Опасная троянская программа, уничтожает данные пользователя на диске. От данного зловреда пострадали многие пользователи, зафиксирован буквально шквал обращений (в том числе в конференциях http://virusinfo.info (http://virusinfo.info/) и http://forum.kaspersky.com (http://forum.kaspersky.com/)
Видимые проявления - в автозапуске появляется посторонний файл one.exe (файл размещается в папке Windows), который является SFX архивом. В случае запуска он распаковывается в корень диска C:, при это создаются следующие файлы: dr.vbs, DR1.dr, DR2.dr и DR3.dr. Файл dr.vbs после этого запускается (для извлечения файлов и запуска в архиве имеется скрипт: Path=c:\ Setup=dr.vbs).
Скрипт dr.vbs зашифрован для защиты от изучения, шифровка примитивная. Расшифровка показывает, что скрипт ищет файлы на диске (при этом анализируются все диски системы с типом Fixed (т.е. HDD) и Network (сетевой диск)), и в зависимости от расширения копирует заготовки
DR1.dr - DR3.dr поверх некоторых файлов. Поражаются файлы следующих типов:
mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave - поверх них копируется файл DR1.dr
jpg,bmp,gif,png -> DR2.dr
txt,xlsЭ,doc,htm,xl -> DR3.dr

Файл DR1.dr является музыкальным файлом с ID3 тегом "Тут могла быть ваша РЕКЛАМА!!! По вопросам размещения во второй волне : xxx@yyyy", соответственно DR2.dr - это картинка формата JPEG (в ней призыв разместить рекламу написан на картинке, причем с лозунгом "Диструктивная реклама") и DR3.dr - текстовый файл, по содержимому идентичный ID3 тегу DR1.dr.

Как очевидно из описания, файлы перечисленных расширений будут уничтожены, резервных копий затираемых файлов зловред не делает.

Скрипт по некоторым стилистическим элементам похож на аналогичного деструктивного зловреда Email-Worm.VBS.Agent.j (http://virusinfo.info/showthread.php?t=10437)

Внедрение в систему и распространение
Зловред распространяется в виде файла с расширением SCR, размер файла - 424 кб, это SFX архив с файлами 01.vbs, 02.vbs, 03.vbs, 04.vbs и one.exe внутри. В случае запуска файлы извлекаются в папку Windows и идет запуск 01.vbs
1. WINDOWS\01.vbs - проверяет наличие в корне диска dr.vbs. Если его нет, то запускается 02.vbs и самоуничтожается
2. WINDOWS\02.vbs - просматривает папки в каталоге Mra\, принадлежащем MailRu Agent. Сканированием этой папки строит список адресов - найденные адреса заносятся в файл "c:\DR.dr", после чего запускается 03.vbs и самоуничтожается
3. WINDOWS\03.vbs -регистрирует в реестре файл one.exe, блокирует запуск редактора реестра и диспетчера задач через политики, после чего рассылает на один из встроенных в тело скрипта адресов письмо, текстовка "complete..." + аттчач - файл c:\DR.ey, после чего запускает 04.vbs и самоуничтожается. Файл DR.ey содержит данные ключа реестра Software\Mail.Ru\Agent.
4. WINDOWS\04.vbs Рассылает письма c заголовком "Вам пришла открытка от: xxxx" и телом "Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: xxxx@ Открытка ждёт Вас по адресу: <полный адрес файла SCR, инсталлирующего зловреда>. Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней."

Для поражения ПК нужно перейти по указанной в подобном письме ссылке, загрузить и запустить файл (подтвердив запрос системы на запуск). Таким образом следует вспомнить основную заповедь безопасности в Интернет - не следует переходить по подозрительным ссылкам и запускать непонятные программы, загруженные по этим ссылкам ... Зловред заменяет все текстовые файлы, звуки и картинки, в том числе и системные и принадлежащие различным программам - поэтому если он отработал, то стоит или восстановить систему из резервной копии, или произвести ее переустановку

Всё понятно...пасиба.. Вот тока у мя небольшой вопросик: раз все файлы были заменены на новые, то почему, когда я сморю на папку с рисунками (вид - эскизы страниц) на ней отображаются мои нормальные фалы, а не эта шняга? Т.е. нормальные файлы на компе всё ещё есть, разве нет??

