.info/upload_virus.php
> указав в поле "Ссылка на тему" ссылку на эту тему.


Указав ее (ссылку), в таком виде - http://virusinfo.info/showthread.php?t=1339

----------


## lerson

Результат загрузки
Файл сохранён как VIR_44edd5c31afde.rar 
Размер файла 96835 
MD5 9c94fcae87ead619a81042335c80519f 
Пароль на архив - VIRUS

----------


## drive

Срочно внесите его в свою базу! авз не находит его!

----------


## anton_dr

так пришлите его автору

----------


## eech

Неоднократно получал по почте ссылку на инсталлятор "бесплатного" IE7. Достали, решил скачать. Развитие современных алгоритмов сжатия приятно поразило.  :Smiley:  Осел поместился в 200 с небольшим килобайт.   :Smiley:  Понятно - троян. Решил попробовать выпотрошить. Инсталлятор копирует себя во временную папку, затем "рожает" там же 1.ехе, запускает его.
Глубоко ковырять побоялся. Но это что-то не новое, т.к. Аутпост орал на файл диким голосом.
Да, кстати, письмо со ссылкой приходит от admin[at]windows.com.  :Smiley: 
Если заинтересует кого - могу прислать, но боюсь, что это не ново.

----------


## MedvedD

> ... Решил попробовать выпотрошить. ..


А не боитесь стать клиентом темы "Помогите" ?  :Wink:

----------


## Ego1st

отсылайте антивирусным компаниям..

----------


## eech

> А не боитесь стать клиентом темы "Помогите" ?


Нет, не боюсь.  :Smiley:  Трояна бояться - в инет не ходить. Если серьезно, то есть небольшой опыт. Ну будет больше...  :Smiley: 



> отсылайте антивирусным компаниям..


Сомневаюсь, что это им нужно.  :Sad:

----------


## Ego1st

что значить сомневаетесь что это им нужно, нужно ещё как, а то будет бродить по сети нехороший вирус..
как вариант можно проверить сначало на 
http://virusscan.jotti.org/
http://www.virustotal.com/en/indexf.html

----------


## eech

На вирусскане джотти определился вирус.
File: 	IE7_Setup.exe 	
Status: 	
INFECTED/MALWARE 
MD5 	acdfc6fa29db443f136579875d99ebff 	
Packers detected: 	
FSG
Scanner results 
Scan taken on 22 Jan 2007 12:16:08 (GMT) 	
AntiVir 	
Found DR/Delphi.Gen dropper 
Avast 	
Found Win32:Joiner-H 
BitDefender 	
Found Dropped:Trojan.Downloader.Zlob.BKE 
Dr.Web 	
Found MULDROP.Trojan, Trojan.Spambot, Trojan.MulDrop.4525 (probable variant) 
F-Secure Anti-Virus 	
Found Trojan-Spy.Win32.Goldun.nq 
Fortinet 	
Found Spy/Goldun 
Kaspersky Anti-Virus 	
Found Trojan-Spy.Win32.Goldun.nq 
Остальные ничего не нашли.

То есть антивирусные фирмы его давно знают.  :Sad:  Скажут - еще один проснулся...  :Smiley:  Касперский знает, Доктор Веб знает. А еще кому?...

----------


## SuperBrat

> Остальные ничего не нашли.


Вот и надо остальным выслать.



> То есть антивирусные фирмы его давно знают.


Как видно не все, не противоречьте сами себе.  :Wink: 



> Скажут - еще один проснулся...


Не скажут. А если где и встретится "скучающий дурачок", то вам с ним детей не крестить.



> Касперский знает, Доктор Веб знает. А еще кому?...


Отправляйте на [email protected] в zip-архиве с паролем "infected",  получат многие антивирусы мира.

----------


## eech

Ну ладно вам, устыдили... Выслал по указанному адресу.

----------


## DirtyBoy

прошу прощения. не разбераю сь я сильно в компах. но у меня авира находит зверюшку BDS/Hupigon.Gen. И оно уже давно у меня. Удаляю его но оно опять приходит. Последний раз нашёл его в папке ....\Temp\avz_2859rav.tmp может это и не зверь...помогите! Ща оно в карантиен у меня. Устал его удалять))

----------


## Geser

> прошу прощения. не разбераю сь я сильно в компах. но у меня авира находит зверюшку BDS/Hupigon.Gen. И оно уже давно у меня. Удаляю его но оно опять приходит. Последний раз нашёл его в папке ....\Temp\avz_2859rav.tmp может это и не зверь...помогите! Ща оно в карантиен у меня. Устал его удалять))


http://virusinfo.info/showthread.php?t=1235

----------


## Striker

DR/Delphi.Gen Это вирус? И если да, то что делать?

