Новый Pinch?

Printable View

04.05.2008, 17:56
Woodman

Вложений: 3

Новый Pinch?

Вчера вечером залез в аську и получил от отдного из контактов следующее сообщение:
[I]Привет, смотри!!! :)
[/I][URL="http://со_opworl.com/new/top/30/"][I]http://со_opworl.com/new/top/30/[/I][/URL] (ардес ссылки умышленно изменил)
[I]Классная вещь! :-)[/I]
Никогда не ведусь на подобные вещи, но тут черт меня попутал, нажать на эту ссылку.
В итоге после захода на этот сайт, сразу же, в течении 30 секунд, монитор стал мерцать, потом вроде бы все успокоилось, но через некоторое время монитор секунд на 10 погас и снова зажегся.
Я забил в поисковики адрес сайта..информации оказалось негусто (видать свежий вирус), но по отдельным сообщениям удалось выяснить что это одна из разновидностей Pinch.
Естественно первым делом скачал новые базы на др.веб и в безопасном режиме проверил полностью систему. К большому сожалению ни одного вируса обнаружено небыло. После проверки скачал свежий AVZ и тоже запустил на проверку. Мои догадки по поводу заражения подтвердились. AVZ выдал следующий лог:
[I]Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100A7812]
>>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100A783E]
>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100A74FA]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100A74CE]
>>> Код руткита в функции SetWindowPos нейтрализован[/I]
После перезагрузки и повторной проверки AVZ опять обнаружил руткит. На всякий случай сегодня с утра, с другого компа, поменял пароль на аське. Проверил систему антишпионом аутпоста, но каких либо улучшений замечено небыло. Осталась одна надежда на вас!!!!
По поводу системы. Стоит Windows XP SP2 Ru. Из антивирусов - Dr.web последней версии, из фаерволов - Outpost 6 версии.

P.S. [B]Никогда не щелкайте по незнакомым ссылкам в аське и в почте! Учитесь на чужих ошибках!
[/B]
04.05.2008, 18:03
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)[/CODE]

В логах ничего плохого не нашел,вы перешли по этой ссылке,там наверняка должен был быть архив для скачивания,с картинкой или видео внутри,был таковой?если вы нечего не скачивали и не запускали то врядле Пинч "поработал",даже если и поработал,то следов уже не найти он самоликвидируется.

P.S. скиньте мне ссылку по которой вы перешли в [URL="http://virusinfo.info/private.php?do=newpm&u=21818"]PM[/URL]
04.05.2008, 18:38
Woodman

Когда зашел по ссылке там был стандартный [B]Forbidden.[/B]
Начитавшись про возможности пинча(многие знания пораждают печаль;)) стало страшно за свои пароли. Как говорится, извините за выражение, лучше перебздеть чем недобздеть.
В сложившейся ситуации мня тревожат две вещи: То что после захода на сайт, тут же стали творится чудеса с монитором. И то, что AVZ тоже указывает на руткит в параметрах настройки монитора.
Если уж пинч самоликвидировался, то какие мероприятия можно предпринять для того чтобы неугнали пароли?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Дополню, что никаких архивов не скачивал и видео не смотрел.
К сожалению непосмотрел сразу аутпостом кто куда ломится, а через два часа когда я все же удосужился это сделать, была тишь да гладь.
04.05.2008, 19:06
kps

Если Вы о перехватах в логе AVZ - это нормально в Вашем случае, т.к. перехватчик OutPost.
04.05.2008, 19:17
Alex_Goodwin

Пароли поменяли?
04.05.2008, 19:24
Woodman

Да...это я про перехваты:>
Сейчас проверил AVZ другой компьютер с похожими параметрами (WinXP SP2, Dr.Web, Outpost). Обнаружились те же самые перехватчики :)
Будем надеятся, что заражения не произошло, хотя вчерашние мегания монитора меня до сих пор смущают.

P.S. Попутно хотелось бы задать такой вопрос. Есть ли онлайн проверки сайтов на наличие вирусов? чтоб в следующий раз можно было проверять подозрительные ссылки.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Пароль на аську сменил. надо еще на веб сайт тоже сменить..а то он у меня в Тотал командере хранится:> но этим займусь в ближайшее время. Кстати на почту он тоже пароли ворует? У меня The Bat 3.9 стоит
04.05.2008, 20:23
zerocorporated

[QUOTE=Woodman;223419]
Пароль на аську сменил. надо еще на веб сайт тоже сменить..а то он у меня в Тотал командере хранится:> но этим займусь в ближайшее время. Кстати на почту он тоже пароли ворует? У меня The Bat 3.9 стоит[/QUOTE]

Обычно список программ, от которых Pinch пароли берет обширен. В основном это клиенты icq(И иные для обмена мгновенными сообщениями), почтовые клиенты (TheBat,outlook и типа их), браузеры (В куках и "Жезле" оперы к примеру вкусности можно найти).
[url]http://www.viruslist.com/ru/find?words=Trojan-PSW.Win32.LdPinch&search_mode=virus&search=%CF%EE%E8%F1%EA&described_only=on&kl_only=on[/url] вот тут можете почитать про программы подверженные атакам на конкретных примерах.

[QUOTE]P.S. Попутно хотелось бы задать такой вопрос. Есть ли онлайн проверки сайтов на наличие вирусов? чтоб в следующий раз можно было проверять подозрительные ссылки.[/QUOTE]

Проверки есть, НО они мало эффективны. Если антивирус покажет что все ОК - это еще таковым 100% НЕ является.
Вот например [url]http://www.freedrweb.com/browser/[/url]
04.05.2008, 20:54
Woodman

Большое спасибо всем за ответы! Спасибо за существование сайта virusinfo.info.
Кажется действительно вирус не смог проникнуть в мою систему, но на всякий случай сменил пароли )
04.05.2008, 20:55
Гриша

Все верно,что поменяли пароли,сайт использьзует фишинг атаку

Так же по ссылке есть архив с "Видеороликом" под названием "Свирепый начальник" в архиве есть файл chief.scr-это Пинч,на данный момент файл детектируется,но архив обновляют несколько раз в день.
04.05.2008, 21:38
Woodman

Хочу немного уточнить один вопрос.
Когда я зашел на этот сайт, высветилась довольно стандартная кодовая страница 403.. типа Forbidden You don't have permission to access...и т.д. просматривал я ее от силы секунд 5 браузером Opera (думаю это немаловажно). Никаких архивов нескачивал и видео несмотрел. Возможен ли при такой ситуации загрузка вируса на мой компьютер? Я далеко не новичек в компьютерной безопасности, но иной раз начинаю верить в фантастическую проникаемость вирусов (тем более что щас развелось море технологий, всякие там ActiveX, Ajax и тому подобные)
04.05.2008, 21:45
Гриша

Сам по себе сайт ни какой угрозы не предстовляет,хоть и определяется как фишинговый,не скачивая архив и не запуская этот файл chief.scr заразиться нельзя,т.к.заражен именно этот файл,это обычная заставка,к которой джойнером приклеен Пинч,странно что вам сразу не дали прямую ссылку на архив,она немного отличается от которой вы мне прислали,там еще нужно нажать "Скачать":) обычно в таких сообщениях дается линк на сайт и непосредственно на сам архив.
04.05.2008, 22:21
Woodman

Всем участникам еще раз БОЛЬШОЕ спасибо!!!
Тему можно закрывать 8)
04.05.2008, 22:22
Гриша

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение[/URL] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Там про такие ссылки написано;)