Нет. Есть соханённые системой малоформатные эскизы, которые зверь не затёр. Возможно, потому, что они хранятся в какой-то закрытой базе, о которой зловред понятия не имеет.

Нет. Есть соханённые системой малоформатные эскизы, которые зверь не затёр. Возможно, потому, что они хранятся в какой-то закрытой базе, о которой зловред понятия не имеет.
Именно так дело и обстоит. XP кеширует эскизы для быстрого просмотра, файл базы данных имеет имя Thumbs.db (с атрибутами скрытый + системный), такой файл автоматом создается системой в папках с рисунками при условии, что папкая отображается в режиме "эскизы страниц". Зверь его не трогает, но и вынуть оотуда ничего интересного нельзя - эскизы размером с крупную иконку.

Олег, он трет файлы только на диске C или на всех локальных дисках, или же на всех доступных - сетевые диски, расшаренные папки на других компьютерах?

Олег, он трет файлы только на диске C или на всех локальных дисках, или же на всех доступных - сетевые диски, расшаренные папки на других компьютерах?
На всех HDD и на всех доступных сетевых дисках

Сетевых дисках и/или сетевых папках? :) Это все-таки вроде разные вещи.

Народ, а сэмпл у кого-нибудь есть этого зловреда?
Поделитесь плиз....

Сетевых дисках и/или сетевых папках? :) Это все-таки вроде разные вещи.
Именно на сетевых дисках. Т.е. эта штука енумерирует все доступные дисковые устройства пораженного ПК и в цикле проверяет тип для каждого найденного диска. Если диск имеет тип Fixed (т.е. это HDD) или тип Network (сетевой диск), то делается попытка его "обработки". Сканировать сеть на предмет поиска ПК и соответственно наличия на нем доступных для записи расшаренных папок он к счастью не умеет.

Понятно, спасибо.

Народ, а сэмпл у кого-нибудь есть этого зловреда?
Поделитесь плиз....Вам зачем? Мы не занимаемся распространением вирусов.

Вам зачем? Мы не занимаемся распространением вирусов.

Хочу проверить Dr.Web на ликвидность и если пропустит, отдать им... так как тесно с ними сотрудничаю....
Дабы это не было как пиар-акция...

Хочу проверить Dr.Web на ликвидность и если пропустит, отдать им... так как тесно с ними сотрудничаю....Dr.Web его уже детектирует как Trojan.MulDrop.7430.

Dr.Web его уже детектирует как Trojan.MulDrop.7430.
Да, из всех антивирусов его ловит только AVP и WEB

Скоро ещё будет ловить Avira. Я ещё отправил авасту и ноду (в субботу или воскресенье) - тишина... Вот и показатель качества.

Dr.Web его уже детектирует как Trojan.MulDrop.7430.

Ну дайте поэкспериментировать с детектом и добавить в свою коллекцию (в которой уже 1500 вирусов...) Мне это Важно...
мыло Вам куда кинуть???

Зайцев Олег, И что, сейчас нельзя восстановить эти файлы?

Ну дайте поэкспериментировать с детектом и добавить в свою коллекцию (в которой уже 1500 вирусов...) Мне это Важно...Ещё раз говорю, мы не даем аттачи посторонним.

Ещё раз говорю, мы не даем аттачи посторонним.

Я не посторонний, я всегда бываю на http://www.anti-malware.ru/phpbb/ и www.lemnews.com и на форуме Dr.Web...
И потом, если я сказал, что я честный человек... значит это так, даю ВАМ слово офицера...

Вам этого достаточно???

STALK:ER
И давно сотрудничаете ? ;)

Как тестер не совсем, точнее недавно. А как продавец и пользователь давно...

Зайцев Олег, И что, сейчас нельзя восстановить эти файлы?
к сожалению нет.

Я не посторонний, я всегда бываю на http://www.anti-malware.ru/phpbb/ и www.lemnews.com и на форуме Dr.Web...Для нас Вы посторонний.

