PDA

Просмотр полной версии : "Свежие" черви



Minos
07.10.2004, 17:40
http://www.uinc.ru
07.10.2004

Symantec предупреждает о появлении очередной модификации червя Mydoom. Вариант Mydoom.AD распространяется по электронной почте в виде вложений с различными именами, через популярные файлообменные сети, а также через каналы IRC. После проникновения на компьютер-жертву вредоносная программа регистрируется в ключе автозапуска системного реестра, завершает ряд процессов, связанных со службами безопасности, и пытается запретить доступ к сайтам антивирусных компаний. Далее червь осуществляет сканирование жестких дисков в поисках адресов электронной почты, по которым затем отправляются копии вредоносного кода. При организации массовых рассылок Mydoom.AD применяет встроенный SMTP-сервер.
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Minos
07.10.2004, 20:21
В сентябре появилось 8 новых разновидностей MyDoom, причем одна из разновидностей научилась распространятся через ICQ (http://www.viruslist.com/viruslist.html?id=145865731). В общем MyDoom штурмует новые высоты !!!

Minos
11.10.2004, 18:20
В сети обнаружен новый Beagle. В классификации лаборатории Касперского он получил название I-Worm.Bagle.as. В червя заложены BackDoor функции: при заражении он открывает 81 порт. Распространяется по почте и P2P сетям. Подробнее смотрите на http://www.viruslist.com/viruslist.html?id=145990369.

Minos
21.10.2004, 17:53
Сотрудники антивирусных компаний обнаружили очередную модификацию известного сетевого вируса MyDoom, в которой содержатся угрозы в адрес специализирующихся на компьютерной безопасности фирм F-Secure, Symantec, Trend Micro и McAfee, а также высмеивается автор "конкурирующего" вируса NetSky. Как сообщает CNET News, авторы запустили новый вирус в минувшие выходные. Он содержит стандартные средства для несанкционированного проникновения в системы семейства Windows и саморепликации. Эксперты ожидают в ближайшее время новой волны распространения вируса среди незащищенных компьютеров. Вирус содержит текстовое сообщение, где высмеивается ожидающий суда немецкий подросток Свен Яшан (Sven Jaschan), признавшийся в авторстве широко распространившихся вирусов Sasser и NetSky, обладающих функциональностью, схожей с MyDoom. Авторы MyDoom (за информацию об их местонахождении обещана награда в 250 тысяч долларов) заявляют, что после поимки Яшана они "выиграли вирусную войну" и теперь намерены "атаковать" антивирусные компании и продолжать свою вредоносную деятельность. Вместе с тем, специалисты компаний отмечают, что не понимают, каким именно образом их собираются атаковать. В теле вируса не обнаружено каких-либо специальных средств для этого, остается лишь возможность организованной DDOS-атаки на серверы упомянутых фирм, однако компании такого профиля обычно хорошо подготовлены к таким инцидентам.
unic.ru (http://unic.ru)

Geser
23.10.2004, 14:07
Сотрудники компании Trend Micro зафиксировали появление в интернете новой вредоносной программы, получившей название Wootbot. Этот червь заражает компьютеры через дыру в локальной подсистеме аутентификации пользователей операционных систем Windows (LSASS).

После проникновения на машину вирус создает на жестком диске свою копию с именем Serviced.exe и регистрируется в реестре с целью обеспечения собственного автозапуска при старте ОС. Кроме того, червь пытается украсть регистрационные ключи к популярным компьютерным играм, таким как Command and Conquer: Generals: Zero Hour, Need For Speed: Underground, Unreal Tournament 2004 и Shogun: Total War: Warlord Edition.
http://compulenta.ru/

Geser
29.10.2004, 13:45
Компания Panda Software предупреждает о появлении в интернете новой вредоносной программы Swash. Этот червь распространяется по электронной почте в виде файлов-вложений с различными именами и расширениями ZIP, EXE или SCR, а также через популярные пиринговые сети, в том числе KaZaA, eDonkey, iMesh и LimeWire. После запуска вирус создает в системной директории Windows свою копию с именем Lsasrv.exe и регистрирует данный файл в ключе автоматического запуска реестра. Далее вредоносная программа пытается завершить процессы, связанные со службами безопасности, и, кроме того, закрывает доступ к веб-сайтам производителей антивирусов.
Подробное описание червя Swash можно найти http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=53716
security.compulenta.ru/2004/10/28/51343/

Geser
19.11.2004, 13:57
Появилась новая версия червя Sober, Sober.i

Зайцев Олег
19.11.2004, 15:26
Появилась новая версия червя Sober, Sober.i

Да, его поймали авторы "ВирусБлокАда" - вероятно, дело закончится эпидемией. Сам вирус имеет размер 56808 байт, сжат UPX, распакованный размер 87161. При запуске прописывает себя на автозапуск через ключик Run в реестре.
Вирус написан на VBA. Работает только при наличие MSVBVM60.DLL на поражаемом ПК (в Win98 его по умолчанию нет). В момент первого запуска вирус создает в папке System32 два файла с именами, которые явно генерируются по некоему списку/алгоритму Один из созданных в System32 файлов запускается с ключом - %srun%.

Minos
17.12.2004, 18:13
Набирает обороты эпидемия Zafi.D (http://www.viruslist.com/viruslist.html?id=146428586). Червь распространяет себя по электронной почте, а также через файлообменные сети.

Minos
19.01.2005, 21:23
Как сообщает www.theregister.co.uk (http://www.theregister.co.uk/2005/01/17/mydoom_returns/) в менувшие выходные, после трехмесячного перерыва, была зафиксирована рассылка новой версии MyDoom. В письме сообщается, что в приложенном файле находятся пароли к "клубничным" сайтам, на деле же оказывается, что вместо паролей вы получаете MyDoom-AI, который отключает некоторые антивирусы и firewall и зомбирует компьютер. Рассылка не отличалась большим размахом, однако появление новых мадификаций старого "друга" не предвещает ничего хорошего.

Minos
25.01.2005, 19:12
Новый "червь" атакует через MSN Messenger
Компании F-Secure и Symantec, которые занимаются разработкой антивирусных программ, сообщили сегодня об обнаружении нового "червя", который атакует пользователей интернет-пейджера MSN Messenger.

Новый Brobia.A написан с использованием исходного кода вируса Rbot, который можно применить, например, для атаки с целью сбора системной информации, чтения нажатий клавиш и распространения спама.

После поражения компьютера "червем" система перестает реагировать на нажатия правой кнопки мыши.

