Новый червячок Worm/Maslan.B

Worm/Maslan.B

На его присутствие указывают следующие признаки:
Наличие файлов:

\%SystemDIR%\___u (Размер файла: 54.784 Bytes)

\%SystemDIR%\___r.exe (Размер файла: 49.445 Bytes)

\%SystemDIR%\___j.dll (Размер файла: 21.504 Bytes)

\%SystemDIR%\___n.EXE (Размер файла: 15.872 Bytes)

\%SystemDIR%\___synmgr.exe (Размер файла: 15.872 Bytes)

\%SystemDIR%\___t (Размер файла: ~ Bytes)

\%SystemDIR%\___Prior (Размер файла: ~ Bytes)

\%SystemDIR%\___e (Размер файла: 74.972 Bytes, BASE64 Datei)

\%SystemDIR%\___m (Размер файла: ~ Bytes)

\%WindowDIR%\a (Размер файла: ca. 57 Bytes, Batchdatei)

\%SystemDIR%\AlaFtp (Размер файла: ~ Bytes)

\%SystemDIR%\AlaDdos (Размер файла: ~ Bytes)

\%SystemDIR%\AlaScan (Размер файла: ~ Bytes)

\%SystemDIR%\AlaMail (Размер файла: ~ Bytes)

c:\___b\*.*

Ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"Microsoft Synchronization Manager"="___synmgr.exe"
"Microsoft Windows DHCP"="\%WindowDIR%\___r.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices]
"Microsoft Synchronization Manager"="___synmgr.exe"


[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"Microsoft Synchronization Manager"="___synmgr.exe"

Worm/Maslan.B завершает след процессы:

_AVPM.EXE, _AVPCC.EXE, _AVP32.EXE, ZONEALARM.EXE, ZAPSETUP3001.EXE, ZONALM2601.EXE, ZAPRO.EXE, VIRUSMD, PERSONALFIREWALL.EXE, VIR-HELP.EXE, VFSETUP.EXE, TAUMON.EXE, TASKMON.EXE, RESCUE32.EXE, PROCESSMONITOR.EXE, PADMIN.EXE, OUTPOSTINSTALL.EXE, OUTPOST.EXE, NPROTECT.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NETUTILS.EXE, NETMON.EXE, NC2000.EXE, NAVWNT.EXE, NAVW32.EXE, NAVDX.EXE, AUTO-PROTECT.NAV80TRY.EXE, NAV.EXE, KILLPROCESSSETUP161.EXE, KERIO-WRP-421-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-PF-213-EN-WIN.EXE, KAVPF.EXE, KAVPERS40ENG.EXE, KAVLITE40ENG.EXE, JAMMER.EXE, GUARDDOG.EXE, GUARD.EXE, DRWEBUPW.EXE, DRWEB32.EXE, DRWATSON.EXE, CLICK.EXE, CLEANPC.EXE, CLEANER3.EXE, CLEANER.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVKWCTl9.EXE, AVKSERVICE.EXE, AVKSERV.EXE, AVKPOP.EXE, AVGUARD.EXE, AUTOUPDATE.EXE, AUPDATE.EXE, ATGUARD.EXE, ANTIVIRUS.EXE und ANTI-TROJAN.EXE

Более подробно на: [url]http://www.antivir.de/en/virus_information/virus_encyclopaedia/index.html?show=1&tx_ideaavviruslex_pi2[/url][showUid]=789&no_cache=1

Grisoft об этой заразе еще 5 декабря 2004 г. сообщил.
[url]http://free.grisoft.com/freeweb.php[/url]
P.S.: ждём реакции KAV.

[QUOTE=Andrey]
Grisoft об этой заразе еще 5 декабря 2004 г. сообщил.
[url]http://free.grisoft.com/freeweb.php[/url]
P.S.: ждём реакции KAV.
[/QUOTE]
А что, они ещё не детектят?

[QUOTE=Andrey]
Worm/Maslan.B завершает след процессы:
[/QUOTE]
Неужели действительно убивает антивирусы? А как же их защита от выгрузки?

[QUOTE=Geser]
А что, они ещё не детектят?
[/QUOTE]
Поставь, попробуй и узнаешь. И нечего ехидничать.
P.S.: Кроме KAV, ради интереса, другие антивирусы поизучай.

[QUOTE=Andrey]
Поставь, попробуй и узнаешь. И нечего ехидничать.
P.S.: Кроме KAV, ради интереса, другие антивирусы поизучай.


[/QUOTE]
Чё пробовать? У ртебя этот вирус есть? Если есть, то кидай на [email][email protected][/email]

[QUOTE=Geser]
Чё пробовать? У ртебя этот вирус есть? Если есть, то кидай на [email][email protected][/email]
[/QUOTE]
Как только поймаю, ты первый об этом узнаешь (в принципе можно поискать на [url]http://www.google.com[/url] или [url]http://vx.netlux.org[/url] (недели через две может там всплывёт :)).
P.S.: Касперскому в пополнении баз я помогать не намерен :).

[QUOTE=Andrey]
Как только поймаю, ты первый об этом узнаешь.
P.S.: Касперскому в пополнении баз я помогать не намерен.
[/QUOTE]
Ну так если у тебя его нет, откуда знаешь что КАВ его не ловит?