Я не посторонний, я всегда бываю на http://www.anti-malware.ru/phpbb/ и www.lemnews.com (http://www.lemnews.com) и на форуме Dr.Web...
Становитесь хелпером - получите шанс поймать свежего зверька своими руками.

Становитесь хелпером - получите шанс поймать свежего зверька своими руками.

Вот и прошу его у Вас так, как мне он не попадается...

Вам сюда: http://virusinfo.info/showthread.php?t=8062

Да, из всех антивирусов его ловит только AVP и WEB

Еще Касперский...

Еще Касперский...Касперский=AVP ;)

STALK:ER, интересный вы человек. Утром вам отказал и на пальцах объяснил "почему другие откажут". Становитесь хелпером тут или тестером на anti-malware.ru, иначе никак.

STALK:ER, интересный вы человек. Утром вам отказал и на пальцах объяснил "почему другие откажут". Становитесь хелпером тут или тестером на anti-malware.ru, иначе никак.Я думал это "завсегдатый" anti-malware.ru, а оказывается он и там появился только ради этого образца... Всё ясно.

Здесь тоже кое-что есть по этому вопросу...
http://amina-hh.livejournal.com/

Но блин, вылечить не удастся :`(

Не понимаю, что все так расшумелись из-за этого вируса. Разве что заменяет нужные файлы на картинку с фильма ужасов ;)А так, обычный способ распространения : Главный инициатор заражения как всегда сам пользователь.Мораль такова : не фиг всякое г. скачивать и тем более устанавливать. А если уж кликнули нечаянно... совет на будущее: надо до этого поставить и настроить довольно старую утилиту AnalogX Script Defender (http://virusinfo.info/showthread.php?t=10443), чтобы вас спрашивала, выполнять или нет. Выбирайте нет, если не хотите неприятностей на свою голову ;)

Главный инициатор заражения как всегда сам пользователь.Мораль такова : не фиг всякое г. скачивать и тем более устанавливать.
Бесполезно. Скачивали, скачивают и будут скачивать. Как говорил один мой знакомый: "Там же было написано для Саши. А я Саша!" ;)

Бесполезно. Скачивали, скачивают и будут скачивать.
-На мыло фотка(с подругой.exe) пришла, я ее проверил антивирусом, он сказал, что вирусов нет, ну я эту фотку и запустил...
или
-Касперский ругался на открытку, которую мне прислали, пришлось его выключить, а оказывается не зря ругался.

Не понимаю, что все так расшумелись из-за этого вируса. Разве что заменяет нужные файлы на картинку с фильма ужасов ;)А так, обычный способ распространения : Главный инициатор заражения как всегда сам пользователь.Мораль такова : не фиг всякое г. скачивать и тем более устанавливать. А если уж кликнули нечаянно... совет на будущее: надо до этого поставить и настроить довольно старую утилиту AnalogX Script Defender (http://virusinfo.info/showthread.php?t=10443), чтобы вас спрашивала, выполнять или нет. Выбирайте нет, если не хотите неприятностей на свою голову ;)

В том то и дело,что присылают открытку от пользователя,который зачастую находится в адресной книге пострадавшего.В том-то и уловка-человек думает,что открытка прислана от друга.Так я не открываю никаких открыток от незнакомых людей.А тут прислана моей подругой,вроде и повод есть.Если с бухты-барахты,без всякой причины,а так была причина.И нефиг строить из себя умных,попадитесь на такую уловкув будущем.Не до советов будет

А тут прислана моей подругой,вроде и повод есть.Если с бухты-барахты,без всякой причины,а так была причина.И нефиг строить из себя умных,попадитесь на такую уловкув будущем.Не до советов будет
В данном случае:
1. Ссылка ведет не на WEB сайт, а на SCR файл - что уже само по себе очень странно
2. Так как ссылка видет на исполняемый файл, то вместо открытия страницы в открыткой система задает вопрос о том, что делать с исполняемым файлом - сохранить или запустить. Т.е. как минимум нужно вручную выбрать альтернативу "запустить" ...
3. Операционка (если речь идет об XP) почти наверняка сообщит о том, что файл получен из неизвестного источника и запросит дополнительное подтверждение на его запуск.
4. Если есть проактивка в антивирусе, то она завопит о том, что запускаемый файл безобразничает на ПК и предложит его блокировать
Т.е. для того, чтобы пострадать, нужно выполнить вручную несколько действий ...