Программа копирует себя в корень диска С под одним из следующих имен: drunk_lol.pif, webcam_004.pif и других. А затем пытается переслать созданный файл при помощи MSN Messenger всем активным пользователям в списке контактов. Для успешного распространения на пораженном компьютере должно быть открыто окно MSN Messenger.

gazeta.ru

RiC
13.09.2005, 08:56
Свежачёк, набирает обороты, таким темпом часа через 3 станет хитом недели.

This is a report processed by VirusTotal on 09/13/2005 at 07:52:21 (CET) after scanning the file "newprice.zip" file.

Antivirus Version Update Result
AntiVir 6.31.1.0 09.12.2005 DR/Bagle.P
Avast 4.6.695.0 09.12.2005 Win32:Mitglieder-BK
AVG 718 09.12.2005 I-Worm/Bagle.gen
Avira 6.31.1.0 09.12.2005 DR/Bagle.P
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.12.2005 no virus found
ClamAV devel-20050725 09.13.2005 Worm.Bagle.BB-gen
DrWeb 4.32b 09.13.2005 Win32.HLLM.Beagle.12288
eTrust-Iris 7.1.194.0 09.13.2005 no virus found
eTrust-Vet 11.9.1.0 09.12.2005 no virus found
Fortinet 2.41.0.0 09.07.2005 suspicious
F-Prot 3.16c 09.13.2005 security risk named W32/Mitglieder.FB
Ikarus 0.2.59.0 09.12.2005 no virus found
Kaspersky 4.0.2.24 09.13.2005 Email-Worm.Win32.Bagle.ct
McAfee 4579 09.12.2005 no virus found
NOD32v2 1.1214 09.12.2005 no virus found
Norman 5.70.10 09.12.2005 no virus found
Panda 8.02.00 09.12.2005 W32/Bagle.EK.worm
Sophos 3.97.0 09.13.2005 Troj/Dropper-BD
Symantec 8.0 09.13.2005 Trojan.Tooso.N
TheHacker 5.8.2.105 09.12.2005 W32/Bagle.cs
VBA32 3.10.4 09.12.2005 no virus found

pig
13.09.2005, 10:33
Предыдущая модификация (заловлен вчера вечером):
Antivirus Version Update Result
AntiVir 6.31.1.0 09.13.2005 DR/Bagle.P
Avast 4.6.695.0 09.12.2005 Win32:Mitglieder-BK
AVG 718 09.12.2005 no virus found
Avira 6.31.1.0 09.13.2005 no virus found
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.12.2005 no virus found
ClamAV devel-20050725 09.13.2005 Worm.Bagle.BB-gen
DrWeb 4.32b 09.13.2005 Win32.HLLM.Beagle.12288
eTrust-Iris 7.1.194.0 09.13.2005 no virus found
eTrust-Vet 11.9.1.0 09.13.2005 Win32.Glieder.BG!ZIP
Fortinet 2.41.0.0 09.07.2005 suspicious
F-Prot 3.16c 09.13.2005 security risk named W32/Mitglieder.FB
Ikarus 0.2.59.0 09.12.2005 no virus found
Kaspersky 4.0.2.24 09.13.2005 Email-Worm.Win32.Bagle.cs
McAfee 4579 09.12.2005 no virus found
NOD32v2 1.1214 09.12.2005 Win32/Bagle.BI
Norman 5.70.10 09.12.2005 W32/Bagle.CS
Panda 8.02.00 09.12.2005 W32/Bagle.EK.worm
Sophos 3.97.0 09.13.2005 Troj/Dropper-BC
Symantec 8.0 09.13.2005 no virus found
TheHacker 5.8.2.105 09.12.2005 no virus found
VBA32 3.10.4 09.12.2005 no virus found

SDA
18.09.2005, 16:23
W32.Iberio
обнаружен 16 сентября.
Тип: червь.
Длина кода: 6 кб.
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Технические детали:
Добавляет значение "MSPRO32" = "[PATH TO WORM FILE]" в реестр
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun

Загружает файлы:
VfProtect.exe с [http://]strtt.interfree.it/[REMOVED]/VfProtect.exe
Hiberium.rar с [http://]strtt.interfree.it/[REMOVED]/Hiberium.rar
VfProtect2.exe с [http://]utenti.lycos.it/[REMOVED]/VfProtect2.exe
Hiberium2.rar с [http://]utenti.lycos.it/[REMOVED]/Hiberium2.rar

Выполняет VfProtect.exe и VfProtect2.exe, которые распознаются как Keylogger.Trojan.
Червь эксплуатирует уязвимость Microsoft Windows Plug and Play Buffer Overflow Vulnerability (Microsoft Security Bulletin MS05-039).

Распространяется по случайным ip адресам, избегая:
0.*.*.*
10.*.*.*
127.*.*.*
224.*.*.* through 255.*.*.*
172.16.*.* through 172.31.*.*
192.168.*.*

pig
21.09.2005, 13:44
Пришло письмо. Зверь не свежий - Worm.Win32.Eyeveg.l, его даже Dr.Web 4.31b с базами двухмесячной давности знает. Но письмо не ловится, поскольку в нём только ссылка - хттп://africaplc.com/readme.zip
Осторожно, ссылка живая!

P.S. Пока отвлекался, нарисовалось ещё одно, с похожей ссылкой. Этот africaplc.com, видимо, гнездо для зверья.

Minos
04.11.2005, 19:29
Вот еще зеркала africaplc.com:
www.neptuncaffe.com scheduleconsult.com www.sismodular.com.

santy
08.08.2006, 11:08
Complete scanning result of "_sv__1089", received in VirusTotal at 08.08.2006, 09:43:13 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.08.2006 HEUR/Crypted.Modified
Authentium 4.93.8 08.08.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.07.2006 no virus found
BitDefender 7.2 08.08.2006 no virus found
CAT-QuickHeal 8.00 08.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.08.2006 no virus found
DrWeb 4.33 08.08.2006 Trojan.PWS.LDPinch.1026
eTrust-InoculateIT 23.72.89 08.08.2006 no virus found
eTrust-Vet 12.6.2329 08.08.2006 no virus found
Ewido 4.0 08.07.2006 no virus found
Fortinet 2.77.0.0 08.08.2006 suspicious
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.08.2006 no virus found
Kaspersky 4.0.2.24 08.08.2006 no virus found
McAfee 4823 08.07.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1696 08.07.2006 a variant of Win32/PSW.LdPinch
Norman 5.90.23 08.07.2006 no virus found
Panda 9.0.0.4 08.07.2006 Suspicious file
Sophos 4.08.0 08.07.2006 no virus found
Symantec 8.0 08.08.2006 no virus found
TheHacker 5.9.8.187 08.07.2006 no virus found
UNA 1.83 08.07.2006 no virus found
VBA32 3.11.0 08.07.2006 suspected of Trojan-PSW.PdPinch.1
VirusBuster 4.3.7:9 08.07.2006 no virus found

Aditional Information
File size: 20930 bytes
MD5: 682e61d78500b5308b7977ef6e3ed9ce
SHA1: 35ec558f16c35fd726f38c93a59688b961d4a921
packers: FSG
-------------
ОБЫДНО ЗА НОД. На антивирусной базе сборки 1.1694 сканер не распознал вирус, прописанный в автозагрузку, и только на версии 1.1696 распознал как вариант LdPinch.

lerson
23.08.2006, 22:41
Есть Trojan program Trojan.Win32.Agent.py
и Worm.Win32.Rahak.a в живом виде.
Идут в комплекте.
VirusTotal не определяет.
Вольготно чуствует себя в провайдерских подсетках.