----------


## anton_dr

Регистрироваться, и идти сюда - http://virusinfo.info/forumdisplay.php?f=46

----------


## alex1139

А я вот на нашем местном форуме сегодня модифицированный Win32/Stration.XJ выловил,один из участников жаловался на проблеммы с аськой и выложил адрес с которого ему предложили скачать файл.Я его скачал в сотовый а когда пытался перекинуть на компьютер он был тут же убит Нодом.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ork52

вот рассылочка пришла с такими вложениями
Update-KB3796-x86 (1).zip\Update-KB3796-x86.exe infected with Win32.HLLM.Limar
Update-KB4125-x86.zip\Update-KB4125-x86.exe infected with Win32.HLLM.Limar
DRWEB их опознал, только с обновой за вторник

----------


## ЮрВас

Получил по E-mail сообщение:
Hi. Friend has sent you a postcard.
See your card as often as you wish during the next 15 days.
SEEING YOUR CARD
If your email software creates links to Web pages, click on your 
card's direct www address below while you are connected to the Internet:
http://72.47.115.34/?911e6c36a4bc955099675c50080d0
Or copy and paste it into your browser's "Location" box (where Internet 
addresses go).
We hope you enjoy your awesome card.
Wishing you the best,
Postmaster,
2000greetings.com
Прошел по ссылке ... и поймал в конце концов вирус W32/Nurech.AN.worm, причем Panda Titanium уго сразу не опознал. (Послал подозрительный файл в Panda SOS, через день получил ответ:
The file C:\Downloads\I?ia?aiiu\ecard.exe belongs to the worm W32/Nurech.AN.worm, due to the nature of the file, it can
only be deleted. 
Ссылки:
Visit our web page with information about the malware:
http://www.pandasoftware.com/com/vir...idvirus=168512
Follow the instructions on how to eliminate the malware:
http://www.pandasoftware.com/com/vir...idvirus=168512
!!! Письмо в Панду отправил 17.07.2007, первое обнаружение 18.07.2007, похоже, из моего подозрительного файла, и лекарства в Panda от него пока нет, рекомендуют  TruPrevent Technologies.

----------


## MedvedD

Поломали сайт знакомого книготорговца  :Sad: 
Причём автоматически.
И взломал сайт именно вирус. Я уже с таким сталкивался - 
http://www.virustotal.com/ru/resulta...37c3e8cc68f284
 - вариант Pinch, вирус сам выискивает на компьютере имена и пароли к FTP.
http://www.cwsandbox.org/?page=detai...password=yastj
И отдаёт их своей системе изменения страниц - http://prostreet.info/gate/gate.php. А там уже и производится изменение всех страничек сайта. Скорее всего, сломанна именно индексная первая страница, остальное они вроде не трогали до последнего времени..

----------


## [500mhz]

MedvedD
вы хотя бы бред не пишите а то людей напугаете
пинчег сам по себе никакие сайты не ломает а просто пароли тырит
а это http://prostreet.info/gate/gate.php то через чего он их хозяину отсылает

----------


## MedvedD

[500mhz], я бред не пишу. 
"отдаёт их своей системе изменения страниц".

----------


## [500mhz]

уважаемый!
вы видели код гейта от пинча?
вы знаете принцип работы пинча? (варианты отправки данных)

----------


## Mamont

Зараженная страница
http://www.floranimal.ru/pages/animal/m/64.html

----------


## SuperBrat

> Зараженная страница
> hxxp://www.floranimal.ru/pages/animal/m/64.html


Файл 64.html получен 2007.11.17 12:31:12 (CET)
Антивирус	Версия	Обновление	Результат
DrWeb	4.44.0.09170	2007.11.17	Worm.Sifiliz
Sophos	4.23.0	2007.11.17	Mal/ObfJS-R

Дополнительная информация
File size: 24347 bytes
MD5: 1fdfc99a21b89a9270512762615c504b
SHA1: c9ab1776ad8bbf5e3402b8184d5baf030c24dada

----------


## Surfer

Вопрос, наверно, к DVi :
Ikarus	T3.1.1.12	2007.11.18	Trojan-Downloader.JS.Remora.ao
Kaspersky	7.0.0.125	2007.11.18	Trojan-Downloader.JS.Remora.ao

И это уже давно, воруют сигнатуры ?  :Smiley: 
Поскольку вчера этого небыло, были только дрвэб и софос

----------


## DVi

Да, Икарус ворует сигнатуры. Давно. И все свои детекты называет по классификации ЛК.

