"Свежие" черви

**TRANCLUGATOR** · 30.03.2008, 23:29

Да уж, завтра придется обращаться за помощью, может, к тому времени поспеет что-нибудь. Удалить-то лезущие в инет множественные файлы TheBestMarch.scr я поудалял, но вот не инсталлировали ли они в систему каких-то еще файлов - вот это вопрос, который завтра мне придется решать (и просить помощи у вас). Сегодня а то поздновато уже.

Кстати, только что пришло еще одно обновление сигнатур НОДа - так и не ловит. Видать, на моем компе что-то мешает ему ловить эту заразу, если у Вас определяет. Файлик-то скачан днем был еще.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**mbentefor** · 31.03.2008, 15:11

Размер такой большой потому, что после окончания программы в файл записано много-много нуликов. В оригинале файл занимает 64 кб.
ставь себе F-Secure либо Avira.
Они прекрасно все видят.

**1205** · 31.03.2008, 15:15

Архивчик снова обновили. Каспер, Доктор, Нод, Симантек и прочие известные не детектируют. AVG и Авире респект.
http://www.virustotal.com/analisis/1...29bef2f6788b80
Касперскому файл уже отправлен.

**psw** · 31.03.2008, 17:38

А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
http://www.virustotal.com/ru/analisi...03bfa65f96fd79

**1205** · 31.03.2008, 19:16

Сообщение от psw

А он, похоже, обновлялся не один раз. Вчера в 19-30 был другой MD5
http://www.virustotal.com/ru/analisi...03bfa65f96fd79

По классификации Касперского:
вчерашний дневной- Trojan-PSW.Win32.LdPinch.sez
вчерашний вечерний (обновлен в 19 часов)- Trojan-PSW.Win32.LdPinch.sfb
сегодняшний (обновлен в 12 часов)- Trojan-PSW.Win32.LdPinch.sfh (детектирование будет со следующего обновления Каспера)
И пока кто-нибудь не отошлет им в лабораторию новую версию, ловить не будет. А некоторые версии его предшественника (TheBestFebruary.zip) определялись тем же КАВом как Heur.Trojan.Generic.
Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.

**ALEX(XX)** · 31.03.2008, 22:54

Сообщение от 1205

Но пользователям KIS этот новый троян не страшен, т.к. при запуске появляется предупреждение сетевого экрана о попытке отправки данных и срабатывает защита конфиденциальных данных-ловит попытку Private Data Sending.

Да ну? Так уж и не страшен?

**1205** · 31.03.2008, 23:25

Сообщение от ALEX(XX)

Да ну? Так уж и не страшен?

Ну троян конечно ничего хорошего не сделает, если его запустить. Но если включен KIS, который отреагирует на запуск программы, и пользователь последует здравому смыслу и нажмет "Запретить", то ничего плохого не произойдет. Ведь понятно, что для видеоролика обращение к паролям и соединение с интернетом-весьма странное поведение.
А вот простой KAV этот пинч не словит, если в базах его еще нет. И это не радует. Авторы могут изменять свой троян чаще, чем касперовцы добавляют сигнатуры и выпускают обновления. А выявлять модификации пинча без баз, как делают некоторые антивирусы (тот же AVG вылавливал все вариации этого bestmarch сразу по единой сигнатуре), Каспер, к сожалению, не может.

**VID** · 02.04.2008, 07:17

Люди спасите помогите нубу.
пришло в аську такое сообщение

Привет, смотри

aaario.eu/ru/top/
(

aaario.eu/ru/top/TheBestMarch.zip )
Классная вещь :-)

Ну я взял и клацнул, оно скачалось, запустил, эфекта ноль. Тут я и понял что наверное это что-то не хорошее. Поиск в гугле вывел на этот форум. Касперский не детектит эту заразу, скачал триальный AVG он тоже ничего не нашел только придрался к какомуто доисторическому краку и инсталах. Скачал триальный Avir он тоже ничего не нашел...
Что мне делать как действовать? Может так получиться что вирус не сработал и сканы не находят его потому что его нет?
Понимаю что вопрос скорее всего глупый, но если бы знал что делать то не спрашивал.