В том то и дело,что присылают открытку от пользователя,который зачастую находится в адресной книге пострадавшего.В том-то и уловка-человек думает,что открытка прислана от друга.Так я не открываю никаких открыток от незнакомых людей.А тут прислана моей подругой,вроде и повод есть.Если с бухты-барахты,без всякой причины,а так была причина.И нефиг строить из себя умных,попадитесь на такую уловкув будущем.Не до советов будет

Настенька,проблема в том что пользователь не проявляет ни какой осторожности и запускает все что ему прислали... если антивир блокирует содержание пользователь его отключает.... точто можно сказать о таком пользователе? Мне честно сказать все равно что приходит к пользователю на домашнюю почту и что пользователь запускает на своем домашнем компе! Но вот очень не все равно когда запускает его на рабочем... Даже при наличии антивируса ! А заодно попрошу хорошо запомнить и то что картинок с расширением EXE ни когда не было и не будет, если на это научитесь обращать внимание то и проблем не будет. Ну,а если Вам не нравиться наш форум ... дык Вы сами сюда пришли, за уши Вас ни кто не тащил, а соответсвенно и ведите себя как пологаеться, без упреков и истерик!

Настя,AnalogX Script Defender и есть дополнительный барьер, как раз для таких случаев.

Я не предъявляю претензий к этому форуму,но реально обидно,когда начинают нравоучать,и делают из меня дурочку.О том,что файл EXEшного типа не было сообщено,смотрите сами:Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: ----- Открытка ждёт Вас по адресу: :http:Scrensaverscard.narod.ru/46549gdfgdf7fdg4d9g98sdf98g984sdf498dfg498df498df5 4sdfg64/adderf544658d87ed8fd55555rgdfgfdg666sdfgh6gvh5/SCardDR.scr Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.
Касперский с обновлёнными базами никак не среагировал на попадание вируса,мало того,не предупредил о том что эта ссылка может быть опасна.
Единственное,что действительно насторожило,и вы об этом упомянули:он предлагал что сделать с этим файлом,не показав реального сайта.Обычно по ссылке переходят на сайт,а оттуда уже скачивают.Да,не доглядела.Сознаюсь.
Кстати,многие Thumbsы тоже были съедены этим вирусом
.

Кстати, я тут подумал.. для того, чтобы заразить все файлы на всех дисках, вирусу нужно время. Какое - зависит от мощности компа и объема данных. Есть ли возможность уберечь хотя бы часть данных путем перезагрузки в safemode и лечением из-под него (при условии конечно, что это надо будет сделать почти сразу после заражения) ??
И еще - я правильно понял, что права NTFS не блокируют вирусу доступ?

Настя,
Могу добавить, что .scr не может быть открыткой, это расширение для заставок рабочего стола. А так как редко их устанавливаю, поставил в AnalogX Script Defender, что всем и каждому советую ;)

Кстати, я тут подумал.. для того, чтобы заразить все файлы на всех дисках, вирусу нужно время. Какое - зависит от мощности компа и объема данных. Есть ли возможность уберечь хотя бы часть данных путем перезагрузки в safemode и лечением из-под него (при условии конечно, что это надо будет сделать почти сразу после заражения) ??
И еще - я правильно понял, что права NTFS не блокируют вирусу доступ?
Он не заражает файлы, а просто заменяет своими заготовками. На современном HDD на это зловреду нужна пара минут. После этого можно грузиться уже в любом режиме, это ничего не изменит - информация уже убита.
Права NTFS блокируют, но при одном условии - что у того, кто запустил зловреда, нет права удалять или модифицировать соответствующие файлы. А если запустить зловреда из под админа, то результат несложно угадать ...

