-
serg28serg, А сам файл Вы анализировали?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE]
По поводу высказываний “запустился комп, да и фик с ним – пусть работает как есть”
Но лечить надо все равно, поскольку процесс остается в памяти, он региться как сервис, возможно еще как то, если его так оставить - типа не мешает и бог с ним , возможны разные варианты -
- он может служить как средство для DoS атак с вашего компа.
- Может запускаться с какой то периодичностью и блокировать комп по таймеру или по команде из вне.
- может служить для загрузки других червей
Вообщем вариантов много - ни кто же не анализировал.
[/QUOTE]
При вводе кода троян уничтожается вроде бы.
Его поведение при "пережидании" не изучал.
-
[COLOR=black][FONT=Verdana][QUOTE=bolshoy kot;388126]А сам файл Вы анализировали?[/QUOTE][/FONT][/COLOR]
[COLOR=black][FONT=Verdana] Ни дизасмить же его, и смотреть че он там делает, это уж для антивирусописателей работа [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Достаточно видеть что он делал - на том компе что я проверял , комп блокировался (через сутки отпустило только) [B][FONT=Verdana]servises.exe[/FONT][/B] стойко сидел в памяти, дублируя самого себя[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Да и по названию сигнатур видно что он делал , он показывает рекламу с просьбой отправить СМС [/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana][QUOTE=bolshoy kot;388126] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]При вводе кода троян уничтожается вроде бы.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Его поведение при "пережидании" не изучал.[/QUOTE][/FONT][/COLOR]
[FONT=Calibri][SIZE=3]Ну так вот не факт, точнее не во всех случаях.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Кто ж будет убивать курицу, несущую золотые яйца [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Если уж заразился юзер – так сдаивай с лохов до последней копейки…. , только алгоритм все надо придумывать похитрее , типа прятаться , затаиваться на время.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Ну мне вот как раз такой попался…[/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Ваще хорошо бы поставить AnVir и проверить триадность процессов в памяти и автозагрузке, все красные, подозрительные желтые, и те что не имеют описания – отправлять встроенной качалкой на вирустотал…. А те процессы что прячут свой собственный файл (при отправке из встроенной качалки на вирустотал - сообщение об ошибке) вообще убивать. [/SIZE][/FONT]
-
Я запускал файл, он такого не делал, правда, ie не проверял, может, он там делает свои дела?
-
[COLOR=black][FONT=Verdana][QUOTE=bolshoy kot;388152]Я запускал файл, он такого не делал, правда, ie не проверял, может, он там делает свои дела?[/QUOTE][/FONT][/COLOR]
[COLOR=black][FONT=Verdana] Вы про servises.exe ?[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Запускали , в процессах сидит ? а потом убивается без проблем ? [/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Так это голый процесс что я вытянул из памяти, может ему что-то надо для полноценной работы, я же его ручками ловил, а не антивирем, [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]ручками спящие зараженные файлы не покапаешь особо, если точно не знаешь что где лежит, [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]все что было рекомендовано на форумах по 3649 (проверка по папкам где лежат файлы, все пусто, кроме этого процесса в памяти)[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Для полноценной проверки нужен инсталлятор servises.exe[/FONT][/COLOR]
Но форумы по этой сигнатуре не врут , там говорят что предлагает отправить СМС на номер.
-
[quote=serg28serg]Для полноценной проверки нужен инсталлятор servises.exe
[/quote]
Для полноценной проверки нужно выполнить [url=http://virusinfo.info/showthread.php?t=1235]Правила[/url].
