Сегодня отловил штуковину, которую не детектит ни Касперский, ни др. Вэб, ни AVZ. Если это кому-то интересно, то куда кидать???
Printable View
Сегодня отловил штуковину, которую не детектит ни Касперский, ни др. Вэб, ни AVZ. Если это кому-то интересно, то куда кидать???
[email][email protected][/email]
или
[email][email protected][/email]
в zip-архиве с паролем infected
Отправил на оба. Подтвердите.
Спасибо.
Jack2, спасибо за вклад в дело антивирусной защиты. Работники антивирусных компаний вам наверняка уже ответили. Проверьте ящик. Все подозрительные файлы можете отсылать по этим адресам.
Собственно, связка КьюИт, КИС 6 + АВЗ в данном случае почти не помогла. Пришлось грузиться с загрузочной кампашки и чистить руками. Экзешник из архива КИС 7.0.0.119 с базами за 27 число при сканировании пропускает (эвристика на максимуме). Где можно посмотреть список бесплатных утилит типа АВЗ или поделки от Др. Вэба от других антивирусных производителей? Это обсуждалось на форуме?
Ещё хотелось бы вступить в клуб. Что от меня требуется и может ли кто-нибудь оказать информационную поддержку? В том плане, что знаний достаточно быть не может и вопросы появятся в любом случае.
Пиши Moderatoram просьбу о вступлении в ряды хелперов.
Сверху ссылочка [url]http://virusinfo.info/showthread.php?t=8062[/url]
Зачислят в "стажеры", сдашь зачет и вперед работать.
[QUOTE=Jack2;118770]Собственно, связка КьюИт, КИС 6 + АВЗ в данном случае почти не помогла. Пришлось грузиться с загрузочной кампашки и чистить руками. Экзешник из архива КИС 7.0.0.119 с базами за 27 число при сканировании пропускает (эвристика на максимуме). Где можно посмотреть список бесплатных утилит типа АВЗ или поделки от Др. Вэба от других антивирусных производителей? Это обсуждалось на форуме?[/QUOTE]
Раздел "Антивирусы". Там много чего есть почитать.
[B]PavelA[/B]
Понял, спасибо!
Раздел "Антивирусы" читал, надо будет внимательнее... Именно в части одноразовых бесплатных утилит от нероссийских производителей что-то не припомню...
New malicious software was found in the attached file.
Trojan-Downloader.Win32.Small.cxx
Trojan.Win32.Pakes.ae
It's detection will be included in the next update. Thank you for your help.
Утреннее обновление КАВ уже детектит заразу, молодцы ребята, очень оперативно!
[email][email protected][/email]
что за адрес ? какого ав-лаба ?
[QUOTE=spoky;119503][email][email protected][/email]
что за адрес ? какого ав-лаба ?[/QUOTE]
Читай здесь [url]http://virusinfo.info/showthread.php?t=5287&page=2[/url]
[QUOTE=spoky;119503][email][email protected][/email]
что за адрес ? какого ав-лаба ?[/QUOTE]
Получат почти все. Вам точно будут отвечать: Symantec, ЛК, Dr.Web, Sophos, AVIRA, McAfee. Остальные вендоры по желанию и нерегулярно.
Сегодня наткнулся на сетку, которую иначе, чем "зоопарком" не обзовешь. Домой принес двух интересных зверей, которых не ловит корпоративный Симантек 10 серии (Софос, кстати, тоже). Касперски и доктор ВЭБ справляются на "ура".
Отправил вендорам.
Если кому интересно, могу прислать.
Вот интересно, как Вы оцениваете свой труд по очистке компутеров от заразы. Сетка - 12 компов, куча шар, а значит лечить придется все.
По моим прикидкам, гораздо дешевле будет взять денег за повторную установку систем, чем возиться с заразой.