MOCT
23.08.2006, 22:46
Есть Trojan program Trojan.Win32.Agent.py
и Worm.Win32.Rahak.a в живом виде.
Идут в комплекте.
VirusTotal не определяет.

ну если ни один антивирус на VirusTotal не определяет, то откуда же вам известны их имена? :-)

lerson
23.08.2006, 22:57
ну если ни один антивирус на VirusTotal не определяет, то откуда же вам известны их имена? :-)
Каспер их видит Ж) с последними базами. Больше ничем не проверял...

MOCT
23.08.2006, 23:18
Каспер их видит Ж) с последними базами. Больше ничем не проверял...
ну а зачем тогда дезинформацию писать?

Синауридзе Александр
24.08.2006, 05:46
Есть Trojan program Trojan.Win32.Agent.py
и Worm.Win32.Rahak.a в живом виде.
Идут в комплекте.
VirusTotal не определяет.
Вольготно чуствует себя в провайдерских подсетках.

Как же так?:? VirusTotal не определяет, а Вы пишете их название. Значит все же определяет!:P

lerson
24.08.2006, 11:49
ну а зачем тогда дезинформацию писать?
где здесь дезинформация прошу прощенья
каспер ясно определил и назвал, а то что VirusTotal не определяет так это ахтунг для тех кто им пользуется.
Сомневающимся могу живых выслать.
Добавлю еще: каспер 6 с последними базами - оказался единственный из тех что под руками были, кто видит их вообще; пока по крайней мере...
Каспер 5 с немножко прокисшими (2-3 недели) базами - пропустил, NOD32, DRWEB тоже.

MOCT
24.08.2006, 12:18
где здесь дезинформация прошу прощенья
каспер ясно определил и назвал, а то что VirusTotal не определяет так это ахтунг для тех кто им пользуется.

VirusTotal - это сайт, который проверяет присланный файл почти тремя десятками антивирусов. Касперский среди этих антивирусов тоже присутствует. Если Касперский детектирует - значит на VirusTotal файлы тоже будут названы троянцами/вирусами.



Сомневающимся могу живых выслать.

ждем. закачивайте через форму тут: https://virusinfo.info/upload_virus.php
указав в поле "Ссылка на тему" ссылку на эту тему.

anton_dr
24.08.2006, 12:31
ждем. закачивайте через форму тут: https://virusinfo.info/upload_virus.php
указав в поле "Ссылка на тему" ссылку на эту тему.
Указав ее (ссылку), в таком виде - http://virusinfo.info/showthread.php?t=1339

lerson
24.08.2006, 19:40
Результат загрузки
Файл сохранён как VIR_44edd5c31afde.rar
Размер файла 96835
MD5 9c94fcae87ead619a81042335c80519f
Пароль на архив - VIRUS

drive
26.12.2006, 01:07
Срочно внесите его в свою базу! авз не находит его!

anton_dr
27.12.2006, 07:03
так пришлите его автору

eech
22.01.2007, 10:09
Неоднократно получал по почте ссылку на инсталлятор "бесплатного" IE7. Достали, решил скачать. Развитие современных алгоритмов сжатия приятно поразило. :) Осел поместился в 200 с небольшим килобайт. :) Понятно - троян. Решил попробовать выпотрошить. Инсталлятор копирует себя во временную папку, затем "рожает" там же 1.ехе, запускает его.
Глубоко ковырять побоялся. Но это что-то не новое, т.к. Аутпост орал на файл диким голосом.
Да, кстати, письмо со ссылкой приходит от admin[at]windows.com. :)
Если заинтересует кого - могу прислать, но боюсь, что это не ново.

MedvedD
22.01.2007, 10:18
... Решил попробовать выпотрошить. ..

А не боитесь стать клиентом темы "Помогите" ? ;)

Ego1st
22.01.2007, 11:38
отсылайте антивирусным компаниям..

eech
22.01.2007, 12:43
А не боитесь стать клиентом темы "Помогите" ? ;)
Нет, не боюсь. :) Трояна бояться - в инет не ходить. Если серьезно, то есть небольшой опыт. Ну будет больше... :)

отсылайте антивирусным компаниям..
Сомневаюсь, что это им нужно. :(

Ego1st
22.01.2007, 12:49
что значить сомневаетесь что это им нужно, нужно ещё как, а то будет бродить по сети нехороший вирус..
как вариант можно проверить сначало на
http://virusscan.jotti.org/
http://www.virustotal.com/en/indexf.html

eech
22.01.2007, 15:24
На вирусскане джотти определился вирус.
File: IE7_Setup.exe
Status:
INFECTED/MALWARE
MD5 acdfc6fa29db443f136579875d99ebff
Packers detected:
FSG
Scanner results
Scan taken on 22 Jan 2007 12:16:08 (GMT)
AntiVir
Found DR/Delphi.Gen dropper
Avast
Found Win32:Joiner-H
BitDefender
Found Dropped:Trojan.Downloader.Zlob.BKE
Dr.Web
Found MULDROP.Trojan, Trojan.Spambot, Trojan.MulDrop.4525 (probable variant)
F-Secure Anti-Virus
Found Trojan-Spy.Win32.Goldun.nq
Fortinet
Found Spy/Goldun
Kaspersky Anti-Virus
Found Trojan-Spy.Win32.Goldun.nq
Остальные ничего не нашли.

То есть антивирусные фирмы его давно знают. :( Скажут - еще один проснулся... :) Касперский знает, Доктор Веб знает. А еще кому?...

SuperBrat
22.01.2007, 18:11
Остальные ничего не нашли.

Вот и надо остальным выслать.


То есть антивирусные фирмы его давно знают.
Как видно не все, не противоречьте сами себе. ;)


Скажут - еще один проснулся... :)
Не скажут. А если где и встретится "скучающий дурачок", то вам с ним детей не крестить.


