PDA

Просмотр полной версии : Email-Worm.VBS.Agent.j - вирус, удаляющий файлы на диске



Зайцев Олег
16.06.2007, 15:40
Вирус является исполняемым файлом, размер около 91 кб, иконка в виде сердца. Файл является самораспаковывающимся RAR архивом, который содержит скрипт для автозапуска одного из извлеченных файлов. Внутри архива содержится 5 скриптов на Basic + файл "Я люблю тебя Пусичка.txt". Скрипты примитивны, но тем не менее они зашифрованы и разбавлены кучей переводов строки. Шифровка скриптов идентична - текстовая константа с зашифрованными данными + дешифратор (xor с ключем в цикле) + команда запуска расшифрованного скрипта. Скрипт 05.vbs из состава вируса очень опасен - он осуществляет поиск файлов в цикле и при совпадении расширения файла с одним из заданных в теле скрипта (там целый список, 23 штуки - doc, xls, ppt, txt, avc, jpg, zip, rar, 7zip, mp3, avi, htm, wmv, wma, exe, iso ..) то скрипт по сути затирает файл - файл при этом станется на диске, но в результате будет иметь нулевую длинну.
Вирус рассылает себя по электронной почте, за эту операцию отвечает скрипт 4.vbs. В теле скрипта имеется 43 адреса для поля "From" письма, основная масса с сервера mail.ru, выбор адреса идет случайным образом. Выбрав адрес, зловред создает файл pusia.pkv в корне диска C, после чего ищет в системных папках папку Application Data\MRA\Avatars (принадлежащую mail.ru Agent), сканирование этой папки создается список получателей вируса (на служебный адрес mail.ru стоит фильтр). Далее ведется рассылка при помощи объекта CDO.Message через сервер smtp.mail.ru. В заголовке писька указывается "Открытка от mail.ru", в тексте сообщается, что пришла открытка и дается ссылка для ее загрузки, ведущая на pusia_card.scr - тот самый SFX архив с вирусом.

Вывод - не стоит запускать EXE неизвестного предназначения, скачанные из Инет ....

KarpEn
17.06.2007, 01:37
Мне тоже пришла открытка. Я еще засомневался сначала... :) Поэтому решил сначала сюда прийти почитать. Даже две. Одна от мэйл.ру, другая от хттп://www.dlyatebya.info. Вот скажите, каким образом он запускается? Стоит пройти по ссылке, и он уже начнет свою деятельность?

Alex_Goodwin
17.06.2007, 03:19
По ссылке ходить не стоит. Мне тоже сегодня одна пришла... В теле письма видна одна ссылка- реально другая. Так, что лучше не ходите, м.б. там exploit.

Jolly Rojer
18.06.2007, 06:58
По ссылке ходить не стоит. Мне тоже сегодня одна пришла... В теле письма видна одна ссылка- реально другая. Так, что лучше не ходите, м.б. там exploit.

Тоже такая же пришла ссылочка...

Dei777
07.08.2008, 19:37
Люди я кажется поймал этот вирус. Он затер 60 гигов что делать:(:O

borka
07.08.2008, 21:40
Люди я кажется поймал этот вирус. Он затер 60 гигов что делать:(:O
Прочитать Правила (http://virusinfo.info/showthread.php?t=1235).

Dei777
08.08.2008, 06:30
Я вирус убил. Как файлы восстановить. Есле сложно сказать то писать прочитай или посмотри не надо. Буду искать у других.

anton_dr
08.08.2008, 08:29
Файлы, если у вас был именно данный экземпляр, никак не восстановить. Для уточнения, что именно было у вас, выполните Правила (http://virusinfo.info/showthread.php?t=1235)

Dei777
08.08.2008, 20:16
Разабрался без вас. Читайти свои правила сами.:>

anton_dr
08.08.2008, 20:30
Да пожалуйста. Вы обратились за помощью - вам рассказали, после каких действий с вашей стороны её можно получить.
Разобрались сами - ну так это хорошо. У наших специалистов будет больше времени для помощи действительно нуждающимся в ней.