[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
Ещё на жестком валяется такая штука
Antivirus Version Update Result
AhnLab-V3 2007.7.5.0 07.04.2007 no virus found
AntiVir 7.4.0.37 07.04.2007 TR/Keygen.AP
Authentium 4.93.8 07.04.2007 no virus found
Avast 4.7.997.0 07.04.2007 no virus found
AVG 7.5.0.476 07.04.2007 no virus found
BitDefender 7.2 07.04.2007 no virus found
CAT-QuickHeal 9.00 07.04.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 07.04.2007 no virus found
DrWeb 4.33 07.04.2007 no virus found
eSafe 7.0.15.0 07.04.2007 suspicious Trojan/Worm
eTrust-Vet 30.8.3762 07.04.2007 no virus found
Ewido 4.0 07.04.2007 no virus found
FileAdvisor 1 07.04.2007 Low threat detected
Fortinet 2.91.0.0 07.03.2007 Keygen.AP!tr
F-Prot 4.3.2.48 07.04.2007 no virus found
F-Secure 6.70.13030.0 07.04.2007 W32/Suspicious_F.gen
Ikarus T3.1.1.8 07.04.2007 no virus found
Kaspersky 4.0.2.24 07.04.2007 no virus found
McAfee 5067 07.04.2007 no virus found
Microsoft 1.2701 07.04.2007 no virus found
NOD32v2 2378 07.04.2007 no virus found
Norman 5.80.02 07.04.2007 W32/Suspicious_F.gen
Panda 9.0.0.4 07.04.2007 no virus found
Sophos 4.19.0 06.24.2007 Mal/Packer
Sunbelt 2.2.907.0 07.04.2007 VIPRE.Suspicious
Symantec 10 07.04.2007 no virus found
TheHacker 6.1.6.142 07.04.2007 no virus found
VBA32 3.12.0.2 07.03.2007 no virus found
VirusBuster 4.3.23:9 07.04.2007
Webwasher-Gateway 6.0.1 07.04.2007 Trojan.Keygen.AP
Валяется очень давно, никто из тестируемых антивирусов ее не трогал. Антивиром сегодня задел, аж поперхнулся. Очень похоже на ложняк.
[size="1"][color="#666686"][B]Добавлено через 6 минут[/B][/color][/size]
[B]SuperBrat[/B], а [email][email protected][/email] - ящик Олега Зайцева?
[size="1"][color="#666686"][B]Добавлено через 10 минут[/B][/color][/size]
Ещё вопрос: зачастую при удалении возникают проблемы со сносом некоторых dll, или ещё чего-то вредоносного. Я часто предпочитаю не париться со скриптами, а загрузиться с компакт-диска (вин ре), все нужное скопировать на память на флешку. Все ненужное удалить.
Возможен ли таковой подход после анализа логов АВЗ и ХайДжек'а???
[QUOTE='Jack2;120490']SuperBrat, а [email][email protected][/email] - ящик Олега Зайцева?[/QUOTE]
Да, и в свете последних событий, дополнительный ящик ЛК.
Понял, спасибо!
[QUOTE='Jack2;120490']Ещё вопрос: зачастую при удалении возникают проблемы со сносом некоторых dll, или ещё чего-то вредоносного. Я часто предпочитаю не париться со скриптами, а загрузиться с компакт-диска (вин ре), все нужное скопировать на память на флешку. Все ненужное удалить.
Возможен ли таковой подход после анализа логов АВЗ и ХайДжек'а???[/QUOTE]
Вариант такой возможен, но не надо забывать, что данное удаление не чистит реестр. Поэтому при загрузки реальной системы могут возникать коллизии.
[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
[QUOTE='Jack2;120490']Вот интересно, как Вы оцениваете свой труд по очистке компутеров от заразы. Сетка - 12 компов, куча шар, а значит лечить придется все. [/QUOTE]
Мне по работе приходилось прочищать сетку из 30 компов, да и денег было невозможно стребовать, т.к. это моя работа.
[QUOTE='Jack2;120490']Вот интересно, как Вы оцениваете свой труд по очистке компутеров от заразы.[/QUOTE]Учитывая что переустановка Windows стоит 200-300 руб, на лечении (пять минут работы) много не заработаешь ;)
[B]PavelA[/B], речь идет о "шабашке".
[B]Maxim[/B], переустановка стоит дороже, тем более, что после сноса нужно наладить работу 1С, общих папок, общих принтеров, не говоря уже о сервере терминалов.
Время тратится на сканирование, а это часы, и заниматься этим тоже придется, юзер "не могёт". :(
[QUOTE='Jack2;122152']Maxim, переустановка стоит дороже, тем более, что после сноса нужно наладить работу 1С, общих папок, общих принтеров, не говоря уже о сервере терминалов.