Касперский знает, Доктор Веб знает. А еще кому?...
Отправляйте на [email protected] в zip-архиве с паролем "infected", получат многие антивирусы мира.

eech
22.01.2007, 20:26
Ну ладно вам, устыдили... Выслал по указанному адресу.

DirtyBoy
31.01.2007, 18:00
прошу прощения. не разбераю сь я сильно в компах. но у меня авира находит зверюшку BDS/Hupigon.Gen. И оно уже давно у меня. Удаляю его но оно опять приходит. Последний раз нашёл его в папке ....\Temp\avz_2859rav.tmp может это и не зверь...помогите! Ща оно в карантиен у меня. Устал его удалять))

Geser
31.01.2007, 18:03
прошу прощения. не разбераю сь я сильно в компах. но у меня авира находит зверюшку BDS/Hupigon.Gen. И оно уже давно у меня. Удаляю его но оно опять приходит. Последний раз нашёл его в папке ....\Temp\avz_2859rav.tmp может это и не зверь...помогите! Ща оно в карантиен у меня. Устал его удалять))
http://virusinfo.info/showthread.php?t=1235

Striker
13.02.2007, 12:54
DR/Delphi.Gen Это вирус? И если да, то что делать?

anton_dr
13.02.2007, 14:06
Регистрироваться, и идти сюда - http://virusinfo.info/forumdisplay.php?f=46

alex1139
06.04.2007, 22:54
А я вот на нашем местном форуме сегодня модифицированный Win32/Stration.XJ выловил,один из участников жаловался на проблеммы с аськой и выложил адрес с которого ему предложили скачать файл.Я его скачал в сотовый а когда пытался перекинуть на компьютер он был тут же убит Нодом.

ork52
07.04.2007, 13:39
вот рассылочка пришла с такими вложениями
Update-KB3796-x86 (1).zip\Update-KB3796-x86.exe infected with Win32.HLLM.Limar
Update-KB4125-x86.zip\Update-KB4125-x86.exe infected with Win32.HLLM.Limar
DRWEB их опознал, только с обновой за вторник

ЮрВас
20.07.2007, 11:56
Получил по E-mail сообщение:
Hi. Friend has sent you a postcard.
See your card as often as you wish during the next 15 days.
SEEING YOUR CARD
If your email software creates links to Web pages, click on your
card's direct www address below while you are connected to the Internet:
http://72.47.115.34/?911e6c36a4bc955099675c50080d0
Or copy and paste it into your browser's "Location" box (where Internet
addresses go).
We hope you enjoy your awesome card.
Wishing you the best,
Postmaster,
2000greetings.com
Прошел по ссылке ... и поймал в конце концов вирус W32/Nurech.AN.worm, причем Panda Titanium уго сразу не опознал. (Послал подозрительный файл в Panda SOS, через день получил ответ:
The file C:\Downloads\I?ia?aiiu\ecard.exe belongs to the worm W32/Nurech.AN.worm, due to the nature of the file, it can
only be deleted.
Ссылки:
Visit our web page with information about the malware:
http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?idvirus=168512
Follow the instructions on how to eliminate the malware:
http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?lst=sol&idvirus=168512
!!! Письмо в Панду отправил 17.07.2007, первое обнаружение 18.07.2007, похоже, из моего подозрительного файла, и лекарства в Panda от него пока нет, рекомендуют TruPrevent Technologies.

MedvedD
26.10.2007, 00:55
Поломали сайт знакомого книготорговца :(
Причём автоматически.
И взломал сайт именно вирус. Я уже с таким сталкивался -
http://www.virustotal.com/ru/resultado.html?27fabf812fec99bafd37c3e8cc68f284
- вариант Pinch, вирус сам выискивает на компьютере имена и пароли к FTP.
http://www.cwsandbox.org/?page=details&id=17811&password=yastj
И отдаёт их своей системе изменения страниц - http://prostreet.info/gate/gate.php. А там уже и производится изменение всех страничек сайта. Скорее всего, сломанна именно индексная первая страница, остальное они вроде не трогали до последнего времени..

[500mhz]
05.11.2007, 23:53
MedvedD
вы хотя бы бред не пишите а то людей напугаете
пинчег сам по себе никакие сайты не ломает а просто пароли тырит
а это http://prostreet.info/gate/gate.php то через чего он их хозяину отсылает

MedvedD
06.11.2007, 09:53
[500mhz], я бред не пишу.
"отдаёт их своей системе изменения страниц".

[500mhz]
06.11.2007, 11:55
уважаемый!
вы видели код гейта от пинча?
вы знаете принцип работы пинча? (варианты отправки данных)

Mamont
17.11.2007, 14:25
Зараженная страница
http://www.floranimal.ru/pages/animal/m/64.html

SuperBrat
17.11.2007, 14:39
Зараженная страница
hxxp://www.floranimal.ru/pages/animal/m/64.html
Файл 64.html получен 2007.11.17 12:31:12 (CET)
Антивирус Версия Обновление Результат
DrWeb 4.44.0.09170 2007.11.17 Worm.Sifiliz
Sophos 4.23.0 2007.11.17 Mal/ObfJS-R

Дополнительная информация
File size: 24347 bytes
MD5: 1fdfc99a21b89a9270512762615c504b
SHA1: c9ab1776ad8bbf5e3402b8184d5baf030c24dada

Surfer
18.11.2007, 20:47
Вопрос, наверно, к DVi :
Ikarus T3.1.1.12 2007.11.18 Trojan-Downloader.JS.Remora.ao
Kaspersky 7.0.0.125 2007.11.18 Trojan-Downloader.JS.Remora.ao

И это уже давно, воруют сигнатуры ? :)
Поскольку вчера этого небыло, были только дрвэб и софос

DVi
18.11.2007, 22:24
Да, Икарус ворует сигнатуры. Давно. И все свои детекты называет по классификации ЛК.

XP user
18.11.2007, 22:52
Да, Икарус ворует сигнатуры. Пока воск на крыльях не растает, сможет держаться в воздухе... ))) Paul

AndreyKa
18.11.2007, 23:08
Да, Икарус ворует сигнатуры. Давно.
А если их програмные модули добавить в базы Касперского как троян, Ikarus сам себя удалит? ;)

DVi
18.11.2007, 23:19
Вероятность есть :)
Т.к. похоже, что Икарус добавляет в свои базы вообще все, на что пискнул хоть один антивирус из вирустотала.

