[quote=mr.alen]Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает[/quote]
Вы ничего не путаете? Странная комбинация имён...
Printable View
[quote=mr.alen]Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает[/quote]
Вы ничего не путаете? Странная комбинация имён...
В полне нормально, ведь просмотрев червя в иде хорошо видно что там и бэкдор сидит
Сегодня после обновления KIS компьютеры на работе и дома заверещали и нашли вот это:
вирус Worm.Win32.Dianyz.b Файл: C:\WINDOWS\system32\notepad.exe
Винда установлена была Zver (знаете, конечно) - там стандартный нотепад был заменен, а теперь в нем вирус...
Хотелось бы прислать файлик Вам для диагностики.
если не туда запостил - извините. Модераторы переместят, я думаю, куда нужно.
Заранее благодарен за ответ!
Вам сюда [url]http://virusinfo.info/forumdisplay.php?f=46[/url]
Иногда находится Майкрософтом как
[CODE]TrojanDownloader:Win32/Renos.gen!AH[/CODE]
Больше ничто его не видит.
Как правило появляется на компьютере вследствии загрузки псевдо-кодека из порно-сайта.
Кодек имеет имя вида "sysa***.exe".
После запуска для установки показывается сообщение "Operation system not supported".
При этом в папку %WinDIR% копируются пять файлов с назвами вида "sysa**********.exe". Два из них имеют иконку щита с изображением лого ХР. (Как во время обновления Винды). Плюс все эти файлы запускаются и записываются в реестр на автозапуск текущего пользователя. (...\Run)
Через примерно 10 минут выскакивает сообщение в правом нижнем углу экрана над иконкой обновления ОС типа "на вашем компьютере обнаружено шпионское ПО. Кликните на это сообщение чтобы установить необходимые обновления". После клика программа заходит на сайт откуда можно скачать PC Protector - чет типа АВЗ (не имеет никакого отношения к Майрософту). Если не зайти на сайт а кликнуть по крестику вверху сообщения, то Оно исчезает и через 10 сек. появляется опять.
Кроме того заменяет фон рабочего стола на синий экран с надписью "все ваши действия могут быть увидены другими" (примерный перевод) и еще много текста.
Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
:http:www.gbhltd.com/img/editor/top/
Там можно скачать этот файл (осторожно, может быть вирус!)
В архиве файл с расширением .scr (вроде как программа-заставка), но он у меня не запукается (то есть по дабл-клику указатель мыши превращается в указатель занятости системы на пару секунд, и больше ничего не происходит), что вызвало подозрения. Проверка на вирустотале дала положительный или сомнительный результат от несколькиз антивирей, но многие самые авторитетные антивири (дрвеб, касперыч, НОД, БД) промолчали. Как еще проверить, что это было? Может, мне уже надо комп лечить? Прошу прощения, если не в ту тему пишу.
Кстати, ситуация осложнилась тем, что этот приятель сообщил, что он ничего никому не посылал, а теперь ему сыпятся по аське претензии о том, что, якобы, он присылал им ссылки (похоже ,либо кто-то в его компе сидит, либо аську его увел).
[quote=TRANCLUGATOR;208410]Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
[URL]http://www.gbhltd.com/img/editor/top/[/URL]
Там можно скачать этот файл, прямая ссылка на файл (осторожно, может быть вирус!)
[/quote]
Очень странный файл... :O
[quote=ALEX(XX);208417]Очень странный файл... :O[/quote]
Спросил у других приятелей, которым приходило это сообщение - некоторые пытались запускать - запуск также не удался. У одного ругнулся 3-й NOD у меня блин второй =(
Да и сайт-то это не фишковский, а поддельный.
Некоторые уже попались по тому же сценарию, об этом написано вот тут
[url]http://forum.sources.ru/index.php?showtopic=230224[/url]
Похоже, мне придется в помогите обращаться =(
[quote]Очень странный файл... [/quote]
AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
[url]http://www.virustotal.com/ru/analisis/0a49616adc6214b36f259cecb66d1b06[/url]
Так что, всем, кто запускал советую поменять все пароли, используя чистый компьютер и не пользоваться зараженным пока не выличите.
[quote=AndreyKa;208441]AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
[URL]http://www.virustotal.com/ru/analisis/0a49616adc6214b36f259cecb66d1b06[/URL]
[/quote]
Хотя Nod32 на virustotal не реагирует, на компьютере выдаёт - Win32/Statik
Paul
А если фаер все это время в режиме блокировки стоял - не страшно?