[/QUOTE]Ну да, я не учел что это не домашний ПК.
А почему бы тебе не записаться к нам в хелперы? Ты пройдешь такую хорошую практику, которая не написана ни в какой книжке.
Далее, видел вопрос про адрес Олега. Ему лучше закачивать файлы через [URL="http://z-oleg.com/secur/avz/uploadvir.php"]эту[/URL] веб-форму. По почте многое не доходит даже в архиве с паролем.
[QUOTE='Maxim;121765']Учитывая что переустановка Windows стоит 200-300 руб, на лечении (пять минут работы) много не заработаешь [/QUOTE]
В столице висят в метро объявления: "приедем, излечим от вирусов, установим программы". Первый визит и анализ - 300руб., далее в зависимости от сложности до 1500-2500руб.
Кстати, недавно человек вызвал такого мастера, отдал 1500, получил рабочую систему, но без всех документов и картинок. Подозреваю, что там была "диструктивная реклама". Очень жалею, что мне поздно об этом сообщили.
[QUOTE='Maxim;122185']Далее, видел вопрос про адрес Олега. Ему лучше закачивать файлы через эту веб-форму. По почте многое не доходит даже в архиве с паролем.[/QUOTE]
Если посылать через почтовую программу по smtp, то ничего не дойдет. Провы (большинство) блокируют отправку запароленных архивов по smtp. Отправленное через web-интерфейс почтовой службы доходит почти 100%.
[QUOTE='SuperBrat;122328']Если посылать через почтовую программу по smtp, то ничего не дойдет.[/QUOTE]Большинство пользуется smtp, там что логичнее советовать загрузку через web-интерфейс на сайте Олега. Проще. IMHO.
[QUOTE=Maxim;122399]Большинство пользуется smtp, там что логичнее советовать загрузку через web-интерфейс на сайте Олега. Проще. IMHO.[/QUOTE]
Если нет проблем с размером,
[QUOTE]Размер файла не должен превышать 1.5 МБ.[/QUOTE]
то логично. Не спорю.
Истинное malware весит несколько Кб, так что хватит с головой ;)
Бывает что и по 3 мб файлы на флешке приносят. И уже сильно не сжимается. А вообще это вопрос из разряда "на вкус и цвет". Я на форуме lemnews.com советую оба варианта.
[quote=Maxim;122416]Истинное malware весит несколько Кб, так что хватит с головой ;)[/quote]
[url]http://www.viruslist.com/ru/viruses/analysis?pubid=204007552[/url]
Пункт 6. [QUOTE]... [URL="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=125040"]Trojan.Win32.KillFiles.ki[/URL], функцией которого является банальное уничтожение файлов. Размер этого троянца составил 247MB.[/QUOTE]
Твоя подпись достаточно выражает то, что я хочу ответить :)
[B]Maxim[/B], да хочу я записаться. Вот времени маловато... Не хочется браться за то, чем некогда будет заниматься. Хотя, может и стоит попробовать, в конце-концов, не помешаю. :)
[B]PavelA[/B], специалистов такого толка - валом. И их будет валом, ибо настоящие специалисты такой рекламой очень редко занимаются, у них работы хватает.
В общем, вчера воевал с ноутом, 2 dll ки никак не хотели удаляться, ни Антивиром, ни дрВэбом (хотя оба писали, что после перезагрузки все будет ОК). АВЗ отчего-то тоже их удалить не захотел - отложенное удаление. Загрузился с компашки и прибил руками. Тут как-то речь шла об avenger, кто-нибудь может подкинуть ТИПОВОЙ скрипт для удаления некоего Х файла???