[500mhz]
21.11.2007, 12:55
делаем акцию по самоликвидации икаруса ))

PhantasM
24.12.2007, 01:56
хотелось бы знать, каким образом происходит переадресация с поддомена mail.ru на заражённую фишинговую страничку?
Вот адрес :http:r.mail.ru/cln1234/www.porcunadebenito.com/download/flash//index.html

Strange
24.12.2007, 17:23
Просто форвард. Напишите после :http:r.mail.ru/cln1234/ любой адрес без http, хотя бы так: :http:r.mail.ru/cln1234/virusinfo.info/

Surfer
24.12.2007, 19:09
Очередной пинчег, удивляюсь как много народу на такое ведутся =))

r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.

OMFG, они пишут на делпхи, этот мир скоро будет в аду =))

mA_sat
25.12.2007, 23:53
Очередной пинчег, удивляюсь как много народу на такое ведутся =))

r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.

OMFG, они пишут на делпхи, этот мир скоро будет в аду =))

ну а чего? Свежий Outpost 2008 молчит как рыба под лед
Конечно ведутся..

Surfer
26.12.2007, 21:26
В смысле при запуске пинчега ?
Я пробовал запускать, сначала каспер орёт что инвадер, потом что отсылка персональных данных, если всё это разрешать, то комод спрашивает разрешить ли выйти в инет svchost.exe =))

mA_sat
27.12.2007, 14:33
При проверке молчит.

Касперский их видит нормально.
У NOD32 и Outpost SS проблемы с Пинчами всю дорогу.

Surfer
05.01.2008, 18:28
korova.ru/humor/cyborg.php - мне сказали что там зловред какой-то в activex, др.веб и аутпость орут.
Кто-нибудь может его вытащить оттуда ? У меня не получилось.

Добавлено через 11 минут

Сказали что др.веб тоже на что-то кричал, проверил через http://online.drweb.com/?url=1 - чисто.

SuperBrat
05.01.2008, 18:58
Зловред называется Exploit.HTML.Agent.x (ЛК).

Alex_Goodwin
05.01.2008, 19:47
Если фрейм расшифровать, то увидим ссылку. Но в ней ничего вредоносного не видно ..
Только if(success){document.write('');}
else{document.write('');}

Surfer
05.01.2008, 19:55
Antivirus Version Last Update Result
AhnLab-V3 2008.1.5.11 2008.01.05 -
AntiVir 7.6.0.46 2008.01.04 -
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.04 -
AVG 7.5.0.516 2008.01.05 -
BitDefender 7.2 2008.01.05 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.05 -
DrWeb 4.44.0.09170 2008.01.05 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.05 -
FileAdvisor 1 2008.01.05 -
Fortinet 3.14.0.0 2008.01.05 -
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 Exploit.HTML.Agent.x
Ikarus T3.1.1.15 2008.01.05 -
Kaspersky 7.0.0.125 2008.01.05 Exploit.HTML.Agent.x
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.05 -
NOD32v2 2766 2008.01.04 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.05 -
Prevx1 V2 2008.01.05 -
Rising 20.25.52.00 2008.01.05 -
Sophos 4.24.0 2008.01.05 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.05 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.05 -
Webwasher-Gateway 6.6.2 2008.01.04 -
Additional information
File size: 1925 bytes
MD5: 87204bb9284a03b4efc3f377647ef0a0
SHA1: 54803e3e62267fbb22000dd86972eab44ad07ca5
PEiD: -

Ложняк ? =)

Alex_Goodwin
05.01.2008, 19:58
нет, все правильно.. спасибо Alexey P.

Surfer
05.01.2008, 20:05
В общем разослал по вендорам, подождём реакции :)

Alex_Goodwin
05.01.2008, 20:29
Что разослали?

Surfer
07.01.2008, 16:25
AhnLab-V3 2008.1.7.11 2008.01.07 -
AntiVir 7.6.0.46 2008.01.07 Exp/HTML.Agent.X.1
Authentium 4.93.8 2008.01.06 -
Avast 4.7.1098.0 2008.01.06 -
AVG 7.5.0.516 2008.01.07 -
BitDefender 7.2 2008.01.07 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.07 -
DrWeb 4.44.0.09170 2008.01.07 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5438 2008.01.07 -
Ewido 4.0 2008.01.06 -
FileAdvisor 1 2008.01.07 -
Fortinet 3.14.0.0 2008.01.06 -
F-Prot 4.4.2.54 2008.01.06 -
F-Secure 6.70.13030.0 2008.01.07 Exploit.HTML.Agent.x
Ikarus T3.1.1.15 2008.01.07 Exploit.HTML.Agent.x
Kaspersky 7.0.0.125 2008.01.07 Exploit.HTML.Agent.x
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.07 -
NOD32v2 2769 2008.01.07 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.07 -
Prevx1 V2 2008.01.07 -
Rising 20.26.02.00 2008.01.07 -
Sophos 4.24.0 2008.01.07 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.07 -
TheHacker 6.2.9.183 2008.01.07 -
VBA32 3.12.2.5 2008.01.06 -
VirusBuster 4.3.26:9 2008.01.06 -
Webwasher-Gateway 6.6.2 2008.01.07 BlockReason.0

Медленно как-то реагируют :)

borka
07.01.2008, 18:36
Медленно как-то реагируют :)
Ну, у нас праздники еще не кончились, но у них-то что? :wink_3:

Макcим
09.01.2008, 13:03
Медленно как-то реагируют :)На *.html зарубежные вендоры почти ни как не реагируют. Например вир. лаб авиры такое даже не рассматривает.

Surfer
09.01.2008, 17:42
Авира как раз рассматривает, php, js, html - всё что я посылал добавляют.

Lamazz
10.01.2008, 10:32
AntiVir 7.6.0.46 2008.01.07 Exp/HTML.Agent.X.1

NVOLD
10.01.2008, 23:48
VBS.Packform - Это вирус?
Сайт вскрыли похоже и он предлагал установить: ANTIVIRUSPROINSTALLER.EXE
Скачал, кликнул... Он только обои поменял и исчез!
По названию поиском выловил файл и удалил.
Название мои форумчане узнали от DrWeb при входе на сайт.
Теперь не пойму, что делать...
NOD32 и Outpost Firewall Pro 2008 ничего не видят!

pig
11.01.2008, 02:06
Вам сюда (http://helpme.virusinfo.info/).

Natalka
13.01.2008, 17:34
Всем привет!
я -ЧАЙНИК! у меня вирус Win32.banwarum.o, не могу найти как его удалить! стоит windows XP. нашла у касперского только описание модификатора Win32.banwarum.a. что делать? как его удалить????

AndreyKa
13.01.2008, 17:37
Natalka, вам надо в раздел Помогите.
Правила для обращения туда тут:
http://helpme.virusinfo.info/

Natalka
13.01.2008, 19:12
спасибо)

Garrett
01.02.2008, 16:26
Здравствуйте!