**Гриша** · 02.04.2008, 08:28

Уберите активные ссылки!Этот пинч самоуничтожается.

**VID** · 02.04.2008, 09:29

Т.е. не прягтись, все ок? Это у меня паранойя...
Я не понимаю что такое пинч((

**ALEX(XX)** · 02.04.2008, 09:31

Сообщение от VID

Я не понимаю что такое пинч((

Вкратце, семейство троянов, которые воруют пароли (и не только)

**Гриша** · 02.04.2008, 09:34

Все плохо,в архиве есть заставка или видеоролик,но они не совсем обычные,в них вклеен пинч-троянская программа,которая ворует пароли,после запуска этих файлов он активируется,собирает все ваши пароли,отправляет их своему владельцу по средствам Email или ICQ а затем самоуничтожается,то есть искать его в системе безполезно.

**VID** · 02.04.2008, 09:40

Вот этого я и не хочу что бы у меня увели пароли. Что мне делать? Поменять их везде?

**Гриша** · 02.04.2008, 09:43

Да смените все пароли,как можно быстрее,другого решения здесь нет.

**VID** · 02.04.2008, 11:04

Спасибо. Будем надеяться что все обойдется)

**fksm** · 04.04.2008, 10:53

Вышел новый червь, название пока не знаю.

Симптомы: зависает Internet Explorer, сетевой канал забит паразтным трафиком, сетевые службы работают нестабильно. Сильно жрёт Интернет.

Файлы червя:
C:\WINDOWS\system32\Drivers\SDN44.SYS
C:\WINDOWS\system32\WLCTRL32.DLL
C:\WINDOWS\system32\9 (невидим)

Описание:
Червь создаёт службу Sdn44 и прописывает загрузку этой службы в любом режиме (минимальная загрузка, безопасный режим, нормальная работа). Ветвь реестра соответсвтующая данной службе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Snd44, служба ссылается на файл SDN44.SYS. Паралельно этой службе в системе создаётся объект уведомления который ссылается на файл WLCTRL32.DLL. Ветвь реестра соответствующая объекту уведомления HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon\Notify\WLCtrl32.
Червь создаёт исходящие подключения на разные адреса в интернете пытаясь имитировать DoS атаку.
Назначение файла "9" мне не ясно, думаю это вспомогательный объект червя.

Удаление:
Для удаления мне понадобилось загрузить машину в MSDOS и удалить описанные выше файлы. Удаление из работающей ОС осложняется невозможностью выгрузки файла SDN44.SYS, т.к. он является модулем ядра. Будучи запущеным сервис Sdn44 не позволяет удалить соответсвующие ключи реестра для обезвреживания что и создаёт трудности.

Заключение:
В заключение выкладываю архив с файлами для ознакомления.

{moderated: если хотите поделиться, присылайте в соответствии с приложением 3 раздела помогите}

**ALEX(XX)** · 04.04.2008, 11:04

И, насколько понял, создаёт устройсво Rntm31

**Гриша** · 04.04.2008, 11:40

И чего здесь здесь нового?это типичный булкнет.

**старт** · 08.06.2008, 16:52

Добрый вечер! у меня вот такая проблема, может конечно не по теме, но тогда расскажите куда писать.
у меня стоит доктор веб, с сегодняшнего дня, вот уже 12 раз за несколько часов он отсекает некоего WoRm.Sifiliz что это за зверь такой, может кто знает?Доктор просто запрещает ему допуск

**Alexey P.** · 08.06.2008, 16:57

Не пользуйтесь IE, используйте Опера или Firefox
Worm.Sifiliz - это скрипт на зараженном сайте, через который Вы можете получить довольно большую пачку троянов. Это действительно опасная вещь.

"Свежие" черви

Опции темы

Новый вирус, Sdn44.sys

Похожие темы

"Дружественные черви" от Microsoft станут на страже безопасности

Метки для этой темы

Ваши права в разделе