Касперский с последним обновлением находит [B]Trojan-PSW.Win32.LdPinch.sez[/B]
Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O
[quote=TRANCLUGATOR;208526]Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O[/quote]
Настройки?
Все, что нашел, поставил на максимум ,мог конечно и пропустить что-нибудь, так как эту версию только что поставил. Может, руткиты? Но, по идее, НОД и антируткит тоже. Ниче не пойму.
Может версии на серваке разные в разное время лежали?
[quote=TRANCLUGATOR;208452]А если фаер все это время в режиме блокировки стоял - не страшно?[/quote]
Нет. Только если модуль HIPS в файрволе ловил бы процесс или подозрительный .exe, то тогда он его остановил бы (Комодо это умеет без сигнатур). Но Пинч для файрвола законная часть того, что вы скачаете через разрешённый (не дай Бог ещё 'доверенный') браузер...
Paul
[quote=Alex_Goodwin;208541]Может версии на серваке разные в разное время лежали?[/quote]
Может, однако, онлайн-сканнер файлов на сайте Касперского показывает, что именно мой файл заражен, онлайн-сканнер дрВеба пишет ОК. Самое фиговое, что сам-то файл я удалю, а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет. Наверное, еще AdAware проверю.
Видимо, придется мне в "помогите" все же обращаться.:(
Сегодня в 19:02 архив BestMarch.zip был обновлен. В настоящее время Каспер его не детектирует, но будет со следующего обновления как
[B]Trojan-PSW.Win32.LdPinch.sfb[/B]
Возможно, из-за обновления трояна, его и не детектит NOD32. И вообще, если они будут обновлять свой пинчик каждые два часа, то антивирусы просто не успеют со своими сигнатурами...
[quote=TRANCLUGATOR;208551]а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет. [/quote]
Судя по [B]LdPinch, [/B]он первым делом попытался стырить пароли.
Да уж, завтра придется обращаться за помощью, может, к тому времени поспеет что-нибудь. Удалить-то лезущие в инет множественные файлы TheBestMarch.scr я поудалял, но вот не инсталлировали ли они в систему каких-то еще файлов - вот это вопрос, который завтра мне придется решать (и просить помощи у вас). Сегодня а то поздновато уже.
Кстати, только что пришло еще одно обновление сигнатур НОДа - так и не ловит. Видать, на моем компе что-то мешает ему ловить эту заразу, если у Вас определяет. Файлик-то скачан днем был еще.
Размер такой большой потому, что после окончания программы в файл записано много-много нуликов. В оригинале файл занимает 64 кб.
ставь себе F-Secure либо Avira.
Они прекрасно все видят.
Архивчик снова обновили. Каспер, Доктор, Нод, Симантек и прочие известные не детектируют. AVG и Авире респект.
[url]http://www.virustotal.com/analisis/1a4f3a6c79d6b9ee5229bef2f6788b80[/url]
Касперскому файл уже отправлен.
А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
[url]http://www.virustotal.com/ru/analisis/ffd78d64e6bbd8435c03bfa65f96fd79[/url]
[quote=psw;208873]А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
[URL]http://www.virustotal.com/ru/analisis/ffd78d64e6bbd8435c03bfa65f96fd79[/URL][/quote]
По классификации Касперского:
вчерашний дневной- [B]Trojan-PSW.Win32.LdPinch.sez[/B]
вчерашний вечерний (обновлен в 19 часов)- [B]Trojan-PSW.Win32.LdPinch.sfb[/B]
сегодняшний (обновлен в 12 часов)- [B]Trojan-PSW.Win32.LdPinch.sfh[/B] (детектирование будет со следующего обновления Каспера)
И пока кто-нибудь не отошлет им в лабораторию новую версию, ловить не будет. А некоторые версии его предшественника (TheBestFebruary.zip) определялись тем же КАВом как Heur.Trojan.Generic.
Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.
[quote=1205;208888]Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.[/quote]
Да ну? Так уж и не страшен?
[quote=ALEX(XX);208965]Да ну? Так уж и не страшен?[/quote]
Ну троян конечно ничего хорошего не сделает, если его запустить. Но если включен KIS, который отреагирует на запуск программы, и пользователь последует здравому смыслу и нажмет "Запретить", то ничего плохого не произойдет. Ведь понятно, что для видеоролика обращение к паролям и соединение с интернетом-весьма странное поведение.
