"Свежие" черви

Printable View

Показывать 40 сообщений этой темы на одной странице

06.04.2007, 23:54
alex1139

А я вот на нашем местном форуме сегодня модифицированный Win32/Stration.XJ выловил,один из участников жаловался на проблеммы с аськой и выложил адрес с которого ему предложили скачать файл.Я его скачал в сотовый а когда пытался перекинуть на компьютер он был тут же убит Нодом.
07.04.2007, 14:39
ork52

вот рассылочка пришла с такими вложениями
Update-KB3796-x86 (1).zip\Update-KB3796-x86.exe infected with Win32.HLLM.Limar
Update-KB4125-x86.zip\Update-KB4125-x86.exe infected with Win32.HLLM.Limar
DRWEB их опознал, только с обновой за вторник
20.07.2007, 12:56
ЮрВас

Поймал Nurech.AN.worm

Получил по E-mail сообщение:
[COLOR=sienna]Hi. Friend has sent you a postcard.[/COLOR]
[COLOR=sienna]See your card as often as you wish during the next 15 days.[/COLOR]
[COLOR=sienna]SEEING YOUR CARD[/COLOR]
[COLOR=sienna]If your email software creates links to Web pages, click on your [/COLOR]
[COLOR=sienna]card's direct www address below while you are connected to the Internet:[/COLOR]
[COLOR=blue]http://72.47.115.34/?911e6c36a4bc955099675c50080d0[/COLOR]
[COLOR=sienna]Or copy and paste it into your browser's "Location" box (where Internet [/COLOR]
[COLOR=sienna]addresses go).[/COLOR]
[COLOR=sienna]We hope you enjoy your awesome card.[/COLOR]
[COLOR=sienna]Wishing you the best,[/COLOR]
[COLOR=sienna]Postmaster,[/COLOR]
[COLOR=sienna]2000greetings.com[/COLOR]
Прошел по ссылке ... и поймал в конце концов вирус W32/Nurech.AN.worm, причем Panda Titanium уго сразу не опознал. (Послал подозрительный файл в Panda SOS, через день получил ответ:
The file C:\Downloads\I?ia?aiiu\ecard.exe belongs to the worm W32/Nurech.AN.worm, due to the nature of the file, it can
only be deleted.
Ссылки:
Visit our web page with information about the malware:
[URL]http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?idvirus=168512[/URL]
Follow the instructions on how to eliminate the malware:
[URL]http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?lst=sol&idvirus=168512[/URL]
!!! Письмо в Панду отправил 17.07.2007, первое обнаружение 18.07.2007, похоже, из моего подозрительного файла, и лекарства в Panda от него пока нет, рекомендуют TruPrevent Technologies.
26.10.2007, 01:55
MedvedD

Поломали сайт знакомого книготорговца :(
Причём автоматически.
И взломал сайт именно вирус. Я уже с таким сталкивался -
[url]http://www.virustotal.com/ru/resultado.html?27fabf812fec99bafd37c3e8cc68f284[/url]
- вариант Pinch, вирус сам выискивает на компьютере имена и пароли к FTP.
[url]http://www.cwsandbox.org/?page=details&id=17811&password=yastj[/url]
И отдаёт их своей системе изменения страниц - [url]http://prostreet.info/gate/gate.php[/url]. А там уже и производится изменение всех страничек сайта. Скорее всего, сломанна именно индексная первая страница, остальное они вроде не трогали до последнего времени..
05.11.2007, 23:53
[500mhz]

MedvedD
вы хотя бы бред не пишите а то людей напугаете
пинчег сам по себе никакие сайты не ломает а просто пароли тырит
а это [url]http://prostreet.info/gate/gate.php[/url] то через чего он их хозяину отсылает
06.11.2007, 09:53
MedvedD

[500mhz], я бред не пишу.
"отдаёт их своей системе изменения страниц".
06.11.2007, 11:55
[500mhz]

уважаемый!
вы видели код гейта от пинча?
вы знаете принцип работы пинча? (варианты отправки данных)
17.11.2007, 14:25
Mamont

Зараженная страница
[color=blue]http://www.floranimal.ru/pages/animal/m/64.html[/color]
17.11.2007, 14:39
SuperBrat

[QUOTE=Mamont;151194]Зараженная страница
[color=blue]hxxp://www.floranimal.ru/pages/animal/m/64.html[/color][/QUOTE]
Файл 64.html получен 2007.11.17 12:31:12 (CET)
Антивирус Версия Обновление Результат
DrWeb 4.44.0.09170 2007.11.17 Worm.Sifiliz
Sophos 4.23.0 2007.11.17 Mal/ObfJS-R

Дополнительная информация
File size: 24347 bytes
MD5: 1fdfc99a21b89a9270512762615c504b
SHA1: c9ab1776ad8bbf5e3402b8184d5baf030c24dada
18.11.2007, 20:47
Surfer