О том,что файл EXEшного типа не было сообщено, .... CardDR.scr
Не все еще знают, что запускаются не только .exe расширения


Нельзя запуcкать пришедшие по почте или по аське файлы с расширениями:
.exe, .com, .scr, .pif, .cmd. Иначе никакой антивирус Вам не поможет :)
Например:
моя фотка.jpg.scr
Анекдот.pif
документы.exe

Касперский с обновлёнными базами никак не среагировал на попадание вируса,мало того,не предупредил о том что эта ссылка может быть опасна.
Вирусы/трояны в большинстве случаев пишутся таким образом, что бы ни один антивирус их не детектил. И если же Вам "повезло" - к вам троян попал быстрее, чем а антивирусную лабораторию, то на Вашем месте я его отсылаю на анализ:
[email protected] и в [email protected]

И еще - я правильно понял, что права NTFS не блокируют вирусу доступ?
Смотря как сделал;) Я сделал специальную папку, куда файлы с инета скачиваю, с запретом на исполнение. Даже если и нажму нечаянно, вот такое окошко получиться и всё.

Смотря как сделал;) Я сделал специальную папку, куда файлы с инета скачиваю, с запретом на исполнение. Даже если и нажму нечаянно, вот такое окошко получиться и всё.
Хм, а это мысль... спасибо (отзыв не добавляется :( )

Кстати, а какую роль может сыграть в восстановлении данных возможность Windows XP рекомая "Восстановление системы"? Есть положительный опыт?

я правильно понял, что права NTFS не блокируют вирусу доступ?
Должны блокировать. Зверь выполняется с правами текущего пользователя. К сожалению, этот пользователь, как правило - администратор.

А файлы после этого зловреда можно восстановить???

Нет. Они перезаписаны, их содержимое испорчено.

Вчера вечером я спокойно сидел в Сети, как вдруг пришло сообщение: "Не хотите ли Вы стать участником тестирования нового вируса One.exe?"
Я оцепенел. Следом пришло еще одно сообщению:
"Среди участников будет разыгран конкурс, призом которого является бесплатный купон на приобретение билетов, предоставляющих право подачи заявки на получение пожизненного права на..." Дальше сообщение обрывалось. В любом случае, я был заинтригован.
Я загрузил файл OneSetup.exe и запустил его. На экране появилось сообщение: "Вы действительно хотите установить вирус?"
Я нажал кнопку "Да". Программа переспросила: "Не может быть! чем докажете?". Я написал от руки ответ на бумажке и поднес его к web-камере. "Верю" ответила программа и продолжила установку.
После ее окончания открылось окно с предупреждением об опасности вируса, после чего в трее появился значок. Из него всплывало подсказка "Virus is running".
Внезапно у меня пропали все диски, кроме системного. Я испугался, открыл панель управления вирусом и нажал "Stop". Но было поздно. Мой монитор потрескался, на нем стали пропадать пиксели. Вирус ел их. Затем он стал есть системный блок. Вирус надкусил винчестер, память и внезапно застрял в кулере. Разделся адский скрежет, у меня полопались все стекла в квартире. Я выбежал на улицу, поднял голову вверх и увидел, как в области моих окон зияет пустота. Затем дом обрушился, вирус начал есть землю. Образовалась гигантская воронка, в нее проваливались машины, дома. Вскоре весь район был погребен и съеден.
Вдруг вирус начал пить реку. Это было ужасно и мерзко. Осушив русло, он остановился и все поняли - он сейчас будет какать!
На свет стали извергаться искореженные куски материи. Половина зевак умерло от зрелища. Я едва выжил. Из последних сил пишу. И умоляю - не запускайте вирус One.exe!
http://forum.mozilla-russia.org/viewtopic.php?id=17921&p=2

Вчера вечером я спокойно сидел в Сети, как вдруг пришло сообщение: "Не хотите ли Вы стать участником тестирования нового вируса One.exe?" .......
Мягко говоря глуповато, на юмор не тянет, для модератора форума /мозилы/ писать подобную чушь не серьезно.

Вы слишком суровы.
В контексте того обсуждения - самое то. :)

Зачин неплохой. А чернуха, которая в финале пошла, - не туда...