[size="1"][color="#666686"][B]Добавлено через 7 минут[/B][/color][/size]
AhnLab-V3 2007.7.14.0 2007.07.14 Win-Trojan/Adload.5080
AntiVir 7.4.0.42 2007.07.15 TR/Agent.5080
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.15 Downloader.Generic4.XOO
BitDefender 7.2 2007.07.15 DeepScan:Generic.Malware.dld!!.9869F3AE
CAT-QuickHeal 9.00 2007.07.14 TrojanDownloader.Adload.fu
ClamAV devel-20070416 2007.07.15 Trojan.Downloader-10521
DrWeb 4.33 2007.07.15 no virus found
eSafe 7.0.15.0 2007.07.10 Win32.Adload.fu
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 Downloader.Adload.fu
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 W32/Adload.FU!tr.dldr
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Trojan-Downloader.Win32.Zlob.and
Kaspersky 4.0.2.24 2007.07.15 Trojan-Downloader.Win32.Adload.fu
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 W32/Suspicious_U.gen
Panda 9.0.0.4 2007.07.15 Generic Malware
Sophos 4.19.0 2007.07.06 Mal/Packer
Sunbelt 2.2.907.0 2007.07.14 Trojan-Downloader.Win32.Adload.fu
Symantec 10 2007.07.15 no virus found
TheHacker 6.1.6.146 2007.07.13 Trojan/Downloader.Adload.fu
VBA32 3.12.0.2 2007.07.14 Trojan-Downloader.Win32.Adload.fu
Отправил вендорам.
[QUOTE='Jack2;122852']Тут как-то речь шла об avenger, кто-нибудь может подкинуть ТИПОВОЙ скрипт для удаления некоего Х файла???[/QUOTE]Почему ни в AVZ? В AVZ проще.
Максим, не всегда. Как показывает практика, зачастую вообще удалить можно только загрузившись с ЦД.
Только что принесли флешку, а там коллекция:
Autorun.~ex
autorun.bin
autorun.exe
AUTORUN.FCB
Autorun.ico
Autorun.ini
autorun.reg
Так понимаю, что это куски чего-то одного. Ни касперский, ни Вэб его не кушают... Если кому нужен архивчик - обращайтесь.
AhnLab-V3 2007.7.27.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.27 CC/UKMalw.LB
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.27 -
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.27 -
CAT-QuickHeal 9.00 2007.07.26 -
ClamAV 0.91 2007.07.26 -
DrWeb 4.33 2007.07.27 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5008 2007.07.26 -
Ewido 4.0 2007.07.26 Trojan.Legmir
FileAdvisor 1 2007.07.27 -
Fortinet 2.91.0.0 2007.07.27 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.27 Trojan-PWS.Legmir
Kaspersky 4.0.2.24 2007.07.27 -
McAfee 5084 2007.07.26 -
Microsoft 1.2704 2007.07.27 -
NOD32v2 2424 2007.07.26 -
Norman 5.80.02 2007.07.26 -
Panda 9.0.0.4 2007.07.27 -
Rising 19.33.41.00 2007.07.27 -
Prevx1 V2 2007.07.27 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.27 -
TheHacker 6.1.7.155 2007.07.27 -
VBA32 3.12.2.1 2007.07.24 Trojan.PWS.Legmir
VirusBuster 4.3.26:9 2007.07.27 -
Webwasher-Gateway 6.5.3 2007.07.27 Virus.UKMalw.LB
[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
Гм, а Касперского с Антивиром подружить можно???
[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
в рег файле
Windows Registry Editor Version 5.00
autorun风暴
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
[size="1"][color="#666686"][B]Добавлено через 3 часа 34 минуты[/B][/color][/size]
Получил ответ от Касперского. Если это ложняк, то зачем чему-то создавать скрытые экзешники весом в 25 Кб в корне флешки? Непонятно (с) Комеди.
Hello.
No malicious software was found in the attached file.
-----------------
Regards, Namestnikov Yury
Virus Analyst, Kaspersky Lab.
Ph.: +7(095) 797-8700
E-mail: [email][email protected][/email]
[url]http://www.kaspersky.com[/url] [url]http://www.viruslist.com[/url]
[size="1"][color="#666686"][B]Добавлено через 3 минуты[/B][/color][/size]
Копию архива отправил Олегу Зайцеву, теперь бы узнать, что же это такое было на самом деле. :)
[size="1"][color="#666686"][B]Добавлено через 1 час 0 минут[/B][/color][/size]
Только что на другой флешке принесли то же самое. На этот раз получилось сохранить все, архив отправил SuperBrat. Жду реакции.
Касперский прекрасно живёт с антивиром, антивир ставится после установки Касперского и только сканер.
Да, уже поставил. Спасибо!