-
AndreyKa, имелось ввиду для проверки действий этого файла.-
-
Теперь Kaspersky ловит .tmp как
[i]Trojan-Ransom.Win32.Agent.al [/i]
[size="1"][color="#666686"][B][I]Добавлено через 1 час 55 минут[/I][/B][/color][/size]
Думаю, к этой гадости причастны :http:pop-under.ru
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Возможно, будет кому-то интересен код страницы:
[code]
<html>
<head>
<title>БЕСПЛАТНОЕ ПОРНО ВИДЕО</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<link href="landings/5/style.css" rel="stylesheet" type="text/css" />
<bgsound src="" id="sound" loop="1">
</head>
<body>
<script type="text/javascript" src="fixpng/fixpng.js"></script>
<div class="flash">
<a href="#"><img class="flash_preview" src="http://91.205.111.51/preview/main/10.jpg" alt="" width="480" height="322" /><img src="landings/5/img/player-bottom.png" alt="" width="482" height="<br />
<b>Notice</b>: Undefined index: player in <b>/usr/www/frontend/rSdoPdtE2/movie.php</b> on line <b>23</b><br />
" style="border: 0; filter:expression(fixPNG(this));"/></a>
<a href="#"><img src="landings/5/img/play.png" class="play" alt="" width="<br />
<b>Notice</b>: Undefined index: play_w in <b>/usr/www/frontend/rSdoPdtE2/movie.php</b> on line <b>24</b><br />
" height="<br />
<b>Notice</b>: Undefined index: play_h in <b>/usr/www/frontend/rSdoPdtE2/movie.php</b> on line <b>24</b><br />
" style="filter:expression(fixPNG(this));"/></a>
</div>
<div>
<script>var Drag = {
obj : null,
init : function(o, oRoot, minX, maxX, minY, maxY, bSwapHorzRef, bSwapVertRef, fXMapper, fYMapper)
{
o.onmousedown = Drag.start;
o.hmode = bSwapHorzRef ? false : true ;
o.vmode = bSwapVertRef ? false : true ;
o.root = oRoot && oRoot != null ? oRoot : o ;
if (o.hmode && isNaN(parseInt(o.root.style.left ))) o.root.style.left = "0px";
if (o.vmode && isNaN(parseInt(o.root.style.top ))) o.root.style.top = "0px";
if (!o.hmode && isNaN(parseInt(o.root.style.right ))) o.root.style.right = "0px";
if (!o.vmode && isNaN(parseInt(o.root.style.bottom))) o.root.style.bottom = "0px";
o.minX = typeof minX != 'undefined' ? minX : null;
o.minY = typeof minY != 'undefined' ? minY : null;
o.maxX = typeof maxX != 'undefined' ? maxX : null;
o.maxY = typeof maxY != 'undefined' ? maxY : null;
o.xMapper = fXMapper ? fXMapper : null;
o.yMapper = fYMapper ? fYMapper : null;
o.root.onDragStart = new Function();
o.root.onDragEnd = new Function();
o.root.onDrag = new Function();
},
start : function(e)
{
var o = Drag.obj = this;
e = Drag.fixE(e);
var y = parseInt(o.vmode ? o.root.style.top : o.root.style.bottom);
var x = parseInt(o.hmode ? o.root.style.left : o.root.style.right );
o.root.onDragStart(x, y);
o.lastMouseX = e.clientX;
o.lastMouseY = e.clientY;
if (o.hmode) {
if (o.minX != null) o.minMouseX = e.clientX - x + o.minX;
if (o.maxX != null) o.maxMouseX = o.minMouseX + o.maxX - o.minX;
} else {
if (o.minX != null) o.maxMouseX = -o.minX + e.clientX + x;
if (o.maxX != null) o.minMouseX = -o.maxX + e.clientX + x;
}
if (o.vmode) {
if (o.minY != null) o.minMouseY = e.clientY - y + o.minY;
if (o.maxY != null) o.maxMouseY = o.minMouseY + o.maxY - o.minY;
} else {
if (o.minY != null) o.maxMouseY = -o.minY + e.clientY + y;
if (o.maxY != null) o.minMouseY = -o.maxY + e.clientY + y;
}
document.onmousemove = Drag.drag;
document.onmouseup = Drag.end;
return false;
},
drag : function(e)
{
e = Drag.fixE(e);
var o = Drag.obj;
var ey = e.clientY;
var ex = e.clientX;