Хочу поблагодарить Ваш сайт за то, что он есть ) Только благодаря ему я сумел победить какой-то новый штам Bagle, который я подцепил запуская кряку к Painter IX.5. NOD не только промолчал, но и благополучно сдох. Развитие сюжета схоже с http://virusinfo.info/showthread.php?t=17027&highlight=Bagle. Только он у меня еще и IceSword не давал запустить, и CureIT. "Танцы-бубны" помогли ) Очень много почерпнул из тредов этого форума.

Судя по сообщениям об этом вирусе, все датируются январем этого года (не только на этом форуме). Это что полный свежак? Вот мне свезло-то )
И судя по всему, его запуску такими дураками как я, не противостоит ни один антивирус? Или уже научили? Лучше бы научили, уж больно он изворотливый )

mr.alen
23.03.2008, 22:21
Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает

AndreyKa
23.03.2008, 22:51
Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает
Вы ничего не путаете? Странная комбинация имён...

mr.alen
23.03.2008, 22:57
В полне нормально, ведь просмотрев червя в иде хорошо видно что там и бэкдор сидит

kirevg
27.03.2008, 20:31
Сегодня после обновления KIS компьютеры на работе и дома заверещали и нашли вот это:
вирус Worm.Win32.Dianyz.b Файл: C:\WINDOWS\system32\notepad.exe
Винда установлена была Zver (знаете, конечно) - там стандартный нотепад был заменен, а теперь в нем вирус...
Хотелось бы прислать файлик Вам для диагностики.
если не туда запостил - извините. Модераторы переместят, я думаю, куда нужно.
Заранее благодарен за ответ!

Гриша
27.03.2008, 21:22
Вам сюда http://virusinfo.info/forumdisplay.php?f=46

mbentefor
30.03.2008, 11:35
Иногда находится Майкрософтом как

TrojanDownloader:Win32/Renos.gen!AH

Больше ничто его не видит.

Как правило появляется на компьютере вследствии загрузки псевдо-кодека из порно-сайта.
Кодек имеет имя вида "sysa***.exe".

После запуска для установки показывается сообщение "Operation system not supported".
При этом в папку %WinDIR% копируются пять файлов с назвами вида "sysa**********.exe". Два из них имеют иконку щита с изображением лого ХР. (Как во время обновления Винды). Плюс все эти файлы запускаются и записываются в реестр на автозапуск текущего пользователя. (...\Run)
Через примерно 10 минут выскакивает сообщение в правом нижнем углу экрана над иконкой обновления ОС типа "на вашем компьютере обнаружено шпионское ПО. Кликните на это сообщение чтобы установить необходимые обновления". После клика программа заходит на сайт откуда можно скачать PC Protector - чет типа АВЗ (не имеет никакого отношения к Майрософту). Если не зайти на сайт а кликнуть по крестику вверху сообщения, то Оно исчезает и через 10 сек. появляется опять.

Кроме того заменяет фон рабочего стола на синий экран с надписью "все ваши действия могут быть увидены другими" (примерный перевод) и еще много текста.

TRANCLUGATOR
30.03.2008, 15:02
Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
:http:www.gbhltd.com/img/editor/top/
Там можно скачать этот файл (осторожно, может быть вирус!)

В архиве файл с расширением .scr (вроде как программа-заставка), но он у меня не запукается (то есть по дабл-клику указатель мыши превращается в указатель занятости системы на пару секунд, и больше ничего не происходит), что вызвало подозрения. Проверка на вирустотале дала положительный или сомнительный результат от несколькиз антивирей, но многие самые авторитетные антивири (дрвеб, касперыч, НОД, БД) промолчали. Как еще проверить, что это было? Может, мне уже надо комп лечить? Прошу прощения, если не в ту тему пишу.

Кстати, ситуация осложнилась тем, что этот приятель сообщил, что он ничего никому не посылал, а теперь ему сыпятся по аське претензии о том, что, якобы, он присылал им ссылки (похоже ,либо кто-то в его компе сидит, либо аську его увел).

ALEX(XX)
30.03.2008, 15:18
Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
http://www.gbhltd.com/img/editor/top/
Там можно скачать этот файл, прямая ссылка на файл (осторожно, может быть вирус!)

Очень странный файл... :O

TRANCLUGATOR
30.03.2008, 16:09
Очень странный файл... :O
Спросил у других приятелей, которым приходило это сообщение - некоторые пытались запускать - запуск также не удался. У одного ругнулся 3-й NOD у меня блин второй =(

Да и сайт-то это не фишковский, а поддельный.
Некоторые уже попались по тому же сценарию, об этом написано вот тут
http://forum.sources.ru/index.php?showtopic=230224

Похоже, мне придется в помогите обращаться =(

AndreyKa
30.03.2008, 16:37
Очень странный файл...
AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
http://www.virustotal.com/ru/analisis/0a49616adc6214b36f259cecb66d1b06
Так что, всем, кто запускал советую поменять все пароли, используя чистый компьютер и не пользоваться зараженным пока не выличите.

XP user
30.03.2008, 16:42
AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
http://www.virustotal.com/ru/analisis/0a49616adc6214b36f259cecb66d1b06

Хотя Nod32 на virustotal не реагирует, на компьютере выдаёт - Win32/Statik

Paul

TRANCLUGATOR
30.03.2008, 17:12
А если фаер все это время в режиме блокировки стоял - не страшно?

1205
30.03.2008, 17:24
Касперский с последним обновлением находит Trojan-PSW.Win32.LdPinch.sez

TRANCLUGATOR
30.03.2008, 21:15
Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O

ALEX(XX)
30.03.2008, 21:21
Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O
Настройки?

TRANCLUGATOR
30.03.2008, 21:33
Все, что нашел, поставил на максимум ,мог конечно и пропустить что-нибудь, так как эту версию только что поставил. Может, руткиты? Но, по идее, НОД и антируткит тоже. Ниче не пойму.

Alex_Goodwin
30.03.2008, 21:44
Может версии на серваке разные в разное время лежали?

XP user
30.03.2008, 21:46
А если фаер все это время в режиме блокировки стоял - не страшно?
Нет. Только если модуль HIPS в файрволе ловил бы процесс или подозрительный .exe, то тогда он его остановил бы (Комодо это умеет без сигнатур). Но Пинч для файрвола законная часть того, что вы скачаете через разрешённый (не дай Бог ещё 'доверенный') браузер...

Paul

TRANCLUGATOR
30.03.2008, 22:01
Может версии на серваке разные в разное время лежали?