[QUOTE=Geser]
Ну так если у тебя его нет, откуда знаешь что КАВ его не ловит?
[/QUOTE]
Ну конечно, как я забыл, что KAV обзывает вирусы по-своему, не как у людей.

Кстати, я посылаю вирусы не только в ЛК а так же ДрВеб, ВБА32, АВЗ.

[QUOTE=Geser]
Кстати, я посылаю вирусы не только в ЛК а так же ДрВеб, ВБА32, АВЗ.
[/QUOTE]
И что тобой руководит? Помогаешь очистить Интернет от грязи или помогаешь ещё больше заработать AV компаниям, учитывая, что при этом гибнет профессиональная VX сцена.

[QUOTE=Andrey]
И что тобой руководит? Помогаешь очистить Интернет от грязи или помогаешь ещё больше заработать AV компаниям, учитывая, что при этом гибнет профессиональная VX сцена.
[/QUOTE]
Помогаю чистить интрнет. По той же причине создан и этот форум.

[QUOTE=Geser]
Помогаю чистить интрнет. По той же причине создан и этот форум.
[/QUOTE]
А почему не посылаешь new вирусы в компании предлагающее антивирусные программы бесплатно?
avast! - [email][email protected][/email]
AntiVir - [email][email protected][/email] , [email][email protected][/email]
и т.д.

[QUOTE=Andrey]
Поставь, попробуй и узнаешь. И нечего ехидничать.
[/QUOTE]
Я действительно просто спрашивал. Извини, если что не так.
[QUOTE=Andrey]
P.S.: Кроме KAV, ради интереса, другие антивирусы поизучай.
[/QUOTE]
Ставил DrWeb, Vba32, Nod 32, обе Панды, а также Tauscan. Остались только KAV и Vba (сканер). И вообще, если столько людей, несмотря на тормоза, выбирают KAV, это не причина для размышлений?
Ну а лично у меня он не пропустил ни одного виря (в отличие от всех остальных антивирусов - хоть один пропуск был у каждого). Хотя это, видимо, следствие не самой программы, а её широкой распространённости (чем больше людей присылают файлы, тем больше база).

[QUOTE=Andrey]
А почему не посылаешь new вирусы в компании предлагающее антивирусные программы бесплатно?
avast! - [email][email protected][/email]
AntiVir - [email][email protected][/email] , [email][email protected][/email]
и т.д.
[/QUOTE]
Потому что лень проверять знает ли каждая из них файлы которые мне попадают :)

[QUOTE=Andrey]
И что тобой руководит? Помогаешь очистить Интернет от грязи или помогаешь ещё больше заработать AV компаниям, учитывая, что при этом гибнет профессиональная VX сцена.
[/QUOTE]
Очень странное мнение, не сказать бы большего.
Никогда не думал, что препятствие _распространению_ вирусов как-то может сказаться на VX сцене. Уж скорее наоборот - чем меньше вирусов шляется "in the wild", тем меньше претензии к этой самой сцене.

[QUOTE=Geser]
Потому что лень проверять знает ли каждая из них файлы которые мне попадают :)
[/QUOTE]
А [url]http://virusscan.jotti.dhs.org[/url] на что? Правда там базы не очень оперативно обновляют.

[QUOTE=Alexey]
Очень странное мнение, не сказать бы большего.
Никогда не думал, что препятствие _распространению_ вирусов как-то может сказаться на VX сцене. Уж скорее наоборот - чем меньше вирусов шляется "in the wild", тем меньше претензии к этой самой сцене.

[/QUOTE]

Существует мнение, что все более-менее совершенные разработки и наработки AV компании используют внутри, предлагая пользователям очень урезанные версии своих продуктов. [url]http://vmyths.com[/url]
P.S.: Возможно кое-кто из AV фирм в тайне спонсирует VX сцену, чтобы не потерять свои доходы (очень даже не шуточные).

[quote author=Участковый link=board=3;threadid=344;start=0#msg2748 date=1102443351]
Я действительно просто спрашивал. Извини, если что не так.Ставил DrWeb, Vba32, Nod 32, обе Панды, а также Tauscan. Остались только KAV и Vba (сканер). И вообще, если столько людей, несмотря на тормоза, выбирают KAV, это не причина для размышлений?
Ну а лично у меня он не пропустил ни одного виря (в отличие от всех остальных антивирусов - хоть один пропуск был у каждого). Хотя это, видимо, следствие не самой программы, а её широкой распространённости (чем больше людей присылают файлы, тем больше база).
[/quote]
Выбор KAV большинством людей, не признак ли это стада (толпы), ни чего не понимающей и следующий за вожаком (лидером, СМИ и т.д.) (в истории много таких примеров).

[QUOTE=Andrey]
Выбор KAV большинством людей, не признак ли это стада (толпы), ни чего не понимающей и следующий за вожаком (лидером, СМИ и т.д.) (в истории много таких примеров).
[/QUOTE]
И что, ставить что-то другое только потому, чтобы стать непохожим на остальных?
P.S. KAV нравится лично мне.