Virus.DOS.Tupas.j

Printable View

12.09.2008, 14:21
ScratchyClaws

Virus.DOS.Tupas.j

Мне тут [email][email protected][/email] по меил-агенту упорно впаривал мега крутую бесплатную программу, принять файл, увы, не вышло, выпросила копию на электронку))

по virustotal -

Файл _____________________..Viat_32_.E получен 2008.09.12 11:56:19 (CET)
Результат: [B]4[/B]/36 (11.12%)
AhnLab-V3 2008.9.12.2 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.11 -
AVG 8.0.0.161 2008.09.12 -
BitDefender 7.2 2008.09.11 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
[B]DrWeb 4.44.0.09170 2008.09.12 Win32.HLLP.Tupas.2[/B]
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6086 2008.09.12 -
Ewido 4.0 2008.09.11 -
F-Prot 4.4.4.56 2008.09.12 -
[B]F-Secure 8.0.14332.0 2008.09.12 Virus.DOS.Tupas.j[/B]
Fortinet 3.113.0.0 2008.09.12 -
[B]GData 19 2008.09.12 Virus.DOS.Tupas.j[/B]
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.452 2008.09.11 -
[B]Kaspersky 7.0.0.125 2008.09.12 Virus.DOS.Tupas.j[/B]
McAfee 5382 2008.09.11 -
Microsoft 1.3903 2008.09.12 -
NOD32v2 3437 2008.09.12 -
Norman 5.80.02 2008.09.12 -
Panda 9.0.0.4 2008.09.11 -
PCTools 4.4.2.0 2008.09.11 -
Prevx1 V2 2008.09.12 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.12 -
Sunbelt 3.1.1628.1 2008.09.11 -
Symantec 10 2008.09.12 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.10 -
ViRobot 2008.9.11.1373 2008.09.11 -
VirusBuster 4.5.11.0 2008.09.11 -
Webwasher-Gateway 6.6.2 2008.09.12 -
Дополнительная информация
File size: 5601 bytes
MD5...: 76b31ed6425eef6c232de1524d5bafe1
SHA1..: 649918cf285b47e51e86d61e7be7235f0e5e0701
SHA256: 5c0f6f1d6d10d04c81af00a472773e71986daa20822a12688608aa81544af524
SHA512: 48810f323a6fd9eee4a11fe6a48bc066d22956f692512c0611ba69ee2d744318
8a85ad904a3235d13c9e3c6b5803c41f7ccea93f785a91a0d24253897deca272
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (50.0%)
DOS Executable Generic (49.9%)
PEInfo: -
packers (Kaspersky): UPX

[QUOTE]Файл сохранён как 080912_052308_Супер прога..Viat_32__48ca430cb9757.zip
Размер файла 176
MD5 4ec7ca6549edd3329439fe7ccf2377ce[/QUOTE]
12.09.2008, 14:50
Гриша

Почти раритет предлагают :)
12.09.2008, 17:02
ScratchyClaws

[QUOTE=Гриша;282702]Почти раритет предлагают :)[/QUOTE]
причем что характерно - предлагает живой человек, а не бот....
12.09.2008, 17:58
AndreyKa

файл не дошел, наверное из-за русских букв в названии.
12.09.2008, 21:44
ScratchyClaws

попытка номер 2 -
[QUOTE]Файл сохранён как 080912_124325_virus_48caaa3d2c9cf.zip
Размер файла 5705
MD5 22112d29a1d74bd9c9222a7c85873926[/QUOTE]

кстати файл этот получается удалить с жесткого диска только через отложенное удаление файла в avz. при выключенном антивире... включенный доктор веб тоже просто так удалить не может :?
13.09.2008, 01:56
AndreyKa

Интересная штука. Судя по отчету ThreatExpert она:
- копирует себя в системную папку;
- прописывается в реестре для автозагрузки;
- отключает автозагрузку программ;
- отключает Панель управления;
- отключает показ всех дисков в Проводнике;
- отключает пункты меню Пуск -> Выключить компьютер, Выполнить и Поиск;
- отключает контекстные меню панели задач.
13.09.2008, 18:04
borka

[QUOTE=ScratchyClaws;282932]включенный доктор веб тоже просто так удалить не может :?[/QUOTE]
Чем мотивирует свой отказ?
14.09.2008, 00:09
ScratchyClaws

[QUOTE=borka;283161]Чем мотивирует свой отказ?[/QUOTE]

выбираешь *удалить* а появляется окошко *запрещен доступ*
14.09.2008, 00:36
Гриша

Ребят, дайте пожалуйста прямую ссылку на карантин, куда там его наша леди замуровала, ума не приложу :(
14.09.2008, 01:39
borka