var y = parseInt(o.vmode ? o.root.style.top : o.root.style.bottom);
var x = parseInt(o.hmode ? o.root.style.left : o.root.style.right );
var nx, ny;
if (o.minX != null) ex = o.hmode ? Math.max(ex, o.minMouseX) : Math.min(ex, o.maxMouseX);
if (o.maxX != null) ex = o.hmode ? Math.min(ex, o.maxMouseX) : Math.max(ex, o.minMouseX);
if (o.minY != null) ey = o.vmode ? Math.max(ey, o.minMouseY) : Math.min(ey, o.maxMouseY);
if (o.maxY != null) ey = o.vmode ? Math.min(ey, o.maxMouseY) : Math.max(ey, o.minMouseY);
nx = x + ((ex - o.lastMouseX) * (o.hmode ? 1 : -1));
ny = y + ((ey - o.lastMouseY) * (o.vmode ? 1 : -1));
if (o.xMapper) nx = o.xMapper(y)
else if (o.yMapper) ny = o.yMapper(x)
Drag.obj.root.style[o.hmode ? "left" : "right"] = nx + "px";
Drag.obj.root.style[o.vmode ? "top" : "bottom"] = ny + "px";
Drag.obj.lastMouseX = ex;
Drag.obj.lastMouseY = ey;
Drag.obj.root.onDrag(nx, ny);
return false;
},
end : function()
{
document.onmousemove = null;
document.onmouseup = null;
Drag.obj.root.onDragEnd( parseInt(Drag.obj.root.style[Drag.obj.hmode ? "left" : "right"]),
parseInt(Drag.obj.root.style[Drag.obj.vmode ? "top" : "bottom"]));
Drag.obj = null;
},
fixE : function(e)
{
if (typeof e == 'undefined') e = window.event;
if (typeof e.layerX == 'undefined') e.layerX = e.offsetX;
if (typeof e.layerY == 'undefined') e.layerY = e.offsetY;
return e;
}
};
function Down(download,e)
{
if (e!=null && e.keyCode==27)
{
Close();
return;
}
switch (download)
{
case "iax": document.location.href="http://91.205.111.61/hotsex/redirect.php?wid=1"; break;
Close();
}
}
function vc() {
var confirmtext="Ошибка воспроизведения.\r\nБраузер не поддерживает данный формат видео.\r\nНажмите ОК для установки требуемого драйвера видео.";
if (confirm(confirmtext)) {
location.href="http://91.205.111.61/hotsex/redirect.php?wid=1";
}else{
if (alert("Не установлено программное обеспечение, необходимое для просмотра видео.")) {
}else {
vc();
}
}
}
function Close()
{
var p=document.getElementById("popdiv");
vc();
}
function Details()
{
if(alert("Не установлено программное обеспечение, необходимое для просмотра видео.")){};
}</script>
<div name="popdiv" id="popdiv" onkeypress="Down('iax',event);" style="visibility:hidden; z-index:1000;position:absolute;top:0px;left:0px;">
<table cellpadding="0" cellspacing="0" width="362" height="126">
<tr>
<td>
<table cellpadding="0" cellspacing="0" width="362" height="29" style=" BACKGROUND-IMAGE:url('img/xptop.gif'); height:29px; width:362"> <!--win top table-->
<tr>
<td style="color:white; font-family:Tahoma; font-size:13px; font-weight:bold; padding-left:4px;padding-top:1px; vertical-align: middle;"> Ошибка воспроизведения</td>
<td width="21" style="padding-right:6px; vertical-align: middle;"><img src="img/xpclose.gif" width="21" height="21" onclick="Close();" ></td>
</tr>
</table>
</td>
</tr>
<tr>
<td>
<table cellpadding="0" cellspacing="0" height="97">
<tr>
<td style="background-image:url('img/left.gif'); background-repeat:repeat-y" valign="bottom">
<table cellpadding="0" cellspacing="0">
<tr>
<td><img src="img/xpleftclm.gif" width="3" height="97"></td>
</tr>
</table>
</td>
<td valign="top">
<table cellpadding="0" cellspacing="0" width="356" bgcolor="#ece9d8">
<tr>
<td>
<table cellpadding="0" cellspacing="0" height="59">
<tr>
<td align="center" style="padding-left:20px; padding-top:13px;" valign="top"><img src="img/alert.gif" width="31" height="32"></td>
