Trojan.DownLoader.18885. помогите победить

Trojan.DownLoader.18885 (Dr.Web 4.33.2.9262)

Почему пишу тут?
Потому, что выловил его в своей сети. Откуда взялся не могу понять.
На сайте [url]www.securitylab.ru[/url] искал про него информацию,
ничего не нашел кроме этой -> [url]http://www.securitylab.ru/virus/264365.php[/url]
""22 марта, 2006
Троянская программа. Является приложением Windows (PE EXE-файл).
Написана на языке C++. Упакована UPX. Размер зараженного файла —
23552 байта. Размер распакованного файла — 56832 байта.

Программе соответствует прозрачный значок, вследствие чего её
трудно заметить в некоторых файловых менеджерах.

Данная версия троянца полностью идентична варианту Trojan.Win32.Lipgame.a.
Единственным отличием является только то, что вместо проверки на наличие
в системе объекта с именем %Program Files%\CoolspotD\ialer Control производится
проверка на наличие объекта с именем %Program Files%\Coolspot\Dialer Control.""
но не уверен что это то самое.

...и тут на форуме ничего конкретного не нашел... (может плохо искал, но до боли в глазах)

Вобщем записывается два файла (прикреплены) в открытые для общего полного доступа по сети папки.
причем не важно скрытый это ресурс или открытый (т.е. у меня на компе создано два общих сетевых
ресурса "cc$" и "Public". Соответственно первый в сетевом окружении не виден в отличие от второго)
В тоже время в стандартные сетевые ресурсы (такие как "c$" "d$" "Admin$" и т.д.) вроде не пишется.
Достоверной возможности проверить это небыло, поскольку все стандартные ресурсы отключены.

Вопрос такого рода. как с этим зверем бороться? Откуда растут корни? И какие последсвия могут быть?

К специалистам:
упаковал этого зверя в архивчик. лежит [URL="http://rapidshare.com/files/20091488/Trojan.DownLoader.18885.rar"]тут[/URL] (простите за рапиду, больше некуда залить...) если нужно, могу залить его на Е-мэйл, или еще куда...

Содержание архива .rar:

ReadMe.txt = 1 528 байт
autorun.inf = 43 байт (переименован *.#nf)
setup.exe = 23 552 байт (переименован *.#xe)

Пароль на архив: пишите в личку скажу

Вам, похоже, в раздел "Помогите!"

[QUOTE=PavelA;98814]Вам, похоже, в раздел "Помогите!"[/QUOTE]

согласен, но я думаю не стоит дублировать сообщение и там?
если что Администрация может переместить тему туда...
простите если ни туда написал...

Но очень нужна помощь в борьбе с этой заразой...

[QUOTE=V@lik;98817]Но очень нужна помощь в борьбе с этой заразой...[/QUOTE]

Так выполните правила ( [url]http://virusinfo.info/showthread.php?t=1235[/url] ) обращения, переместим ;-)

Продублировал [URL="http://virusinfo.info/showpost.php?p=98811&postcount=1"]свое сообщение[/URL]
тут. уже по правилам.

[COLOR="Blue"]Trojan.DownLoader.18885 (Dr.Web 4.33.2.9262)[/COLOR]

Выловил его в своей сети. Откуда взялся не могу понять.
На сайте [url]www.securitylab.ru[/url] искал про него информацию,
ничего не нашел кроме этой -> [url]http://www.securitylab.ru/virus/264365.php[/url]
""22 марта, 2006
Троянская программа. Является приложением Windows (PE EXE-файл).
Написана на языке C++. Упакована UPX. Размер зараженного файла —
23552 байта. Размер распакованного файла — 56832 байта.

Программе соответствует прозрачный значок, вследствие чего её
трудно заметить в некоторых файловых менеджерах.

Данная версия троянца полностью идентична варианту Trojan.Win32.Lipgame.a.
Единственным отличием является только то, что вместо проверки на наличие
в системе объекта с именем %Program Files%\CoolspotD\ialer Control производится
проверка на наличие объекта с именем %Program Files%\Coolspot\Dialer Control.""
но не уверен что это то самое.

...и тут на форуме ничего конкретного не нашел... (может плохо искал, но до боли в глазах)

Вобщем записывается два файла (прикреплены) в открытые для общего полного доступа по сети папки.
причем не важно скрытый это ресурс или открытый (т.е. у меня на компе создано два общих сетевых
ресурса "cc$" и "Public". Соответственно первый в сетевом окружении не виден в отличие от второго)
В тоже время в стандартные сетевые ресурсы (такие как "c$" "d$" "Admin$" и т.д.) вроде не пишется.
Достоверной возможности проверить это небыло, поскольку все стандартные ресурсы отключены.

Вопрос такого рода. как с этим зверем бороться? Откуда растут корни? И какие последсвия могут быть?

К специалистам:
упаковал этого зверя в архивчик Trojan.DownLoader.18885.rar и запаролил от греха подальше....

Содержание архива .rar:
[COLOR="Blue"]ReadMe.txt = 1 528 байт
autorun.inf = 43 байт (переименован *.#nf)
setup.exe = 23 552 байт (переименован *.#xe) [/COLOR]


Вот логи.[ATTACH]7548[/ATTACH] = 57 996 байт

Лог DrWeb.[ATTACH]7553[/ATTACH] = 1 786 байт

Для загрузки вредного и подозрительного существует специальная форма загрузки, всё описано в правилах.