Vagon
15.08.2008, 20:13
А как обстоят дела с антивирусами обнаруживают этот вирус или нет???Спрашиваю потому,чтобы быть готовым если подобный зловред попадёт мне на комп.Спасибо.

priv8v
15.08.2008, 20:28
в ЛК (Лаборатория Касперского) этот зловред знают 100% - за остальные же антивирусные компании столь высокими процентами ручаться не берусь)

Гриша
15.08.2008, 21:06
Этому червяку 100 лет в обед,его все должны детектить...

Макcим
15.08.2008, 22:49
Спрашиваю потому,чтобы быть готовым если подобный зловред попадёт мне на комп.Делайте резервные копии. Лучшее средство профилактики.

makZzz
03.09.2009, 16:09
Короче кликнул на один такой файл в .vbs формате пропали все фотки, точнее стали таким же форматом и весят по 10кб. Что теперь делать незнаю, вот от очаяния решил написать сюда, может у кого есть какие идеи как вернуть память?

Зайцев Олег
03.09.2009, 17:13
Короче кликнул на один такой файл в .vbs формате пропали все фотки, точнее стали таким же форматом и весят по 10кб. Что теперь делать незнаю, вот от очаяния решил написать сюда, может у кого есть какие идеи как вернуть память?
Вернуть память или картинки ? Образец VBS есть ? Картинки вернуть просто - с CD/DVD/флешки/мобильного HDD и или их аналога, который применялся для резерного копирования и содержит соответственно их резервные копии. Если резервных копий нет - то значит данные были ненужными ... (DVD балванка стоит копейки и при этом 4.5 Гб объемом - 2-3 дисков хватит для бытового бекапа). Если данные были нужными и не было резерных копий, то это тупик ... выход только один - срочно выключить ПК (каждая запись на HDD снижает вероятность и качество восстановления) и тащить HDD в контору по восстановлению данных или к знакомому системщику, который умеет это делать. Если повезет и специалист/контора опытные, то иногда данные спасти можно (при условии, что зловред не затирает их содержимое). Если содержимое затирается, то картинкам капут.

makZzz
03.09.2009, 17:54
Видимо капут картинкам =( Раньше был такой случай что форматнул и потер все файлы, все до единого получилось востоановить одной программой. Сейчас пробую находит почему то тока существующие и недавно мной удаленный (те же VBS в том числе ) обидно конечно что недодумался кинуть на болванку (

makZzz
04.09.2009, 02:31
вот 2 образца, две бывшие фотки :(



Результат загрузки
Файл сохранён как 090904_080541_New Folder (2)_4aa09215e18d3.zip
Размер файла 20336
MD5 7293ccda65d6ef5790aa34c5f5967885

makZzz
04.09.2009, 21:44
Непонял я этой цитаты. Куда сохранен и что за размер такой?

pig
04.09.2009, 21:49
Куда надо - туда и сохранён. А цеплять к теме непонятно что, возможно, вредоносное - это моветон. Мало ли кто мимо проходящий скачает, запустит, а потом пожалуется в местное ФБР на распространение вредоносных программ.

makZzz
05.09.2009, 04:04
Куда надо - туда и сохранён.
Да ты оптимист.
То что снесли мой образец мне фиолетово, главное что он попал именно к тому человеку кто в этом действительно разбераеться. Смысл в том что я не разбераюсь в его языке (хакерском, или как это назвать) поэтому и переспросил, а вот смысл в твоем сообщении я вобще невижу. Вот если ФБР (излешнее громко сказано) интересовала подобная ситуация то к тебе бы они обратились раньше, например по скачиванию нелегально музыкальных файлов да? Ну или по другой там причине...Мало ли кто скачивать бог знает что небудет, я можно сказать наоборот помогу мало ли кому, прочитает, скачает,посмотрит как и что они выглядит и небудет это открывать чтоб не случилась подобная проблема как у меня да? Вобщем мое любопыство не оставляет меня по поводу случевшегося и реально ну хоть чтонибуль вернуть?

makZzz
08.09.2009, 18:25
ну так что точно ничего?

makZzz
14.09.2009, 20:48
up