[QUOTE='Jack2;125136']No malicious software was found in the attached file.[/QUOTE]
Avira уточняет:
[QUOTE]The file 'autorun.exe' has been determined to be 'MALWARE (NOT ANALYZABLE)'. In particular this means that this file is not working properly or not functional as a stand alone component. Nevertheless we were able to determine that it is malware. Our analysts named the threat CC/UKMalw.LB. The term "COLLCRAP/" denotes files with damaged virulent content.Detection will be added to our virus definition file (VDF) with one of the next updates.
[/QUOTE]
Т.е., вольный перевод, поврежденное вредоносное содержимое не поддающееся анализу, но добавленное в базу детекта.
Итого во втором архиве, который я тебе отправил, 12 файлов. Это все куски одного и того же зловреда?
[size="1"][color="#666686"][B]Добавлено через 22 минуты[/B][/color][/size]
ИМХО, нужно детектить все куски. Центральным является [B]autorun.vbs[/B]
AhnLab-V3 2007.7.28.0 2007.07.27 VBS/Autorun
AntiVir 7.4.0.50 2007.07.27 VBS/Small.K
Authentium 4.93.8 2007.07.27 VBS/Autorun.B@troj
Avast 4.7.997.0 2007.07.27 VBS:Small
AVG 7.5.0.476 2007.07.27 VBS/Small.A
BitDefender 7.2 2007.07.27 VBS.Small.P
CAT-QuickHeal 9.00 2007.07.26 VBS/Small.A
ClamAV 0.91 2007.07.27 VBS.Autorun
DrWeb 4.33 2007.07.27 VBS.Igidak
eSafe 7.0.15.0 2007.07.24 Virus.Win32.Small.k
eTrust-Vet 31.1.5008 2007.07.26 VBS/Aurun.A
Ewido 4.0 2007.07.27 -
FileAdvisor 1 2007.07.27 High threat detected
Fortinet 2.91.0.0 2007.07.27 VBS/Autorun.RU!tr
F-Prot 4.3.2.48 2007.07.27 VBS/Autorun.B@tr
F-Secure 6.70.13030.0 2007.07.27 VBS/Autorun.B@troj
Ikarus T3.1.1.8 2007.07.27 Virus.VBS.Small.a
Kaspersky 4.0.2.24 2007.07.27 Virus.VBS.Small.a
McAfee 5084 2007.07.26 VBS/Generic
Microsoft 1.2704 2007.07.27 Worm:VBS/Agent.B
NOD32v2 2425 2007.07.27 VBS/Small.K
Norman 5.80.02 2007.07.27 VBS/Smallworm.NZ
Panda 9.0.0.4 2007.07.27 VBS/Autom
Rising 19.33.42.00 2007.07.27 Worm.VBS.Agent.v
Prevx1 V2 2007.07.27 Generic.Malware
Sophos 4.19.0 2007.07.26 W32/Autom-A
Sunbelt 2.2.907.0 2007.07.26 Trojan.Unclassified.gen
Symantec 10 2007.07.27 VBS.Runauto
TheHacker 6.1.7.155 2007.07.27 Trojan/Small.autorun
VBA32 3.12.2.1 2007.07.27 Virus.VBS.Small.a
VirusBuster 4.3.26:9 2007.07.27 -
Webwasher-Gateway 6.0.1 2007.07.27 Script.Small.K
По поводу поврежденного вредоноса - на второй флешке файл идентичен первому, хотя принесен совсем из другого места. По идее файл выполняет какие-то функции. К примеру AUTORUN.FCB
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.27 VBS/Small.R
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.27 VBS:Small-B
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.27 VBS.Small.Q
CAT-QuickHeal 9.00 2007.07.26 -
ClamAV 0.91 2007.07.27 -
DrWeb 4.33 2007.07.27 VBS.Igidak
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5008 2007.07.26 -
Ewido 4.0 2007.07.27 -
FileAdvisor 1 2007.07.27 High threat detected
Fortinet 2.91.0.0 2007.07.27 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 Virus.VBS.Small.a
Ikarus T3.1.1.8 2007.07.27 Virus.VBS.Small.a
Kaspersky 4.0.2.24 2007.07.27 Virus.VBS.Small.a
McAfee 5084 2007.07.26 Generic component
Microsoft 1.2704 2007.07.27 -
NOD32v2 2425 2007.07.27 -
Norman 5.80.02 2007.07.27 BAT/Smallworm.NZ
Panda 9.0.0.4 2007.07.27 Trj/ScriptLauncher.A
Prevx1 V2 2007.07.27 Generic.Malware
Rising 19.33.42.00 2007.07.27 -
Sophos 4.19.0 2007.07.26 VBS/Autom-B
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.27 VBS.Runauto
TheHacker 6.1.7.155 2007.07.27 Trojan/Small.autorun
VBA32 3.12.2.1 2007.07.27 Virus.VBS.Small.a
VirusBuster 4.3.26:9 2007.07.27 -
Webwasher-Gateway 6.0.1 2007.07.27 Script.Small.R
Раскладка по Autorun.exe уже изменилась, его детектит ещё пара антивирусников.