Может, однако, онлайн-сканнер файлов на сайте Касперского показывает, что именно мой файл заражен, онлайн-сканнер дрВеба пишет ОК. Самое фиговое, что сам-то файл я удалю, а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет. Наверное, еще AdAware проверю.

Видимо, придется мне в "помогите" все же обращаться.:(

1205
30.03.2008, 22:07
Сегодня в 19:02 архив BestMarch.zip был обновлен. В настоящее время Каспер его не детектирует, но будет со следующего обновления как
Trojan-PSW.Win32.LdPinch.sfb
Возможно, из-за обновления трояна, его и не детектит NOD32. И вообще, если они будут обновлять свой пинчик каждые два часа, то антивирусы просто не успеют со своими сигнатурами...

ALEX(XX)
30.03.2008, 22:07
а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет.
Судя по LdPinch, он первым делом попытался стырить пароли.

TRANCLUGATOR
30.03.2008, 22:29
Да уж, завтра придется обращаться за помощью, может, к тому времени поспеет что-нибудь. Удалить-то лезущие в инет множественные файлы TheBestMarch.scr я поудалял, но вот не инсталлировали ли они в систему каких-то еще файлов - вот это вопрос, который завтра мне придется решать (и просить помощи у вас). Сегодня а то поздновато уже.

Кстати, только что пришло еще одно обновление сигнатур НОДа - так и не ловит. Видать, на моем компе что-то мешает ему ловить эту заразу, если у Вас определяет. Файлик-то скачан днем был еще.

mbentefor
31.03.2008, 14:11
Размер такой большой потому, что после окончания программы в файл записано много-много нуликов. В оригинале файл занимает 64 кб.
ставь себе F-Secure либо Avira.
Они прекрасно все видят.

1205
31.03.2008, 14:15
Архивчик снова обновили. Каспер, Доктор, Нод, Симантек и прочие известные не детектируют. AVG и Авире респект.
http://www.virustotal.com/analisis/1a4f3a6c79d6b9ee5229bef2f6788b80
Касперскому файл уже отправлен.

psw
31.03.2008, 16:38
А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
http://www.virustotal.com/ru/analisis/ffd78d64e6bbd8435c03bfa65f96fd79

1205
31.03.2008, 18:16
А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
http://www.virustotal.com/ru/analisis/ffd78d64e6bbd8435c03bfa65f96fd79
По классификации Касперского:
вчерашний дневной- Trojan-PSW.Win32.LdPinch.sez
вчерашний вечерний (обновлен в 19 часов)- Trojan-PSW.Win32.LdPinch.sfb
сегодняшний (обновлен в 12 часов)- Trojan-PSW.Win32.LdPinch.sfh (детектирование будет со следующего обновления Каспера)
И пока кто-нибудь не отошлет им в лабораторию новую версию, ловить не будет. А некоторые версии его предшественника (TheBestFebruary.zip) определялись тем же КАВом как Heur.Trojan.Generic.
Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.

ALEX(XX)
31.03.2008, 21:54
Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.
Да ну? Так уж и не страшен?

1205
31.03.2008, 22:25
Да ну? Так уж и не страшен?
Ну троян конечно ничего хорошего не сделает, если его запустить. Но если включен KIS, который отреагирует на запуск программы, и пользователь последует здравому смыслу и нажмет "Запретить", то ничего плохого не произойдет. Ведь понятно, что для видеоролика обращение к паролям и соединение с интернетом-весьма странное поведение.
А вот простой KAV этот пинч не словит, если в базах его еще нет. И это не радует. Авторы могут изменять свой троян чаще, чем касперовцы добавляют сигнатуры и выпускают обновления. А выявлять модификации пинча без баз, как делают некоторые антивирусы (тот же AVG вылавливал все вариации этого bestmarch сразу по единой сигнатуре), Каспер, к сожалению, не может.

VID
02.04.2008, 06:17
Люди спасите помогите нубу.
пришло в аську такое сообщение

Привет, смотри :)
:http:aaario.eu/ru/top/
( :http:aaario.eu/ru/top/TheBestMarch.zip )
Классная вещь :-)

Ну я взял и клацнул, оно скачалось, запустил, эфекта ноль. Тут я и понял что наверное это что-то не хорошее. Поиск в гугле вывел на этот форум. Касперский не детектит эту заразу, скачал триальный AVG он тоже ничего не нашел только придрался к какомуто доисторическому краку и инсталах. Скачал триальный Avir он тоже ничего не нашел...
Что мне делать как действовать? Может так получиться что вирус не сработал и сканы не находят его потому что его нет?
Понимаю что вопрос скорее всего глупый, но если бы знал что делать то не спрашивал.

Гриша
02.04.2008, 07:28
Уберите активные ссылки!Этот пинч самоуничтожается.

VID
02.04.2008, 08:29
Т.е. не прягтись, все ок? Это у меня паранойя...
Я не понимаю что такое пинч((

ALEX(XX)
02.04.2008, 08:31
Я не понимаю что такое пинч((
Вкратце, семейство троянов, которые воруют пароли (и не только)

Гриша
02.04.2008, 08:34
Все плохо,в архиве есть заставка или видеоролик,но они не совсем обычные,в них вклеен пинч-троянская программа,которая ворует пароли,после запуска этих файлов он активируется,собирает все ваши пароли,отправляет их своему владельцу по средствам Email или ICQ а затем самоуничтожается,то есть искать его в системе безполезно.

VID
02.04.2008, 08:40
Вот этого я и не хочу что бы у меня увели пароли. Что мне делать? Поменять их везде?

Гриша
02.04.2008, 08:43
Да смените все пароли,как можно быстрее,другого решения здесь нет.

VID
02.04.2008, 10:04
Спасибо. Будем надеяться что все обойдется)

fksm
04.04.2008, 09:53
Вышел новый червь, название пока не знаю.

Симптомы: зависает Internet Explorer, сетевой канал забит паразтным трафиком, сетевые службы работают нестабильно. Сильно жрёт Интернет.

Файлы червя:
C:\WINDOWS\system32\Drivers\SDN44.SYS
C:\WINDOWS\system32\WLCTRL32.DLL
C:\WINDOWS\system32\9 (невидим)

Описание:
Червь создаёт службу Sdn44 и прописывает загрузку этой службы в любом режиме (минимальная загрузка, безопасный режим, нормальная работа). Ветвь реестра соответсвтующая данной службе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Snd44, служба ссылается на файл SDN44.SYS. Паралельно этой службе в системе создаётся объект уведомления который ссылается на файл WLCTRL32.DLL. Ветвь реестра соответствующая объекту уведомления HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon\Notify\WLCtrl32.
Червь создаёт исходящие подключения на разные адреса в интернете пытаясь имитировать DoS атаку.
Назначение файла "9" мне не ясно, думаю это вспомогательный объект червя.