[QUOTE=ScratchyClaws;283284]выбираешь *удалить* а появляется окошко *запрещен доступ*[/QUOTE]
Хм... Мало информации. :( Насколько я понял, речь о спайдере. Когда он срабатывает? При каких условиях?
Рекомендую настроить [url=http://wiki.drweb.com/index.php/SpIDer_Guard%C2%AE]дополнительную детализацию логов[/url] спайдера (нужен ключ LogPID) и показать соответствующую часть лога. Там многое будет видно.
Либо можете обратиться в [url=http://support.drweb.com/request]Суппорт[/url] или на [url=http://new-forum.drweb.com/mod/forum/]форум[/url].
А самостоятельно Вы можете спокойно удалить его сканером. Сканер умеет проверять файлы, залоченные спайдером.
14.09.2008, 11:59
AndreyKa

[quote=Гриша]дайте пожалуйста прямую ссылку на карантин[/quote]
[url]http://upload.virusinfo.info/080912_124325_virus_48caaa3d2c9cf.zip[/url]
14.09.2008, 12:26
ScratchyClaws

[QUOTE=borka;283314]
А самостоятельно Вы можете спокойно удалить его сканером. Сканер умеет проверять файлы, залоченные спайдером.[/QUOTE]

вот в том-то и фишка что не удаляет)) он сначала его нашел при экспресс-проверке (или как там называется проверка при самом запуске)... спросил что делать, я выбрала удалить, он написал доступ запрещен и потом показал чистый отчет о проверке :O однако файл, как лежал на рабочем столе, так и лежал....

я бы поэкспериментировала ещё... но безумно боюсь эту фигню случайно запустить..... :>
14.09.2008, 14:01
rav

[QUOTE=ScratchyClaws;283377]но безумно боюсь эту фигню случайно запустить[/QUOTE]
Экспериментируй внутри песочницы. Даже если запустишь, ничего страшного не произойдёт.
14.09.2008, 15:47
Гриша

Ничего интересного,типичный варвар :)

Первым делом после запуска копирует себя в системный каталог C:/Windows под именем [email][email protected][/email]

Затем прописывает себя в автозагрузку:

[QUOTE][HKEY_USERS\S-1-5-21-842925246-1343024091-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Run]
"MAX@LVIR"="C:\\WINDOWS\\[email protected]"[/QUOTE]

И затем начинается варварство во всех его проявлениях:

-отключает автозагрузку программ;
- отключает Панель управления;
- отключает показ всех дисков в Проводнике;
- отключает пункты меню Пуск -> Выключить компьютер, Выполнить и Поиск;
- отключает контекстные меню панели задач.
-отключает диспетчер задач
-полностью скрывает рабочий стол

В реестре это выглядит так:

[QUOTE][HKEY_USERS\S-1-5-21-842925246-1343024091-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalMachineRun"=dword:00000001
"NoFileMenu"=dword:00000001
"NoControlPanel"=dword:00000001
"NoDrives"=dword:03FFFFFF
"NoViewOnDrive"=dword:03FFFFFF
"NoClose"=dword:00000001
"NoChangeStartMenu"=dword:00000001
"NoViewContextMenu"=dword:00000001
"NoRun"=dword:00000001
"NoFind"=dword:00000001
"NoDesktop"=dword:00000001

[HKEY_USERS\S-1-5-21-842925246-1343024091-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001
"DisableRegistryTools"=dword:00000001
"NoDispCPL"=dword:00000001[/QUOTE]

Проверял после этого KIS 2009 удаляет без проблем,так же можно восстановить показ дисков,диспетчер задач,меню Пуск и прочее с помощью встроенного в KIS мастера "Анализа безопасности", но я сделал это с помощью AVZ :)

Кому интересно [URL="http://slil.ru/26143811"]здесь[/URL] лог AVZ (наш движок не дает мне прикрепить файл :( )
16.09.2008, 15:32
borka

[QUOTE=ScratchyClaws;283377]вот в том-то и фишка что не удаляет)) он сначала его нашел при экспресс-проверке (или как там называется проверка при самом запуске)... спросил что делать, я выбрала удалить, он написал доступ запрещен и потом показал чистый отчет о проверке :O однако файл, как лежал на рабочем столе, так и лежал....[/QUOTE]
Хм... Правильно ли я понял, что файл просто лежит на рабочем столе, он не запущен, и с ним никто не работает? И сканер его удалить не может? Странно... :worried: Очень хотелось бы посмотреть в логи сканера...

Буду благодарен за сэмпл. ;)
18.09.2008, 14:18
borka

[QUOTE=borka;284276]Буду благодарен за сэмпл. ;)[/QUOTE]
За сэмпл спасибо. :)
У меня не воспроизводится - отдельно лежащий файл сканер находит и делает с ним то, что я его попрошу. ;)
[b]ScratchyClaws[/b], нужны логи.