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.27 CC/UKMalw.LB
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.27 -
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.27 -
CAT-QuickHeal 9.00 2007.07.26 -
ClamAV 0.91 2007.07.27 -
DrWeb 4.33 2007.07.27 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5008 2007.07.26 -
Ewido 4.0 2007.07.27 Trojan.Legmir
FileAdvisor 1 2007.07.27 -
Fortinet 2.91.0.0 2007.07.27 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 W32/Malware.dam
Ikarus T3.1.1.8 2007.07.27 Trojan-PWS.Legmir
Kaspersky 4.0.2.24 2007.07.27 -
McAfee 5084 2007.07.26 -
Microsoft 1.2704 2007.07.27 -
NOD32v2 2425 2007.07.27 -
Norman 5.80.02 2007.07.27 W32/Malware.dam
Panda 9.0.0.4 2007.07.27 -
Rising 19.33.42.00 2007.07.27 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.27 -
TheHacker 6.1.7.155 2007.07.27 -
VBA32 3.12.2.1 2007.07.27 Trojan.PWS.Legmir
VirusBuster 4.3.26:9 2007.07.27 -
Webwasher-Gateway 6.0.1 2007.07.27 Virus.UKMalw.LB
Да. Особо опасные файлы Касперский детектит: Virus.VBS.Small.a (autorun.bat, AUTORUN.FCB, autorun.vbs). Остальное: ошметки, которые может и нужны зловреду, но не очень повредят пользователю.
Пожалуй.
[size="1"][color="#666686"][B]Добавлено через 55 секунд[/B][/color][/size]
Но по сути остальные ложняком не являются.
Всмотревшись в тело autorun.bat, можно увидеть, что он копирует файлы autorun.* в системную директорию и в корни всех дисков системы. Для чего так сделано не знаю, может вирусописатель так сделал от лени, хоть в связку этого вируса входит только вышеупомянутый autorun.vbs и autorun.bat
Сделано это для того, чтобы потом вирусописателю легко восстанавливать autorun.vbs и autorun.bat при помощи операции rename.
[I]В отличие от ранее обнаруженных подобных приложений, таких как Mpack, эта утилита самостоятельно выполняет заражение и распространяется без вмешательство хакера. Появление этой утилиты свидетельствует о существовании в интернете определенной бизнес-модели, основанной на разработке и продаже подобных видов вредоносных приложений
PandaLabs обнаружила новую опасную утилиту, устанавливающую вредоносное ПО с помощью эксплойтов. Эта утилита носит название Icepack и продается в интернете за 400 долларов США. Она дополняет ряд других утилит, обнаруженных PandaLabs в последнее время, таких как Mpack, XRummer, Zunker, Barracuda, Pinch и др., подтверждая успешность и выгодность бизнеса, который развивается в интернете за счет создания и продажи вредоносных приложений.
Icepack заражает компьютеры следующим образом: утилита получает доступ к определенной веб-странице, куда оно добавляет iframe-ссылку, ведущую на сервер, на котором установлено данное приложение. Основное отличие Icepack заключается в том, что такую ссылку добавляет сама утилита. Предыдущим приложениям, таким как Mpack, были необходимы действия хакера, который вручную осуществлял доступ к веб-страницам, на которые затем добавлялась ссылка.
При посещении таких искаженных страниц пользователями, активируется Icepack, которая анализирует компьютер пользователя на предмет уязвимостей. При положительном результате, она скачивает из сети эксплойт, необходимый для использования имеющейся в компьютере уязвимости. Еще один отличительный признак Icepack - это то, что она использует эксплойты, соответствующие самым последним выявленным уязвимостям. Этому есть разумное объяснение – в таком случае существует меньшая вероятность того, что пользователи уже обновили свои компьютеры для исправления новейших брешей безопасности.
