-
Email-Worm.VBS.Agent.j - вирус, удаляющий файлы на диске
Вирус является исполняемым файлом, размер около 91 кб, иконка в виде сердца. Файл является самораспаковывающимся RAR архивом, который содержит скрипт для автозапуска одного из извлеченных файлов. Внутри архива содержится 5 скриптов на Basic + файл "Я люблю тебя Пусичка.txt". Скрипты примитивны, но тем не менее они зашифрованы и разбавлены кучей переводов строки. Шифровка скриптов идентична - текстовая константа с зашифрованными данными + дешифратор (xor с ключем в цикле) + команда запуска расшифрованного скрипта. Скрипт 05.vbs из состава вируса очень опасен - он осуществляет поиск файлов в цикле и при совпадении расширения файла с одним из заданных в теле скрипта (там целый список, 23 штуки - doc, xls, ppt, txt, avc, jpg, zip, rar, 7zip, mp3, avi, htm, wmv, wma, exe, iso ..) то скрипт по сути затирает файл - файл при этом станется на диске, но в результате будет иметь нулевую длинну.
Вирус рассылает себя по электронной почте, за эту операцию отвечает скрипт 4.vbs. В теле скрипта имеется 43 адреса для поля "From" письма, основная масса с сервера mail.ru, выбор адреса идет случайным образом. Выбрав адрес, зловред создает файл pusia.pkv в корне диска C, после чего ищет в системных папках папку Application Data\MRA\Avatars (принадлежащую mail.ru Agent), сканирование этой папки создается список получателей вируса (на служебный адрес mail.ru стоит фильтр). Далее ведется рассылка при помощи объекта CDO.Message через сервер smtp.mail.ru. В заголовке писька указывается "Открытка от mail.ru", в тексте сообщается, что пришла открытка и дается ссылка для ее загрузки, ведущая на pusia_card.scr - тот самый SFX архив с вирусом.
Вывод - не стоит запускать EXE неизвестного предназначения, скачанные из Инет ....
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Мне тоже пришла открытка. Я еще засомневался сначала... Поэтому решил сначала сюда прийти почитать. Даже две. Одна от мэйл.ру, другая от хттп://www.dlyatebya.info. Вот скажите, каким образом он запускается? Стоит пройти по ссылке, и он уже начнет свою деятельность?
Последний раз редактировалось Палыч; 17.06.2007 в 15:05.
-
По ссылке ходить не стоит. Мне тоже сегодня одна пришла... В теле письма видна одна ссылка- реально другая. Так, что лучше не ходите, м.б. там exploit.
-
-
Сообщение от
Alex_Goodwin
По ссылке ходить не стоит. Мне тоже сегодня одна пришла... В теле письма видна одна ссылка- реально другая. Так, что лучше не ходите, м.б. там exploit.
Тоже такая же пришла ссылочка...
-
-
Junior Member
- Вес репутации
- 58
На пооомощь
Люди я кажется поймал этот вирус. Он затер 60 гигов что делать
-
Сообщение от
Dei777
Люди я кажется поймал этот вирус. Он затер 60 гигов что делать
Прочитать Правила.
-
Junior Member
- Вес репутации
- 58
Я вирус убил. Как файлы восстановить. Есле сложно сказать то писать прочитай или посмотри не надо. Буду искать у других.
-
Файлы, если у вас был именно данный экземпляр, никак не восстановить. Для уточнения, что именно было у вас, выполните Правила
-
-
Junior Member
- Вес репутации
- 58
Разабрался без вас. Читайти свои правила сами.
-
Да пожалуйста. Вы обратились за помощью - вам рассказали, после каких действий с вашей стороны её можно получить.
Разобрались сами - ну так это хорошо. У наших специалистов будет больше времени для помощи действительно нуждающимся в ней.
-
-
А как обстоят дела с антивирусами обнаруживают этот вирус или нет???Спрашиваю потому,чтобы быть готовым если подобный зловред попадёт мне на комп.Спасибо.
-
в ЛК (Лаборатория Касперского) этот зловред знают 100% - за остальные же антивирусные компании столь высокими процентами ручаться не берусь)
-
Этому червяку 100 лет в обед,его все должны детектить...
-
-
Сообщение от
Vagon
Спрашиваю потому,чтобы быть готовым если подобный зловред попадёт мне на комп.
Делайте резервные копии. Лучшее средство профилактики.
-
-
Junior Member
- Вес репутации
- 54
Короче кликнул на один такой файл в .vbs формате пропали все фотки, точнее стали таким же форматом и весят по 10кб. Что теперь делать незнаю, вот от очаяния решил написать сюда, может у кого есть какие идеи как вернуть память?
-
Сообщение от
makZzz
Короче кликнул на один такой файл в .vbs формате пропали все фотки, точнее стали таким же форматом и весят по 10кб. Что теперь делать незнаю, вот от очаяния решил написать сюда, может у кого есть какие идеи как вернуть память?
Вернуть память или картинки ? Образец VBS есть ? Картинки вернуть просто - с CD/DVD/флешки/мобильного HDD и или их аналога, который применялся для резерного копирования и содержит соответственно их резервные копии. Если резервных копий нет - то значит данные были ненужными ... (DVD балванка стоит копейки и при этом 4.5 Гб объемом - 2-3 дисков хватит для бытового бекапа). Если данные были нужными и не было резерных копий, то это тупик ... выход только один - срочно выключить ПК (каждая запись на HDD снижает вероятность и качество восстановления) и тащить HDD в контору по восстановлению данных или к знакомому системщику, который умеет это делать. Если повезет и специалист/контора опытные, то иногда данные спасти можно (при условии, что зловред не затирает их содержимое). Если содержимое затирается, то картинкам капут.
-
-
Junior Member
- Вес репутации
- 54
Видимо капут картинкам =( Раньше был такой случай что форматнул и потер все файлы, все до единого получилось востоановить одной программой. Сейчас пробую находит почему то тока существующие и недавно мной удаленный (те же VBS в том числе ) обидно конечно что недодумался кинуть на болванку (
-
Junior Member
- Вес репутации
- 54
vbs
вот 2 образца, две бывшие фотки
Результат загрузки
Файл сохранён как 090904_080541_New Folder (2)_4aa09215e18d3.zip
Размер файла 20336
MD5 7293ccda65d6ef5790aa34c5f5967885
-
Junior Member
- Вес репутации
- 54
Непонял я этой цитаты. Куда сохранен и что за размер такой?
-
Куда надо - туда и сохранён. А цеплять к теме непонятно что, возможно, вредоносное - это моветон. Мало ли кто мимо проходящий скачает, запустит, а потом пожалуется в местное ФБР на распространение вредоносных программ.
-