----------


## XP user

> Да, Икарус ворует сигнатуры.


 Пока воск на крыльях не растает, сможет держаться в воздухе... )))  Paul

----------


## AndreyKa

> Да, Икарус ворует сигнатуры. Давно.


А если их програмные модули добавить в базы Касперского как троян, Ikarus сам себя удалит?  :Wink:

----------


## DVi

Вероятность есть  :Smiley: 
Т.к. похоже, что Икарус добавляет в свои базы вообще все, на что пискнул хоть один антивирус из вирустотала.

----------


## [500mhz]

делаем акцию по самоликвидации икаруса ))

----------


## PhantasM

хотелось бы знать, каким образом происходит переадресация  с поддомена mail.ru на заражённую фишинговую страничку? 
Вот адрес  :"http://": r.mail.ru/cln1234/www.porcunadebenito.com/download/flash//index.html

----------


## Strange

Просто форвард. Напишите после  :"http://": r.mail.ru/cln1234/ любой адрес без http, хотя бы так:  :"http://": r.mail.ru/cln1234/virusinfo.info/

----------


## Surfer

Очередной пинчег, удивляюсь как много народу на такое ведутся =))

r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.

OMFG, они пишут на делпхи, этот мир скоро будет в аду =))

----------


## mA_sat

> Очередной пинчег, удивляюсь как много народу на такое ведутся =))
> 
> r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.
> 
> OMFG, они пишут на делпхи, этот мир скоро будет в аду =))


ну а чего? Свежий Outpost 2008 молчит как рыба под лед
Конечно ведутся..

----------


## Surfer

В смысле при запуске пинчега ?
Я пробовал запускать, сначала каспер орёт что инвадер, потом что отсылка персональных данных, если всё это разрешать, то комод спрашивает разрешить ли выйти в инет svchost.exe =))

----------


## mA_sat

При проверке молчит.

Касперский их видит нормально. 
У NOD32 и Outpost SS проблемы с Пинчами всю дорогу.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Surfer

korova.ru/humor/cyborg.php - мне сказали что там зловред какой-то в activex, др.веб и аутпость орут.
Кто-нибудь может его вытащить оттуда ? У меня не получилось.

*Добавлено через 11 минут*

Сказали что др.веб тоже на что-то кричал, проверил через http://online.drweb.com/?url=1 - чисто.

----------


## SuperBrat

Зловред называется Exploit.HTML.Agent.x (ЛК).

----------


## Alex_Goodwin

Если фрейм расшифровать, то увидим ссылку. Но в ней ничего вредоносного не видно ..
Только if(success){document.write('');}
else{document.write('');}

----------


## Surfer

Antivirus Version Last Update Result 
AhnLab-V3 2008.1.5.11 2008.01.05 - 
AntiVir 7.6.0.46 2008.01.04 - 
Authentium 4.93.8 2008.01.04 - 
Avast 4.7.1098.0 2008.01.04 - 
AVG 7.5.0.516 2008.01.05 - 
BitDefender 7.2 2008.01.05 - 
CAT-QuickHeal 9.00 2008.01.05 - 
ClamAV 0.91.2 2008.01.05 - 
DrWeb 4.44.0.09170 2008.01.05 - 
eSafe 7.0.15.0 2008.01.03 - 
eTrust-Vet 31.3.5432 2008.01.04 - 
Ewido 4.0 2008.01.05 - 
FileAdvisor 1 2008.01.05 - 
Fortinet 3.14.0.0 2008.01.05 - 
F-Prot 4.4.2.54 2008.01.04 - 
F-Secure 6.70.13030.0 2008.01.04 Exploit.HTML.Agent.x 
Ikarus T3.1.1.15 2008.01.05 - 
Kaspersky 7.0.0.125 2008.01.05 Exploit.HTML.Agent.x 
McAfee 5200 2008.01.04 - 
Microsoft 1.3109 2008.01.05 - 
NOD32v2 2766 2008.01.04 - 
Norman 5.80.02 2008.01.04 - 
Panda 9.0.0.4 2008.01.05 - 
Prevx1 V2 2008.01.05 - 
Rising 20.25.52.00 2008.01.05 - 
Sophos 4.24.0 2008.01.05 - 
Sunbelt 2.2.907.0 2008.01.05 - 
Symantec 10 2008.01.05 - 
TheHacker 6.2.9.180 2008.01.04 - 
VBA32 3.12.2.5 2008.01.02 - 
VirusBuster 4.3.26:9 2008.01.05 - 
Webwasher-Gateway 6.6.2 2008.01.04 - 
Additional information 
File size: 1925 bytes 
MD5: 87204bb9284a03b4efc3f377647ef0a0 
SHA1: 54803e3e62267fbb22000dd86972eab44ad07ca5 
PEiD: - 

Ложняк ? =)

----------


## Alex_Goodwin

нет, все правильно.. спасибо Alexey P.