После этого кибер-преступники могут загружать на зараженные компьютеры любое вредоносное ПО. Если учесть стоимость утилиты, скорее всего она будет загружать вредоносные коды, наиболее часто использующиеся для кражи конфиденциальных данных и позволяющие заниматься онлайновым мошенничеством (трояны, шпионское ПО, боты и др.).
“Данная утилита очень похожа на другие наборы для инсталляции вредоносного ПО с помощью эксплойтов, такие как Mpack, но по сравнению с Mpack создатели дополнили Icepack новыми разработками. Такая эволюция вполне логична, поскольку эти приложения приносят значительное количество прибыли, и естественно, что преступники стремятся заоевать рынок, предлагая более мощные продукты,” объясняет Луис Корронс, технический директор PandaLabs.
Другое нововведение в Icepack – это то, что она сочетает в себе программу проверки ftp и iframe. Первая помогает кибер-преступникам пользоваться информацией об учетных записях FTP, украденных с зараженных компьютеров. Данные этих учетных записей проходят через специальную программу проверки, чтобы удостовериться в их подлинности. Утилита добавляет в учетную запись iframe-ссылку, ведущую к Icepack. Повторением этого процесса приложение начинает свой “жизненный цикл” заново.[/I]
[url]http://www.securitylab.ru/news/300408.php[/url]
Кое чего ещё накопал:
Antivirus Version Last Update Result
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.03 -
Authentium 4.93.8 2007.08.03 Possibly a new variant of W32/Downloader-WebExe-based!Maximus
Avast 4.7.1029.0 2007.08.05 -
AVG 7.5.0.476 2007.08.05 Win32/Ngvck.BP
BitDefender 7.2 2007.08.05 -
CAT-QuickHeal 9.00 2007.08.04 -
ClamAV 0.91 2007.08.05 -
DrWeb 4.33 2007.08.05 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.05 -
FileAdvisor 1 2007.08.05 -
Fortinet 2.91.0.0 2007.08.05 -
F-Prot 4.3.2.48 2007.08.03 W32/Downloader-WebExe-based!Maximus
F-Secure 6.70.13030.0 2007.08.03 -
Ikarus T3.1.1.8 2007.08.05 -
Kaspersky 4.0.2.24 2007.08.05 -
McAfee 5090 2007.08.03 -
Microsoft 1.2704 2007.08.05 TrojanDownloader:Win32/Murlo.gen
NOD32v2 2438 2007.08.05 -
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.05 -
Prevx1 V2 2007.08.05 -
Rising 19.34.40.00 2007.08.03 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.05 -
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
VirusBuster 4.3.26:9 2007.08.05 -
Webwasher-Gateway 6.0.1 2007.08.03 -
и ещё
Antivirus Version Last Update Result
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.05 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.05 -
AVG 7.5.0.476 2007.08.05 -
BitDefender 7.2 2007.08.05 MemScan:Trojan.PWS.LdPinch.BSJ
CAT-QuickHeal 9.00 2007.08.04 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.05 -
DrWeb 4.33 2007.08.05 -
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.05 -
FileAdvisor 1 2007.08.05 -
Fortinet 2.91.0.0 2007.08.05 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.03 Trojan-PSW.Win32.LdPinch.bjx
Ikarus T3.1.1.8 2007.08.05 Generic.Dialer
Kaspersky 4.0.2.24 2007.08.05 Trojan-PSW.Win32.LdPinch.bjx
McAfee 5090 2007.08.03 New Malware.da
Microsoft 1.2704 2007.08.05 -
NOD32v2 2438 2007.08.05 a variant of Win32/PSW.LdPinch.NCB
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.05 Suspicious file
Rising 19.34.40.00 2007.08.03 -
Sophos 4.19.0 2007.08.01 Mal/Basine-C
Sunbelt 2.2.907.0 2007.08.04 VIPRE.Suspicious
Symantec 10 2007.08.05 -
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
Webwasher-Gateway 6.0.1 2007.08.03 Trojan.Crypt.XPACK.Gen
Есть экзешники, которые вообще не детектятся.
Отправил вендорам.