Однако у вас много неизвестных . Начнём пожалуй с тех которые в карантине AVZ плюс те, которые должны попасть туда послe исполнения скрипта :

[code]
begin
QuarantineFile('C:\WINDOWS\Downloaded Program Files\Urdu98.dll','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\PDMSIN~1.DLL','');
QuarantineFile('C:\WINDOWS\wc98pp.dll','');
QuarantineFile('C:\WINDOWS\system32\vistaui.exe','');
end.
[/code]


Пришлите по 3 пункту правил .

заметил еще одну особенность.
в те расшаренные ресурсы положил по два файла нулевого размера с атрибутами "ReadOnly". теперь уже в оригинале вирус не записывается туда...

сейчас по правилам сканирую комп с жаражаемыми ресурсами (тот на котором и положил нулевые файлы). позже вышлю все логи...

предыдушие логи были с моего компа. на нем все ресурсы закрыты, и установлен FTP-Server для доступа к информации.

и далее., объясните пожалуйста, как мне по правилам добавить файлы самого вируса в карантин, если я их удалил... не заражать же мне поновой этот комп вирусом, дабы добавить его в карантин по правилам!!! разве не так?
Они у меня как раз лежат в отдельном архиве который я выкладывал тут. но администрация форума удалила прикрепление с ним из соображения безопасности наверняка... и я с этим согласен.
буду очень благодарен, если найдется такой (другой) вариант передать Вам вредоносный продукт творения рук человека...

К теме можно прикреплять только логи.
Компьютер свой не надо заражать. Присылайте то, что есть.
Файлы вирусов/подозрительных файлов нужно загружать через форму:
[url]http://virusinfo.info/upload_virus.php?tid=8314[/url]

Ну если очень хочется : Запакуйте вирус в zip архив стандартным паролем virus и по ссылке [url]http://virusinfo.info/upload_virus.php?tid=8314[/url]
а также те файлы которые просил ранее по правилам .Если всё выполните верно, авз сам их запакует в зип :)

[QUOTE=drongo;98841]Однако у вас много неизвестных . Начнём пожалуй с тех которые в карантине AVZ плюс те, которые должны попасть туда послe исполнения скрипта :

[code]
begin
QuarantineFile('C:\WINDOWS\Downloaded Program Files\Urdu98.dll','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\PDMSIN~1.DLL','');
QuarantineFile('C:\WINDOWS\wc98pp.dll','');
QuarantineFile('C:\WINDOWS\system32\vistaui.exe','');
end.
[/code]


Пришлите по 3 пункту правил .[/QUOTE]

по скрипту отослал. (Quarantine-2007-03-09.zip) по [URL="http://virusinfo.info/upload_virus.php?tid=8314"]форме[/URL]


дальше отослал файл карантина с заражаемого компа (quarantine_Zu.zip) тоже по [URL="http://virusinfo.info/upload_virus.php?tid=8314"]форме[/URL]
а вот с него логи. [ATTACH]7557[/ATTACH]

сам вирус также отправил по [URL="http://virusinfo.info/upload_virus.php?tid=8314"]форме[/URL] (Trojan.DownLoader.18885.zip)

все сделал по правилам... (пароли, архиваторы и т.д.)

Доброго времени суток всем!!!

неужели ни кто не может мне помочь победить этот вирус? :?

[QUOTE=V@lik;99095]Доброго времени суток всем!!!

неужели ни кто не может мне помочь победить этот вирус? :?[/QUOTE]
Что вы имеете ввиду?
Это троян его нужно просто удалить.

[QUOTE=AndreyKa;99096]Что вы имеете ввиду?
Это троян его нужно просто удалить.[/QUOTE]

так просто удаление проблемы не решает.
обЪясню еще раз...

у меня в сети 33 компа (домашняя сеть)
и этот троян постоянно лезет в шары открытые для полного доступа.
мне нужно выяснить откуда он приходит...
вернее я знаю что есть зараженный комп в сети, и он его рассылает по ней. как мне найти этот зараженный комп? и как писал ранее

[I][COLOR="Blue"]"заметил еще одну особенность.
в те расшаренные ресурсы положил по два файла нулевого размера с атрибутами "ReadOnly". теперь уже в оригинале вирус не записывается туда..."[/COLOR][/I]

но таким образом я решил проблему появления трояна на одном компе, но это не полноценное решение проблемы. не так ли? держать на компе лишние нулевые файлы не интересно...

Установите Outpost на тот компьютер, куда записывается троян.
Когда запишется, посмотрите в Журнеле Outpost-а историю NetBIOS, какой компьютер подключался во время создания файла трояна.

[QUOTE=AndreyKa;99107]Установите Outpost на тот компьютер, куда записывается троян.
Когда запишется, посмотрите в Журнеле Outpost-а историю NetBIOS, какой компьютер подключался во время создания файла трояна.[/QUOTE]

спасибо. попробую. позже отпишу...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\trojan.downloader.18885\\setup.exe - [B]Trojan-Proxy.Win32.Horst.xc[/B] (DrWEB: Trojan.DownLoader.18885)[/LIST][/LIST]