----------


## Surfer

В общем разослал по вендорам, подождём реакции  :Smiley:

----------


## Alex_Goodwin

Что разослали?

----------


## Surfer

```
AhnLab-V3 2008.1.7.11 2008.01.07 - 
AntiVir 7.6.0.46 2008.01.07 Exp/HTML.Agent.X.1 
Authentium 4.93.8 2008.01.06 - 
Avast 4.7.1098.0 2008.01.06 - 
AVG 7.5.0.516 2008.01.07 - 
BitDefender 7.2 2008.01.07 - 
CAT-QuickHeal 9.00 2008.01.05 - 
ClamAV 0.91.2 2008.01.07 - 
DrWeb 4.44.0.09170 2008.01.07 - 
eSafe 7.0.15.0 2008.01.06 - 
eTrust-Vet 31.3.5438 2008.01.07 - 
Ewido 4.0 2008.01.06 - 
FileAdvisor 1 2008.01.07 - 
Fortinet 3.14.0.0 2008.01.06 - 
F-Prot 4.4.2.54 2008.01.06 - 
F-Secure 6.70.13030.0 2008.01.07 Exploit.HTML.Agent.x 
Ikarus T3.1.1.15 2008.01.07 Exploit.HTML.Agent.x 
Kaspersky 7.0.0.125 2008.01.07 Exploit.HTML.Agent.x 
McAfee 5200 2008.01.04 - 
Microsoft 1.3109 2008.01.07 - 
NOD32v2 2769 2008.01.07 - 
Norman 5.80.02 2008.01.04 - 
Panda 9.0.0.4 2008.01.07 - 
Prevx1 V2 2008.01.07 - 
Rising 20.26.02.00 2008.01.07 - 
Sophos 4.24.0 2008.01.07 - 
Sunbelt 2.2.907.0 2008.01.05 - 
Symantec 10 2008.01.07 - 
TheHacker 6.2.9.183 2008.01.07 - 
VBA32 3.12.2.5 2008.01.06 - 
VirusBuster 4.3.26:9 2008.01.06 - 
Webwasher-Gateway 6.6.2 2008.01.07 BlockReason.0
```

Медленно как-то реагируют  :Smiley:

----------


## borka

> Медленно как-то реагируют


Ну, у нас праздники еще не кончились, но у них-то что?

----------


## Макcим

> Медленно как-то реагируют


На *.html зарубежные вендоры почти ни как не реагируют. Например вир. лаб авиры такое даже не рассматривает.

----------


## Surfer

Авира как раз рассматривает, php, js, html - всё что я посылал добавляют.

----------


## Lamazz

AntiVir 7.6.0.46 2008.01.07 Exp/*HTML*.Agent.X.1

----------


## NVOLD

*VBS.Packform* - Это вирус?
Сайт вскрыли похоже и он предлагал установить: *ANTIVIRUSPROINSTALLER.EXE*
Скачал, кликнул... Он только обои поменял и исчез!
По названию поиском выловил файл и удалил.
Название мои форумчане узнали от DrWeb при входе на сайт.
Теперь не пойму, что делать...
*NOD32* и *Outpost Firewall Pro 2008* ничего не видят!

----------


## pig

Вам сюда.

----------


## Natalka

Всем привет!
я -ЧАЙНИК! у меня вирус Win32.banwarum.o, не могу найти как его удалить! стоит windows XP. нашла у касперского только описание модификатора Win32.banwarum.a. что делать? как его удалить????

----------


## AndreyKa

Natalka, вам надо в раздел Помогите.
Правила для обращения туда тут:
http://helpme.virusinfo.info/

----------


## Natalka

спасибо)

----------


## Garrett

Здравствуйте! 

Хочу поблагодарить Ваш сайт за то, что он есть ) Только благодаря ему я сумел победить какой-то новый штам Bagle, который я подцепил запуская кряку к Painter IX.5. NOD не только промолчал, но и благополучно сдох. Развитие сюжета схоже с http://virusinfo.info/showthread.php...ighlight=Bagle. Только он у меня еще и IceSword не давал запустить, и CureIT. "Танцы-бубны" помогли ) Очень много почерпнул из тредов этого форума.