Вопрос, наверно, к DVi :
Ikarus T3.1.1.12 2007.11.18 Trojan-Downloader.JS.Remora.ao
Kaspersky 7.0.0.125 2007.11.18 Trojan-Downloader.JS.Remora.ao

И это уже давно, воруют сигнатуры ? :)
Поскольку вчера этого небыло, были только дрвэб и софос
18.11.2007, 22:24
DVi

Да, Икарус ворует сигнатуры. Давно. И все свои детекты называет по классификации ЛК.
18.11.2007, 22:52
XP user

[quote=DVi;151632]Да, Икарус ворует сигнатуры. [/quote] Пока воск на крыльях не растает, сможет держаться в воздухе... ))) Paul
18.11.2007, 23:08
AndreyKa

[quote=DVi]Да, Икарус ворует сигнатуры. Давно.[/quote]
А если их програмные модули добавить в базы Касперского как троян, Ikarus сам себя удалит? ;)
18.11.2007, 23:19
DVi

Вероятность есть :)
Т.к. похоже, что Икарус добавляет в свои базы вообще все, на что пискнул хоть один антивирус из вирустотала.
21.11.2007, 12:55
[500mhz]

делаем акцию по самоликвидации икаруса ))
24.12.2007, 01:56
PhantasM

хотелось бы знать, каким образом происходит переадресация с поддомена mail.ru на заражённую фишинговую страничку?
Вот адрес :http:r.mail.ru/cln1234/www.porcunadebenito.com/download/flash//index.html
24.12.2007, 17:23
Strange

Просто форвард. Напишите после :http:r.mail.ru/cln1234/ любой адрес без http, хотя бы так: :http:r.mail.ru/cln1234/virusinfo.info/
24.12.2007, 19:09
Surfer

Очередной пинчег, удивляюсь как много народу на такое ведутся =))

r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.

[SIZE="1"]OMFG, они пишут на делпхи, этот мир скоро будет в аду =))[/SIZE]
25.12.2007, 23:53
mA_sat

[quote=Surfer;163944]Очередной пинчег, удивляюсь как много народу на такое ведутся =))

r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.

[SIZE=1]OMFG, они пишут на делпхи, этот мир скоро будет в аду =))[/SIZE][/quote]

ну а чего? Свежий Outpost 2008 молчит как рыба под лед
Конечно ведутся..
26.12.2007, 21:26
Surfer

В смысле при запуске пинчега ?
Я пробовал запускать, сначала каспер орёт что инвадер, потом что отсылка персональных данных, если всё это разрешать, то комод спрашивает разрешить ли выйти в инет svchost.exe =))
27.12.2007, 14:33
mA_sat

При проверке молчит.

Касперский их видит нормально.
У NOD32 и Outpost SS проблемы с Пинчами всю дорогу.
05.01.2008, 18:28
Surfer

korova.ru/humor/cyborg.php - мне сказали что там зловред какой-то в activex, др.веб и аутпость орут.
Кто-нибудь может его вытащить оттуда ? У меня не получилось.

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Сказали что др.веб тоже на что-то кричал, проверил через [url]http://online.drweb.com/?url=1[/url] - чисто.
05.01.2008, 18:58
SuperBrat

Зловред называется Exploit.HTML.Agent.x (ЛК).
05.01.2008, 19:47
Alex_Goodwin

Если фрейм расшифровать, то увидим ссылку. Но в ней ничего вредоносного не видно ..
Только if(success){document.write('');}
else{document.write('');}
05.01.2008, 19:55
Surfer

Antivirus Version Last Update Result
AhnLab-V3 2008.1.5.11 2008.01.05 -
AntiVir 7.6.0.46 2008.01.04 -
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.04 -
AVG 7.5.0.516 2008.01.05 -
BitDefender 7.2 2008.01.05 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.05 -
DrWeb 4.44.0.09170 2008.01.05 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.05 -
FileAdvisor 1 2008.01.05 -
Fortinet 3.14.0.0 2008.01.05 -
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 Exploit.HTML.Agent.x
Ikarus T3.1.1.15 2008.01.05 -
Kaspersky 7.0.0.125 2008.01.05 Exploit.HTML.Agent.x
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.05 -
NOD32v2 2766 2008.01.04 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.05 -
Prevx1 V2 2008.01.05 -
Rising 20.25.52.00 2008.01.05 -
Sophos 4.24.0 2008.01.05 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.05 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.05 -
Webwasher-Gateway 6.6.2 2008.01.04 -
Additional information
File size: 1925 bytes
MD5: 87204bb9284a03b4efc3f377647ef0a0
SHA1: 54803e3e62267fbb22000dd86972eab44ad07ca5
PEiD: -