А вот простой KAV этот пинч не словит, если в базах его еще нет. И это не радует. Авторы могут изменять свой троян чаще, чем касперовцы добавляют сигнатуры и выпускают обновления. А выявлять модификации пинча без баз, как делают некоторые антивирусы (тот же AVG вылавливал все вариации этого bestmarch сразу по единой сигнатуре), Каспер, к сожалению, не может.
Люди спасите помогите нубу.
пришло в аську такое сообщение
Привет, смотри :)
:http:aaario.eu/ru/top/
( :http:aaario.eu/ru/top/TheBestMarch.zip )
Классная вещь :-)
Ну я взял и клацнул, оно скачалось, запустил, эфекта ноль. Тут я и понял что наверное это что-то не хорошее. Поиск в гугле вывел на этот форум. Касперский не детектит эту заразу, скачал триальный AVG он тоже ничего не нашел только придрался к какомуто доисторическому краку и инсталах. Скачал триальный Avir он тоже ничего не нашел...
Что мне делать как действовать? Может так получиться что вирус не сработал и сканы не находят его потому что его нет?
Понимаю что вопрос скорее всего глупый, но если бы знал что делать то не спрашивал.
Уберите активные ссылки!Этот пинч самоуничтожается.
Т.е. не прягтись, все ок? Это у меня паранойя...
Я не понимаю что такое пинч((
[quote=VID;209548]Я не понимаю что такое пинч(([/quote]
Вкратце, семейство троянов, которые воруют пароли (и не только)
Все плохо,в архиве есть заставка или видеоролик,но они не совсем обычные,в них вклеен пинч-троянская программа,которая ворует пароли,после запуска этих файлов он активируется,собирает все ваши пароли,отправляет их своему владельцу по средствам Email или ICQ а затем самоуничтожается,то есть искать его в системе безполезно.
Вот этого я и не хочу что бы у меня увели пароли. Что мне делать? Поменять их везде?
Да смените все пароли,как можно быстрее,другого решения здесь нет.
Спасибо. Будем надеяться что все обойдется)
Вышел новый червь, название пока не знаю.
Симптомы: зависает Internet Explorer, сетевой канал забит паразтным трафиком, сетевые службы работают нестабильно. Сильно жрёт Интернет.
Файлы червя:
C:\WINDOWS\system32\Drivers\SDN44.SYS
C:\WINDOWS\system32\WLCTRL32.DLL
C:\WINDOWS\system32\9 (невидим)
Описание:
Червь создаёт службу Sdn44 и прописывает загрузку этой службы в любом режиме (минимальная загрузка, безопасный режим, нормальная работа). Ветвь реестра соответсвтующая данной службе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Snd44, служба ссылается на файл SDN44.SYS. Паралельно этой службе в системе создаётся объект уведомления который ссылается на файл WLCTRL32.DLL. Ветвь реестра соответствующая объекту уведомления HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\WLCtrl32.
Червь создаёт исходящие подключения на разные адреса в интернете пытаясь имитировать DoS атаку.
Назначение файла "9" мне не ясно, думаю это вспомогательный объект червя.
Удаление:
Для удаления мне понадобилось загрузить машину в MSDOS и удалить описанные выше файлы. Удаление из работающей ОС осложняется невозможностью выгрузки файла SDN44.SYS, т.к. он является модулем ядра. Будучи запущеным сервис Sdn44 не позволяет удалить соответсвующие ключи реестра для обезвреживания что и создаёт трудности.
Заключение:
В заключение выкладываю архив с файлами для ознакомления.
{[color=#CC0000]moderated: если хотите поделиться, присылайте в соответствии с приложением 3 раздела помогите[/color]}
И, насколько понял, создаёт устройсво Rntm31
И чего здесь здесь нового?это типичный булкнет.
Добрый вечер! у меня вот такая проблема, может конечно не по теме, но тогда расскажите куда писать.
у меня стоит доктор веб, с сегодняшнего дня, вот уже 12 раз за несколько часов он отсекает некоего WoRm.Sifiliz что это за зверь такой, может кто знает?Доктор просто запрещает ему допуск
Не пользуйтесь IE, используйте Опера или Firefox
Worm.Sifiliz - это скрипт на зараженном сайте, через который Вы можете получить довольно большую пачку троянов. Это действительно опасная вещь.