Судя по сообщениям об этом вирусе, все датируются январем этого года (не только на этом форуме). Это что полный свежак? Вот мне свезло-то )
И судя по всему, его запуску такими дураками как я, не противостоит ни один антивирус? Или уже научили? Лучше бы научили, уж больно он изворотливый )

----------


## mr.alen

Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет . 
Win32.HLLW.MyBot так Dr.Web его обзывает

----------


## AndreyKa

> Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет . 
> Win32.HLLW.MyBot так Dr.Web его обзывает


Вы ничего не путаете? Странная комбинация имён...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mr.alen

В полне нормально, ведь просмотрев червя в иде хорошо видно что там и бэкдор сидит

----------


## kirevg

Сегодня после обновления KIS компьютеры на работе и дома заверещали и нашли вот это:
вирус Worm.Win32.Dianyz.b Файл: C:\WINDOWS\system32\notepad.exe
Винда установлена была Zver (знаете, конечно) - там стандартный нотепад был заменен, а теперь в нем вирус...
Хотелось бы прислать файлик Вам для диагностики.
если не туда запостил - извините. Модераторы переместят, я думаю, куда нужно.
Заранее благодарен за ответ!

----------


## Гриша

Вам сюда http://virusinfo.info/forumdisplay.php?f=46

----------


## mbentefor

Иногда находится Майкрософтом как


```
TrojanDownloader:Win32/Renos.gen!AH
```

Больше ничто его не видит.

Как правило появляется на компьютере вследствии загрузки псевдо-кодека из порно-сайта.
Кодек имеет имя вида "sysa***.exe".

После запуска для установки показывается сообщение "Operation system not supported".
При этом в папку %WinDIR% копируются пять файлов с назвами вида "sysa**********.exe". Два из них имеют иконку щита с изображением лого ХР. (Как во время обновления Винды). Плюс все эти файлы запускаются и записываются в реестр на автозапуск текущего пользователя. (...\Run)
Через примерно 10 минут выскакивает сообщение в правом нижнем углу экрана над иконкой обновления ОС типа "на вашем компьютере обнаружено шпионское ПО. Кликните на это сообщение чтобы установить необходимые обновления". После клика программа заходит на сайт откуда можно скачать PC Protector - чет типа АВЗ (не имеет никакого отношения к Майрософту). Если не зайти на сайт а кликнуть по крестику вверху сообщения, то Оно исчезает и через 10 сек. появляется опять.

Кроме того заменяет фон рабочего стола на синий экран с надписью "все ваши действия могут быть увидены другими" (примерный перевод) и еще много текста.

----------


## TRANCLUGATOR

Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net, 
 :"http://": www.gbhltd.com/img/editor/top/
Там можно скачать этот файл (осторожно, может быть вирус!)

В архиве файл с расширением .scr (вроде как программа-заставка), но он у меня не запукается (то есть по дабл-клику указатель мыши превращается в указатель занятости системы на пару секунд, и больше ничего не происходит), что вызвало подозрения. Проверка на вирустотале дала положительный или сомнительный результат от несколькиз антивирей, но многие самые авторитетные антивири (дрвеб, касперыч, НОД, БД) промолчали. Как еще проверить, что это было? Может, мне уже надо комп лечить? Прошу прощения, если не в ту тему пишу.

Кстати, ситуация осложнилась тем, что этот приятель сообщил, что он ничего никому не посылал, а теперь ему сыпятся по аське претензии о том, что, якобы, он присылал им ссылки (похоже ,либо кто-то в его компе сидит, либо аську его увел).

----------


## ALEX(XX)

> Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net, 
> http://www.gbhltd.com/img/editor/top/
> Там можно скачать этот файл, прямая ссылка на файл (осторожно, может быть вирус!)


Очень странный файл...   :Shocked:

----------


## TRANCLUGATOR

> Очень странный файл...


Спросил у других приятелей, которым приходило это сообщение - некоторые пытались запускать - запуск также не удался. У одного ругнулся 3-й NOD у меня блин второй =(

Да и сайт-то это не фишковский, а поддельный. 
Некоторые уже попались по тому же сценарию, об этом написано вот тут
http://forum.sources.ru/index.php?showtopic=230224

Похоже, мне придется в помогите обращаться =(

----------


## AndreyKa

> Очень странный файл...


AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
http://www.virustotal.com/ru/analisi...259cecb66d1b06
Так что, всем, кто запускал советую поменять все пароли, используя чистый компьютер и не пользоваться зараженным пока не выличите.

----------


## XP user

> AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
> http://www.virustotal.com/ru/analisi...259cecb66d1b06


Хотя Nod32 на virustotal не реагирует, на компьютере выдаёт - Win32/Statik

Paul

----------


## TRANCLUGATOR

А если фаер все это время в режиме блокировки стоял - не страшно?