к сожалению нет.
На форуме Касперского некий Бумер-"

Member
http://forum.kaspersky.com/style_images/2/pip.gifhttp://forum.kaspersky.com/style_images/2/pip.gif

Группа: Members
Сообщений: 31
Регистрация: 9.07.2007
Пользователь №: 50236


http://forum.kaspersky.com/style_images/2/spacer.gif
QUOTE(BOOMER @ 10.07.2007 18:02)


Ну, что ж,ребята,.....поздравляю...знаю, как восстановить файлы...не все...но большинство...не пробывал еще с текстами, но видео и музыку восстанавливает....короче купил на радиорынке программу: Active File Recovery pro v7.1....пока мне помогает, но не хочу сглазить..сразу говорю,где найти не знаю...ищите http://forum.kaspersky.com/style_emoticons/default/biggrin.gif http://forum.kaspersky.com/style_emoticons/default/biggrin.gif http://forum.kaspersky.com/style_emoticons/default/biggrin.gif http://forum.kaspersky.com/style_emoticons/default/biggrin.gif http://forum.kaspersky.com/style_emoticons/default/biggrin.gif QUOTE" утверждает,что восстановление возможно... но поскольку я "чайник" хотела бы уточнить,как это делается...тем более ,что прога на английском.. боюсь не справиться...:embarasse

но поскольку я "чайник" хотела бы уточнить,как это делается...тем более ,что прога на английском.. боюсь не справиться...

kapriz_07, эти программы при правильном использовании могут помочь, но шансов 50/50. Если у вас действительно пострадали важные данные, то вам надо срочно нести винчестер в сервис-центр. Во многих центрах есть аппаратно-программные комплексы восстановления данных.

kapriz_07, эти программы при правильном использовании могут помочь, но шансов 50/50. Если у вас действительно пострадали важные данные, то вам надо срочно нести винчестер в сервис-центр. Во многих центрах есть аппаратно-программные комплексы восстановления данных.
спасибо! только бы еще подсказали,где в Актюбинске есть такой центр? в "Форе" не делают..:? аська 444-545-911

В "Форе" был такой комплекс. Обратитесь в их сервис-центр (пр. Абылхаир-хана 75). В Алекс-сервис еще рекомендую сходить (статуправление напротив Электрона).

2 НАСТЯ,
из-за таких горе-пользователей как ты, компьютерные вирусы получают массовое распространение, и такие же как ты продолжают страдать из-за своей глупости дальше!

" Ой! Открыточка! Как мило! От подруги! И повод есть! Хи-хи-хи!"

[moderated]!

Не обратить внимание на то, что сцылка ведет на народ.ру, да еще и на *.scr файл может только откровенное ламо!

Интересно, зачем надо было писать такой разрушительный вирус? :?

Интересно, зачем надо было писать такой разрушительный вирус?Каникулы, школьникам заниматься не чем.

Интересно, зачем надо было писать такой разрушительный вирус? :?
падать - так с вороного, любить - так королеву, вирус писать - так разрушительный....;)

+10 Rene-gad После 40 лет в России понимаю!!!

Criminal Minds на ДТВ не смотрите? Там такие типажи - нам и не снилось.

Недавно в комп мой попал Trojan.VBS.Agent.an отреагировал Каспер 7.0.1.321. Стал проверять их всего было в двух местах c:windows и в c:windows\system32 файлом .vbe. И что интересно каспер проверя удаляет его говорит удалено но не проходит некоторые время опять там же появляется тот троян... Интересно просто откуда он появляется опять....
файл .vbe 9,8 кб

Недавно в комп мой попал Trojan.VBS.Agent.an отреагировал Каспер 7.0.1.321. Стал проверять их всего было в двух местах c:windows и в c:windows\system32 файлом .vbe. И что интересно каспер проверя удаляет его говорит удалено но не проходит некоторые время опять там же появляется тот троян... Интересно просто откуда он появляется опять....
файл .vbe 9,8 кб
Прочитать и выполнить (http://virusinfo.info/showthread.php?t=1235).

Прочитать и выполнить (http://virusinfo.info/showthread.php?t=1235).

:))) Спасибо за путь указанную, я в курсе просто к слово сказал а вирус я уже убил ... просто при проверке он создавал себя циклически а после того как до конца проверив перезагрузился и при перезагрузке его и убрал.