<td align="left" style="font-size:11px; font-family:Tahoma; padding-left:30px; padding-bottom:8px; padding-right:5px;">
<br><b>Ошибка воспроизведения</b><br>Браузер не поддерживает данный формат видео.<br><br>Нажмите "Продолжить" для установки требуемого драйвера видео. </td>
</tr>
</table>
</td>
</tr>
<tr>
<tr>
<td style="padding-left:20px; padding-right:20px; padding-bottom:20px; font-family:Tahoma; font-size:11px;" align="left">
<hr><br>
Нажмите "Продолжить" для установки требуемого ПО и подтверждения согласия с <a href="rules.php" style="color: #000000; font-size: 11px;" target="_blank">условиями его использования</a>. </td>
</tr>
<td>
<table align="center" style="margin: 0 auto; position: relative;" height="22">
<tr height="22">
<td><input type="button" value="Продолжить" onclick="Down('iax');" style="font-size:11px; font-family:Arial; height:23px;" tabindex="1" ID="Button1" NAME="Button1"> <br><br></td>
<td><input type="button" value="Отменить" onclick="Close()" style="font-size:11px; font-family:Arial; height:23px;" ID="Button3" NAME="Button3"> <br><br></td>
<td><input type="button" value="Подробности..." onclick="Details()" style="font-size:11px; font-family:Arial; height:23px;" ID="Button3" NAME="Button3"> <br><br></td>
</tr>
</table>
</td>
</tr>
<tr>
<td>
<table cellpadding="0" cellspacing="0" width="100%">
<tr bgcolor="#4577ea" style="height:1px;">
<td></td>
</tr> <!--empty colors-->
<tr bgcolor="#0029b5" style="height:1px;">
<td></td>
</tr>
<tr bgcolor="#001590" style="height:1px;">
<td></td>
</tr>
</table>
</td>
</tr>
</table>
</td>
<td style="background-image:url('img/right.gif'); background-repeat:repeat-y" valign="bottom">
<table cellpadding="0" cellspacing="0">
<tr>
<td style="padding:0px;"><img src="img/xprightclm.gif" width="3" height="97"></td>
</tr>
</table>
</td>
</tr>
</table>
</td>
</tr>
</table>
<script>
<!--
setTimeout("showPopDiv()",2500);
function showPopDiv()
{
var sFlag = "No";
var byFlag = false;
var FlagAr = sFlag.split("");
if (FlagAr[0]=="1"){byFlag = true;}
if (FlagAr[0]=="3"){byFlag = true;}
if(!byFlag)
{
var p=document.getElementById("popdiv");
wmpwidth=document.body.clientWidth/2-165;
wmpheight=document.body.clientHeight/2-180;
p.style.top = wmpheight;
p.style.left = wmpwidth;
p.style.visibility = "visible";
}
}
Drag.init(document.getElementById("popdiv"));
-->
</script>
</div>
<div>
<br/>
<br/>
<br/>
<br/>
<br/>
<br/>
<br/>
</div>
</div>
<img width=1 height=1 src="87"/>
</body>
</html>
[/code]
-
[url]http://ip-whois.net/ip_geo.php?ip=91.205.111.61[/url]
-
Дабы избавиться от очередной рутины объяснения моих размышлений на тему троянцев-вымогателей выкладываю вебархив страницы с форума где я частый посетитель. Т.к. тему я создавал в зоне только для VIP по этому делюсь архивом, а не ссылкой на сам форум.
hxxp: //slil.ru/27462744
На данный момент заручился поддержкой организации "Общественная Комиссия по Борьбе с Коррупцией". Успел много пообщаться с операторами Билайна о коротком номере для смс 3649, категорично ссылаются на Альт1 и более ни какой информации (нарушение ЗоЗПП, отказ в предоставлении информации о предоставляемой услуге). Альт1 согласились только предоставить код требуемый заразой, без инфы об арендаторе номерка. И если ранее я предполагал схему ОпСоС -> контент-провайдер -> мошенник, то теперь терзают сомнения о наличии третьего звена.
Насобирал не большое количество информации по данному вопросу, некоторую часть и на этой странице, за что отдельное спасибо.