----------


## 1205

Касперский с последним обновлением находит *Trojan-PSW.Win32.LdPinch.sez*

----------


## TRANCLUGATOR

Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O

----------


## ALEX(XX)

> Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O


Настройки?

----------


## TRANCLUGATOR

Все, что нашел, поставил на максимум ,мог конечно и пропустить что-нибудь, так как эту версию только что поставил. Может, руткиты? Но, по идее, НОД и антируткит тоже. Ниче не пойму.

----------


## Alex_Goodwin

Может версии на серваке разные в разное время лежали?

----------


## XP user

> А если фаер все это время в режиме блокировки стоял - не страшно?


Нет. Только если модуль HIPS в файрволе ловил бы процесс или подозрительный .exe, то тогда он его остановил бы (Комодо это умеет без сигнатур). Но Пинч для файрвола законная часть того, что вы скачаете через разрешённый (не дай Бог ещё 'доверенный') браузер...

Paul

----------


## TRANCLUGATOR

> Может версии на серваке разные в разное время лежали?


Может, однако, онлайн-сканнер файлов на сайте Касперского показывает, что именно мой файл заражен, онлайн-сканнер дрВеба пишет ОК. Самое фиговое, что сам-то файл я удалю, а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет. Наверное, еще AdAware проверю.

Видимо, придется мне в "помогите" все же обращаться. :Sad:

----------


## 1205

Сегодня в 19:02 архив BestMarch.zip был обновлен. В настоящее время Каспер его не детектирует, но будет со следующего обновления как 
*Trojan-PSW.Win32.LdPinch.sfb*
Возможно, из-за обновления трояна, его и не детектит NOD32. И вообще, если они будут обновлять свой пинчик каждые два часа, то антивирусы просто не успеют со своими сигнатурами...

----------


## ALEX(XX)

> а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет.


Судя по *LdPinch,* он первым делом попытался стырить пароли.

----------


## TRANCLUGATOR

Да уж, завтра придется обращаться за помощью, может, к тому времени поспеет что-нибудь. Удалить-то лезущие в инет множественные файлы TheBestMarch.scr я поудалял, но вот не инсталлировали ли они в систему каких-то еще файлов - вот это вопрос, который завтра мне придется решать (и просить помощи у вас). Сегодня а то поздновато уже.

Кстати, только что пришло еще одно обновление сигнатур НОДа - так и не ловит. Видать, на моем компе что-то мешает ему ловить эту заразу, если у Вас определяет. Файлик-то скачан днем был еще.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mbentefor

Размер такой большой потому, что после окончания программы в файл записано много-много нуликов. В оригинале файл занимает 64 кб.
ставь себе F-Secure либо Avira.
Они прекрасно все видят.

----------


## 1205

Архивчик снова обновили. Каспер, Доктор, Нод, Симантек и прочие известные не детектируют. AVG и Авире респект.
http://www.virustotal.com/analisis/1...29bef2f6788b80
Касперскому файл уже отправлен.

----------


## psw

А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
http://www.virustotal.com/ru/analisi...03bfa65f96fd79

----------


## 1205

> А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
> http://www.virustotal.com/ru/analisi...03bfa65f96fd79


По классификации Касперского:
вчерашний дневной- *Trojan-PSW.Win32.LdPinch.sez*
вчерашний вечерний (обновлен в 19 часов)- *Trojan-PSW.Win32.LdPinch.sfb*
сегодняшний (обновлен в 12 часов)-  *Trojan-PSW.Win32.LdPinch.sfh* (детектирование будет со следующего обновления Каспера)
И пока кто-нибудь не отошлет им в лабораторию новую версию, ловить не будет. А некоторые версии его предшественника (TheBestFebruary.zip) определялись тем же КАВом как Heur.Trojan.Generic.
Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.

----------


## ALEX(XX)

> Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.


Да ну? Так уж и не страшен?

----------


## 1205

> Да ну? Так уж и не страшен?


Ну троян конечно ничего хорошего не сделает, если его запустить. Но если включен KIS, который отреагирует на запуск программы, и пользователь последует здравому смыслу и нажмет "Запретить", то ничего плохого не произойдет. Ведь понятно, что для видеоролика обращение к паролям и соединение с интернетом-весьма странное поведение.
А вот простой KAV этот пинч не словит, если в базах его еще нет. И это не радует. Авторы могут изменять свой троян чаще, чем касперовцы добавляют сигнатуры и выпускают обновления. А выявлять модификации пинча без баз, как делают некоторые антивирусы (тот же AVG вылавливал все вариации этого bestmarch сразу по единой сигнатуре), Каспер, к сожалению, не может.

