Worm.Win32.Feebs (Win32.HLLM.Graz)

Вчера на ящик зарегенный на nightmail.ru свалилось весьма забавное письмо с вирусом. Что характерно - ящик создавался для переписки с определенным человеком, но из-за проблем с настройкой the bat не использовался... Через пару месяцев на него начал сыпаться спам... А вчера пришло вот такое послание

[QUOTE]Return-Path: <[email protected]>
Delivered-To: [email][email protected][/email]
X-String-ID: 39
Received: (qmail 18263 invoked from network); 25 Mar 2006 17:48:27 -0000
Received: from unknown (HELO pbrbcakmp.com) (81.176.172.13)
by grif.newmail.ru with SMTP; 25 Mar 2006 17:48:26 -0000
Date: Sat, 25 Mar 2006 21:48:26 +0400
From: [email][email protected][/email]
X-Mailer: cyomtdos
Reply-To: [email][email protected][/email]
X-Priority: 3 (Normal)
Message-ID: [email][email protected][/email]
To: [email][email protected][/email]
Subject: Secure Message
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="50AFC57F"
X-SpamTest-Info: Profile: Formal (320/060208)
X-SpamTest-Info: Profile: Detect Hard No RBL (4/030526)
X-SpamTest-Info: Profile: SysLog
X-SpamTest-Status: Not detected
X-SpamTest-Version: SMTP-Filter Version 2.0.0 [0125], KAS/Release

Message is attached.

id: 27816
pass: efxmvqobj

Sincerely,
Encrypted Mail System,
Gmail.com
__________

[url]http://www.newhost.ru[/url] - Уютный дом для Вашего сайта![/QUOTE]

в него вложен файл msg.zip весом в 3241 байт.

Антивирусный модуль от AVG free d The Bat! выдаёт [QUOTE]Virus found Worm/Feebs[/QUOTE]
Сохранила письмо как *.eml на рабочем столе
Запускаю - AVZ4 результат
[QUOTE]D:\UserDocuments\C@tz\Рабочий стол\Secure Message.EML - чист, в базе безопасных НЕ значится[/QUOTE]
Хотела проверить файл на VirusTotal результат
[QUOTE]File size can't be more than 10 Megabytes.
You can't try compressing it.
[/QUOTE]
[url]http://virusscan.jotti.org/[/url] закачиваю туда результат
[QUOTE]The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file[/QUOTE]


P.S. - если кому интересно, могу письмецо переслать))

А закачайте его сюда, как в правилах написано. Думаю, что запароленный архив файрвол пропустит.

То, что это Feebs/Graz - уже понятно. Интересно, что за модификация - они плодятся, как тараканы.

мне удалось загнать этот архив на VirusTotal... вот результат -
[QUOTE]AntiVir 6.34.0.14 03.25.2006 no virus found
Avast 4.6.695.0 03.25.2006 no virus found
AVG 386 03.24.2006 Worm/Feebs
Avira 6.34.0.54 03.25.2006 no virus found
BitDefender 7.2 03.26.2006 no virus found
CAT-QuickHeal 8.00 03.25.2006 no virus found
ClamAV devel-20060202 03.25.2006 JS.Feebs.Z
DrWeb 4.33 03.26.2006 Win32.HLLM.Graz
eTrust-InoculateIT 23.71.111 03.25.2006 JScript/Feeb.B!Worm
eTrust-Vet 12.4.2133 03.24.2006 Win32/Feeb!ZIP
Ewido 3.5 03.26.2006 no virus found
Fortinet 2.71.0.0 03.26.2006 JS/Feebs.fam-mm
F-Prot 3.16c 03.23.2006 no virus found
Ikarus 0.2.59.0 03.24.2006 no virus found
Kaspersky 4.0.2.24 03.26.2006 Worm.Win32.Feebs.gen
McAfee 4726 03.24.2006 Generic Malware.a!zip
NOD32v2 1.1458 03.24.2006 no virus found
Norman 5.70.10 03.26.2006 JS/Feebs.gen@mm
Panda 9.0.0.4 03.26.2006 Js/Ider.A.worm
Sophos 4.04.0 03.25.2006 no virus found
Symantec 8.0 03.26.2006 no virus found
TheHacker 5.9.7.120 03.26.2006 W32/Feebs.zip
UNA 1.83 03.23.2006 Worm.JS.Feebs.based
VBA32 3.10.5 03.26.2006 no virus found[/QUOTE]

а это с [url]http://virusscan.jotti.org/[/url]

[QUOTE] AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found Worm/Feebs
BitDefender Found nothing
ClamAV Found JS.Feebs.Z
Dr.Web Found Win32.HLLM.Graz
F-Prot Antivirus Found nothing
Fortinet Found JS/Feebs.fam-mm
Kaspersky Anti-Virus Found Worm.Win32.Feebs.gen
NOD32 Found nothing
Norman Virus Control Found JS/Feebs.gen@mm
UNA Found nothing
VirusBuster Found JS.KMax.T.Gen
VBA32 Found nothing[/QUOTE]

На будущее - зверей к теме прикреплять не надо. В правилах есть ссылка на страничку [url]https://virusinfo.info/upload_virus.php[/url] - вот через неё.

Касперский сказал: Worm.Win32.Feebs.dt. Новенький. Мне на эти буквы ещё не попадались.

Worm.Win32.Feebs.dt попался, как лечит ?

[QUOTE=Small]Worm.Win32.Feebs.dt попался, как лечит ?[/QUOTE]
Что бы получить рекомендации по лечению выполните правила:
[url]http://helpme.virusinfo.info/[/url]

Пришла сегодня по почте с mail.ru помеченное как инфицированное.
Содержала zip-архив (page.zip) с файлом hub.hta .
спецические файлы в автозагрузку
(тоже архивы , якобы кряки известных продуктов)
Описание близко к [url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=107701[/url] и детектируется как вышеуказанное