Коррупционеры согласны помочь при условии некоторого количества заявителей пострадавших от массового мошенничества (не менее трех). Сам я от этого не страдал, но по специфике моей работы мне надоело лечить клиентские машины, и готов быть заявителем. Так что ищу единомышленников, хотябы еще двоих заявителей. Для связи в моем профиле найдете асю.
P.S.: Прошу у всех извинений за мой небольшой офтоп. Заработка на этом не предполагаю! Желающие наживиться проходят мимо!
-
Что обидно, инсталлятор с порноресурса не убирают... Пользователи продолжают заражаться. Интересно, что у ресурса НЕТ домена - только IP. Так что один из путей остановки заразы - заставить pop-under.ru убрать рекламу сего сайта.
-
[QUOTE=bolshoy kot;389441]Так что один из путей остановки заразы - заставить pop-under.ru убрать рекламу сего сайта.[/QUOTE]
А что помешает мошеннику переложить эту дрянь на новый ресурс?
Оптимальный вариант - через суд заставить ОпСоСов вернуть деньги ВСЕМ абонентам воспользовавшимся псевдо-услугой, а не только заявителям. Это может спровоцировать с их стороны организацию контроля рынка мобильного контента. Согласен, что не решает проблему распространения вредоносного кода, но ограничивает мошенников в способах наживы.
-
И запретить popunder связываться с ресурсами без доменов! И банально проверять их! Раньше таким же путем (popunder, IP и т.п.) ставили информер.
Про возврат денег - боюсь, это не возможно :( Деньги уже отданы авторам вируса.
-
Новая разновидность блокиратора Windows: Trojan-Downloader.Win32.Agent.brpj (Trojan.Winlock.43)
Выдает сообщение на чёрном фоне:
[quote]
Windows заблокрован
Для разблокировки необходимо отправить смс с текстом
...... на номер 3649
введите полученный код
...... [Активация]
для разблокировки у вас есть
(обратный отсчет от 3 часов)
[/quote]
Лечится переводом в BIOS времени на 3 часа вперед.
-
AndreyKa, где взяли? На том же порносайте? Если кто-то прислал образец, перешлите на [email][email protected][/email]
-
AndreyKa, если есть, ссылку на паразитный ресурс приму сюда karavan[a]itmagic.ru
-
По теме: За последние три дня пришлось удалять на клиентских компах раные виды этого вируса... Во всех пяти случаях решалось полной очисткой папки: c:\Documents and Settings\имя_пользователя\Local Settings\Temp\. Путь к файлу хранился в реестре в ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit после запятой в тексте: C:\WINDOWS\system32\userinit.exe, Удалить легко, загрузившись с liveCD DR-Web. Так как там есть файловый менеджер с поддержкой NTFS. Грузиться недолго... Как правило сам сканер не находит его... Очищаем с помощью файлового менеджера временные папки и перезагружаемся..
Вот. Мож кому пригодиться...
-
[quote=bolshoy kot]AndreyKa, где взяли? На том же порносайте? [/quote]Да.
Ссылку и сам троян присылать не буду. Не просите.
-
AndreyKa, имя файла хотя бы скажите?
-
На сайте лежит файл xvidDecoder1.exe
Инсталлируется во временную папку со случайным именем. У меня были: nodA5.tmp, nod1.tmp
-
AndreyKa, нашли и без Вашей помощи. :) Ссылка была в теме - это на том же порносайте.
Имя файла: XvidDecoder1 (1).exe
Имя самого файла: nod1.tmp
Вид окна:
[URL=http://radikal.ru/F/i014.radikal.ru/0904/59/77cac0ce3a8d.jpg.html][IMG]http://i014.radikal.ru/0904/59/77cac0ce3a8dt.jpg[/IMG][/URL]
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[url]http://www.virustotal.com/analisis/b35cb96ffef877988c13a2ae57f8dac5[/url]
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
Похоже, калькулятор кода на сайте Dr.Web не поможет. В автозапуск прописывается также. К счастью, вирус прописывается во временной папке - если не знаете, какой файл вирус, очистите всю временную папку.
[url]http://www.virustotal.com/analisis/cb216c971c159039180d55dd1e03434e[/url]
Page generated in 0.00428 seconds with 10 queries