----------


## VID

Люди спасите помогите нубу.
пришло в аську такое сообщение

Привет, смотри  :Smiley: 
 :"http://": aaario.eu/ru/top/
(  :"http://": aaario.eu/ru/top/TheBestMarch.zip )
Классная вещь :-)

Ну я взял и клацнул, оно скачалось, запустил, эфекта ноль. Тут я и понял что наверное это что-то не хорошее. Поиск в гугле вывел на этот форум. Касперский не детектит эту заразу, скачал триальный AVG он тоже ничего не нашел только придрался к какомуто доисторическому краку и инсталах. Скачал триальный Avir он тоже ничего не нашел...
Что мне делать как действовать? Может так получиться что вирус не сработал и сканы не находят его потому что его нет?
Понимаю что вопрос скорее всего глупый, но если бы знал что делать то не спрашивал.

----------


## Гриша

Уберите активные ссылки!Этот пинч самоуничтожается.

----------


## VID

Т.е. не прягтись, все ок? Это у меня паранойя...
Я не понимаю что такое пинч((

----------


## ALEX(XX)

> Я не понимаю что такое пинч((


Вкратце, семейство троянов, которые воруют пароли (и не только)

----------


## Гриша

Все плохо,в архиве есть заставка или видеоролик,но они не совсем обычные,в них вклеен пинч-троянская программа,которая ворует пароли,после запуска этих файлов он активируется,собирает все ваши пароли,отправляет их своему владельцу по средствам Email или ICQ а затем самоуничтожается,то есть искать его в системе безполезно.

----------


## VID

Вот этого я и не хочу что бы у меня увели пароли. Что мне делать? Поменять их везде?

----------


## Гриша

Да смените все пароли,как можно быстрее,другого решения здесь нет.

----------


## VID

Спасибо. Будем надеяться что все обойдется)

----------


## fksm

Вышел новый червь, название пока не знаю.

Симптомы: зависает Internet Explorer, сетевой канал забит паразтным трафиком, сетевые службы работают нестабильно. Сильно жрёт Интернет.

Файлы червя:
C:\WINDOWS\system32\Drivers\SDN44.SYS
C:\WINDOWS\system32\WLCTRL32.DLL
C:\WINDOWS\system32\9 (невидим)

Описание:
Червь создаёт службу Sdn44 и прописывает загрузку этой службы в любом режиме (минимальная загрузка, безопасный режим, нормальная работа). Ветвь реестра соответсвтующая данной службе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\Snd44, служба ссылается на файл SDN44.SYS. Паралельно этой службе в системе создаётся объект уведомления который ссылается на файл WLCTRL32.DLL. Ветвь реестра соответствующая объекту уведомления HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu  rrentVersion\Winlogon\Notify\WLCtrl32.
Червь создаёт исходящие подключения на разные адреса в интернете пытаясь имитировать DoS атаку. 
Назначение файла "9" мне не ясно, думаю это вспомогательный объект червя.

Удаление:
Для удаления мне понадобилось загрузить машину в MSDOS и удалить описанные выше файлы. Удаление из работающей ОС осложняется невозможностью выгрузки файла SDN44.SYS, т.к. он является модулем ядра. Будучи запущеным сервис Sdn44 не позволяет удалить соответсвующие ключи реестра для обезвреживания что и создаёт трудности.

Заключение:
В заключение выкладываю архив с файлами для ознакомления.

{moderated: если хотите поделиться, присылайте в соответствии с приложением 3 раздела помогите}

----------


## ALEX(XX)

И, насколько понял, создаёт устройсво Rntm31

----------


## Гриша

И чего здесь здесь нового?это типичный булкнет.

----------


## старт

Добрый вечер! у меня вот такая проблема, может конечно не по теме, но тогда расскажите куда писать.
у меня стоит доктор веб, с сегодняшнего дня, вот уже 12 раз за несколько часов он отсекает некоего WoRm.Sifiliz что это за зверь такой, может кто знает?Доктор просто запрещает ему допуск

----------


## Alexey P.

Не пользуйтесь IE, используйте Опера или Firefox
Worm.Sifiliz - это скрипт на зараженном сайте, через который Вы можете получить довольно большую пачку троянов. Это действительно опасная вещь.

----------


## старт

у меня стоит макстон и опера ими и пользуюсь, спасибо! а куда этот зверек хочет залезть и что он впервую очередь поражает?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

Макстон - это IE в особой шкуре.