Ложняк ? =)
05.01.2008, 19:58
Alex_Goodwin

нет, все правильно.. спасибо Alexey P.
05.01.2008, 20:05
Surfer

В общем разослал по вендорам, подождём реакции :)
05.01.2008, 20:29
Alex_Goodwin

Что разослали?
07.01.2008, 16:25
Surfer

[CODE]AhnLab-V3 2008.1.7.11 2008.01.07 -
AntiVir 7.6.0.46 2008.01.07 Exp/HTML.Agent.X.1
Authentium 4.93.8 2008.01.06 -
Avast 4.7.1098.0 2008.01.06 -
AVG 7.5.0.516 2008.01.07 -
BitDefender 7.2 2008.01.07 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.07 -
DrWeb 4.44.0.09170 2008.01.07 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5438 2008.01.07 -
Ewido 4.0 2008.01.06 -
FileAdvisor 1 2008.01.07 -
Fortinet 3.14.0.0 2008.01.06 -
F-Prot 4.4.2.54 2008.01.06 -
F-Secure 6.70.13030.0 2008.01.07 Exploit.HTML.Agent.x
Ikarus T3.1.1.15 2008.01.07 Exploit.HTML.Agent.x
Kaspersky 7.0.0.125 2008.01.07 Exploit.HTML.Agent.x
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.07 -
NOD32v2 2769 2008.01.07 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.07 -
Prevx1 V2 2008.01.07 -
Rising 20.26.02.00 2008.01.07 -
Sophos 4.24.0 2008.01.07 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.07 -
TheHacker 6.2.9.183 2008.01.07 -
VBA32 3.12.2.5 2008.01.06 -
VirusBuster 4.3.26:9 2008.01.06 -
Webwasher-Gateway 6.6.2 2008.01.07 BlockReason.0
[/CODE]
Медленно как-то реагируют :)
07.01.2008, 18:36
borka

[QUOTE=Surfer;168352]Медленно как-то реагируют :)[/QUOTE]
Ну, у нас праздники еще не кончились, но у них-то что? :wink_3:
09.01.2008, 13:03
Макcим

[QUOTE=Surfer;168352]Медленно как-то реагируют :)[/QUOTE]На *.html зарубежные вендоры почти ни как не реагируют. Например вир. лаб авиры такое даже не рассматривает.
09.01.2008, 17:42
Surfer

Авира как раз рассматривает, php, js, html - всё что я посылал добавляют.
10.01.2008, 10:32
Lamazz

AntiVir 7.6.0.46 2008.01.07 Exp/[B]HTML[/B].Agent.X.1
10.01.2008, 23:48
NVOLD

VBS.Packform

[B]VBS.Packform[/B] - Это вирус?
Сайт вскрыли похоже и он предлагал установить: [B]ANTIVIRUSPROINSTALLER.EXE[/B]
Скачал, кликнул... Он только обои поменял и исчез!
По названию поиском выловил файл и удалил.
Название мои форумчане узнали от DrWeb при входе на сайт.
Теперь не пойму, что делать...
[B]NOD32[/B] и [COLOR=black][B]Outpost Firewall Pro 2008[/B] ничего не видят![/COLOR]
11.01.2008, 02:06
pig

Вам [url=http://helpme.virusinfo.info/]сюда[/url].
13.01.2008, 17:34
Natalka

Всем привет!
я -ЧАЙНИК! у меня вирус Win32.banwarum.o, не могу найти как его удалить! стоит windows XP. нашла у касперского только описание модификатора Win32.banwarum.a. что делать? как его удалить????
13.01.2008, 17:37
AndreyKa

Natalka, вам надо в раздел Помогите.
Правила для обращения туда тут:
[url]http://helpme.virusinfo.info/[/url]
13.01.2008, 19:12
Natalka

спасибо)
01.02.2008, 16:26
Garrett

Здравствуйте!

Хочу поблагодарить Ваш сайт за то, что он есть ) Только благодаря ему я сумел победить какой-то новый штам Bagle, который я подцепил запуская кряку к Painter IX.5. NOD не только промолчал, но и благополучно сдох. Развитие сюжета схоже с [URL="http://virusinfo.info/showthread.php?t=17027&highlight=Bagle"]http://virusinfo.info/showthread.php?t=17027&highlight=Bagle[/URL]. Только он у меня еще и IceSword не давал запустить, и CureIT. "Танцы-бубны" помогли ) Очень много почерпнул из тредов этого форума.

Судя по сообщениям об этом вирусе, все датируются январем этого года (не только на этом форуме). Это что полный свежак? Вот мне свезло-то )
И судя по всему, его запуску такими дураками как я, не противостоит ни один антивирус? Или уже научили? Лучше бы научили, уж больно он изворотливый )
23.03.2008, 22:21
mr.alen

Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает

Показывать 40 сообщений этой темы на одной странице