Удаление:
Для удаления мне понадобилось загрузить машину в MSDOS и удалить описанные выше файлы. Удаление из работающей ОС осложняется невозможностью выгрузки файла SDN44.SYS, т.к. он является модулем ядра. Будучи запущеным сервис Sdn44 не позволяет удалить соответсвующие ключи реестра для обезвреживания что и создаёт трудности.

Заключение:
В заключение выкладываю архив с файлами для ознакомления.

{moderated: если хотите поделиться, присылайте в соответствии с приложением 3 раздела помогите}

ALEX(XX)
04.04.2008, 10:04
И, насколько понял, создаёт устройсво Rntm31

Гриша
04.04.2008, 10:40
И чего здесь здесь нового?это типичный булкнет.

старт
08.06.2008, 15:52
Добрый вечер! у меня вот такая проблема, может конечно не по теме, но тогда расскажите куда писать.
у меня стоит доктор веб, с сегодняшнего дня, вот уже 12 раз за несколько часов он отсекает некоего WoRm.Sifiliz что это за зверь такой, может кто знает?Доктор просто запрещает ему допуск

Alexey P.
08.06.2008, 15:57
Не пользуйтесь IE, используйте Опера или Firefox
Worm.Sifiliz - это скрипт на зараженном сайте, через который Вы можете получить довольно большую пачку троянов. Это действительно опасная вещь.

старт
08.06.2008, 16:01
у меня стоит макстон и опера ими и пользуюсь, спасибо! а куда этот зверек хочет залезть и что он впервую очередь поражает?

pig
08.06.2008, 19:57
Макстон - это IE в особой шкуре.

старт
09.06.2008, 10:15
Вот очевидно этот в особой шкуре меня и подвел! По традиции запускаю два скана,
Доктор Веб ничего не нашел, а Spyware Terminator обнаружил вот такую штучку -
Backdoor.W32.Hupigon.BOO определил как угрозу! Но угроза ли это???

zerocorporated
09.06.2008, 10:50
Вот очевидно этот в особой шкуре меня и подвел! По традиции запускаю два скана,
Доктор Веб ничего не нашел, а Spyware Terminator обнаружил вот такую штучку -
Backdoor.W32.Hupigon.BOO определил как угрозу! Но угроза ли это???

1.Чтоб больше не подводил вас некто рекомендуется прочитать книгу http://security-advisory.virusinfo.info/

2.Скорее всего вам в раздел помогите (правила внимательно прочтите (http://virusinfo.info/showthread.php?t=1235))

Leks
12.07.2008, 02:36
Добрый вечер! Ничего не нашёл о трояне под названием win32.sality.ak - известно только что он из Китая... поделитес ьпожалуйста сведениями! он блокирует запуск exe-файлов и самораспространяется, нод и каспер не может найти... возможно, новый, найден оаупостом...

zerocorporated
12.07.2008, 06:05
Добрый вечер! Ничего не нашёл о трояне под названием win32.sality.ak - известно только что он из Китая... поделитес ьпожалуйста сведениями! он блокирует запуск exe-файлов и самораспространяется, нод и каспер не может найти... возможно, новый, найден оаупостом...

http://www.threatexpert.com/threats/win32-sality-ak.html

Кстати может вам пора в раздел "Помогите" по правилам (http://virusinfo.info/showthread.php?t=1235)?

1205
03.08.2008, 19:53
От знакомого человека в аське пришло:

привет
:http:feels-energy.com/01505/
посмотри, классная вещь!

По ссылке опять поддельный сайт приколов, предложение скачать супер "видеоролик".
Heur.Trojan.Generic
Опять пинч, наверное.

Karlson
03.08.2008, 20:08
там еще с 79,135,167,18/ццц/ццц/файл.екзе грузится..

обнаружено: троянская программа Trojan-Downloader.Win32.Kset.h URL: http://79,135,167,18/www/www/bin/file.exe//#

а то, что скачивается под видом картинки действительно пинч..
http://www.virustotal.com/ru/analisis/d89498f58ab87430f31def652c6ea4fa

Hanson
04.08.2008, 14:06
что за разновидность такая wigon.cl ??????
гугля молчит про него

Гриша
04.08.2008, 14:19
Спамбот,от модификации там почти ничего не зависит...

Hanson
04.08.2008, 15:17
оригинальная модификация,
пару драйверов, и еще winnt32, winnt64
а привычного winctrl32 небыло

Гриша
04.08.2008, 15:24
Разница только в названии :) а цель одна,это библиотека рассылает спам а драйвера ее прикрывают...

Hanson
04.08.2008, 15:32
а еще на днях попался win32.Trojan.Cacha
а про этот можешь рассказать чтонибуть??
к сожалению закарантинеть неудалось, его Cureit прибил

Гриша
04.08.2008, 15:46
Неа,такого не знаю :)

Tikhomirov_Evgeny
18.08.2008, 11:45
что за разновидность такая wigon.cl ??????
гугля молчит про него

аналогичный вопрос
Нод и CureIt бессильны

Hanson
20.08.2008, 14:04
аналогичный ответ


Разница только в названии :) а цель одна,это библиотека рассылает спам а драйвера ее прикрывают...

Karlson
15.09.2008, 13:22
архив уберите из темы - не по правилам...

червячек свежий.. (http://www.virustotal.com/ru/analisis/706ccd9393b12086363ae88a4e01d162)

Crystal
27.02.2009, 15:26
Уф... я тут еле поборол один комп был заражен 18.02.09... поудалял туеву кучу вирусов и троянов... я стока ещё не видел... штук 50 видов..и комп даже работал!!! NOD32 Smart Internet Security не справился того же 18.02.09 он впоследний раз обновлялся и помер... прогонял с загрузочного CD CureIt! от 26.02.09, AVPTool 27.02.09 и умудрился AntiVir поставить, обновить и просканить... каждый находил и удалял что-то... но куча всего оставалось (например файлы 0.exe, 1.exe .... в папках Windows, в drivers, system, system 32, Windows\intel, Windows\system32\Sony... вобщем 0.exe, 3.exe, 5.exe, 7.exe... были удалены разными антивирусами (тоесть один антивирь все такие файлы не удалял каждый по одному) а оставшиеся я грохал вручную.... после загрузки с помощью AVZ ещё с десяток удалил.... ну и проверив все папки на предмет наличия файлов от 18.02.09... просканил их на VirusTotal обнаружил ещё несколько которые не определяются практически ничем... но вроде и не активные были.. уже...

куда посылать зверей (к сожелению только те что сканил на вирустотал мож тока ошмётки)
moderated
пароль: virus