----------


## старт

Вот очевидно этот в особой шкуре меня и подвел! По традиции запускаю два скана,
Доктор Веб ничего не нашел, а Spyware Terminator обнаружил вот такую штучку -
Backdoor.W32.Hupigon.BOO определил как угрозу! Но угроза ли это???

----------


## zerocorporated

> Вот очевидно этот в особой шкуре меня и подвел! По традиции запускаю два скана,
> Доктор Веб ничего не нашел, а Spyware Terminator обнаружил вот такую штучку -
> Backdoor.W32.Hupigon.BOO определил как угрозу! Но угроза ли это???


1.Чтоб больше не подводил вас некто рекомендуется прочитать книгу http://security-advisory.virusinfo.info/

2.Скорее всего вам в раздел помогите (правила внимательно прочтите)

----------


## Leks

Добрый вечер! Ничего не нашёл о трояне под названием win32.sality.ak - известно только что он из Китая... поделитес ьпожалуйста сведениями! он блокирует запуск exe-файлов и самораспространяется, нод и каспер не может найти... возможно, новый, найден оаупостом...

----------


## zerocorporated

> Добрый вечер! Ничего не нашёл о трояне под названием win32.sality.ak - известно только что он из Китая... поделитес ьпожалуйста сведениями! он блокирует запуск exe-файлов и самораспространяется, нод и каспер не может найти... возможно, новый, найден оаупостом...


http://www.threatexpert.com/threats/...sality-ak.html

Кстати может вам пора в раздел "Помогите" по правилам?

----------


## 1205

От  знакомого человека в аське пришло:



> привет
> feels-energy.com/01505/
> посмотри, классная вещь!


По ссылке опять поддельный сайт приколов, предложение скачать супер "видеоролик".
Heur.Trojan.Generic
Опять пинч, наверное.

----------


## Karlson

там еще с 79,135,167,18/ццц/ццц/файл.екзе грузится..


```
обнаружено: троянская программа Trojan-Downloader.Win32.Kset.h	URL: http://79,135,167,18/www/www/bin/file.exe//#
```

а то, что скачивается под видом картинки действительно пинч.. 
http://www.virustotal.com/ru/analisi...1def652c6ea4fa

----------


## Hanson

что за разновидность такая wigon.cl  ??????
гугля молчит про него

----------


## Гриша

Спамбот,от модификации там почти ничего не зависит...

----------


## Hanson

оригинальная модификация,
пару драйверов, и еще winnt32, winnt64
а привычного winctrl32 небыло

----------


## Гриша

Разница только в названии  :Smiley:  а цель одна,это библиотека рассылает спам а драйвера ее прикрывают...

----------


## Hanson

а еще на днях попался win32.Trojan.Cacha
а про этот можешь рассказать чтонибуть??
к сожалению закарантинеть неудалось, его Cureit прибил

----------


## Гриша

Неа,такого не знаю  :Smiley:

----------


## Tikhomirov_Evgeny

> что за разновидность такая wigon.cl  ??????
> гугля молчит про него


аналогичный вопрос
Нод и CureIt бессильны

----------


## Hanson

аналогичный ответ 




> Разница только в названии  а цель одна,это библиотека рассылает спам а драйвера ее прикрывают...

----------


## Karlson

архив уберите из темы - не по правилам...

червячек свежий..

----------


## Crystal

Уф... я тут еле поборол один комп был заражен 18.02.09... поудалял туеву кучу вирусов и троянов... я стока ещё не видел... штук 50 видов..и комп даже работал!!! NOD32 Smart Internet Security не справился того же 18.02.09 он впоследний раз обновлялся и помер... прогонял с загрузочного CD CureIt! от 26.02.09, AVPTool 27.02.09 и умудрился AntiVir поставить, обновить и просканить... каждый находил и удалял что-то... но куча всего оставалось (например файлы 0.exe, 1.exe .... в папках Windows, в drivers, system, system 32, Windows\intel, Windows\system32\Sony... вобщем 0.exe, 3.exe, 5.exe, 7.exe... были удалены разными антивирусами (тоесть один антивирь все такие файлы не удалял каждый по одному) а оставшиеся я грохал вручную.... после загрузки с помощью AVZ ещё с десяток удалил.... ну и проверив все папки на предмет наличия файлов от 18.02.09... просканил их на VirusTotal обнаружил ещё несколько которые не определяются практически ничем... но вроде и не активные были.. уже... 

куда посылать зверей (к сожелению только те что сканил на вирустотал мож тока ошмётки)
moderated
пароль: virus

----------

