-
Сообщение от
Soloton
Всмотревшись в тело autorun.bat, можно увидеть, что он копирует файлы autorun.* в системную директорию и в корни всех дисков системы. Для чего так сделано не знаю, может вирусописатель так сделал от лени, хоть в связку этого вируса входит только вышеупомянутый autorun.vbs и autorun.bat
Не совсем так. В autorun.bat есть строка
if exist .\autorun.reg regedit /s .\autorun.reg
И файл autorun.reg, разумеется, тоже есть:
Windows Registry Editor Version 5.00
autorun
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"
...
Кроме того, сегодня получил в лапы AUTORUN.ZIP, в котором сидит десяток файлов:
autorun bat│ 653│30.06.06│22:31
autorun bin│ 959│30.07.06│23:20
Autorun exe│ 61440│29.10.01│22:00
Autorun ico│ 2238│16.08.01│06:42
autorun inf│ 203│14.06.06│17:06
Autorun ini│ 17213│29.06.06│15:49
autorun reg│ 560│14.06.06│19:21
autorun txt│ 24│14.06.06│10:26
autorun wsh│ 72│06.07.06│19:58
Почему-то мне кажется, что Autorun.exe не имеет отношения к вирусу...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Встречается еще autorun с китайским или вьетнамским продолжением в названии. Очень плохо удаляется просто из проводника.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Что с форумом???
Получил ответ:
Лаборатория Касперского
sysilgp.exe_ - Trojan-Downloader.Win32.Tiny.iv
Детектирование файла будет добавлено в следующее обновление.
Др. ВЭБ
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирусы: Trojan.Proxy.1872, Trojan.PWS.LDPinch.1417, Trojan.DownLoader.29548.
Спасибо за сотрудничество.
-
Junior Member
- Вес репутации
- 62
Сообщение от
borka
Почему-то мне кажется, что Autorun.exe не имеет отношения к вирусу...
Совершенно верно, не имеет. Своё сообщение изменю и дополню:
Не autorun.bat, а autorun.vbs копирует autorun* в корни дисков и системную директорию.
Всего в связку вируса входят 4 осн. файла:
autorun.vbs -- скрипт на VBasic
autorun.bin -- зашифрованное послание потомкам от автора вируса
autorun.bat -- батник с функцией расшифровки и запуска autorun.bin после 30.06.2030г.
autorun.reg -- регистрирует автозапуск autorun.bat
-
Junior Member
- Вес репутации
- 62
-
Junior Member
- Вес репутации
- 62
Вчера вечером отловил экзешник, который не определялся вообще ничем на вирустотале.
Ночью отправил вендорам.
Очень правдоподобно маскируется под кусок Ворда - и иконка, и подпись в свойствах. Сейчас Авира уже его кушает (пришло письмо, что добавили в базу). От др.Вэб пришло письмо, что этот вирус они знают. Проверил свежей cureit - зараза определяется. А на ВирТотал:
*** Файл sy.exe получен 2007.10.16 21:48:59 (CET)
Антивирус Версия Обновление Результат
AhnLab-V3 2007.10.13.1 2007.10.12 -
AntiVir 7.6.0.23 2007.10.16 -
Authentium 4.93.8 2007.10.16 -
Avast 4.7.1051.0 2007.10.15 -
BitDefender 7.2 2007.10.16 -
CAT-QuickHeal 9.00 2007.10.16 -
ClamAV 0.91.2 2007.10.14 -
DrWeb 4.44.0.09170 2007.10.16 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5214 2007.10.16 -
Ewido 4.0 2007.10.16 -
FileAdvisor 1 2007.10.16 -
Fortinet 3.11.0.0 2007.10.16 -
F-Secure 6.70.13030.0 2007.10.16 -
Ikarus T3.1.1.12 2007.10.16 -
Kaspersky 7.0.0.125 2007.10.16 -
McAfee 5142 2007.10.16 -
Microsoft 1.2908 2007.10.16 -
NOD32v2 2595 2007.10.16 -
Norman 5.80.02 2007.10.16 -
Panda 9.0.0.4 2007.10.16 -
Prevx1 V2 2007.10.16 -
Rising 19.45.12.00 2007.10.16 -
Sophos 4.22.0 2007.10.16 -
Sunbelt 2.2.907.0 2007.10.13 -
TheHacker 6.2.8.093 2007.10.16 -
VBA32 3.12.2.4 2007.10.16 -
VirusBuster 4.3.26:9 2007.10.16 -
Webwasher-Gateway 6.6.1 None.. -
Дополнительная информация
File size: 25088 bytes
MD5: 45fa04619150dbb01bb01148a6258f82
SHA1: 1086b8f2cf05c8f7ca9d4396bbc12e7ff284be0e
***
Я тупой или на виртотал не обновляют базы???
-
Сообщение от
Jack2
Я тупой или на виртотал не обновляют базы???
Вчера была какая-то проблема с ним. В русской локализации ничего не определялось, переключился на enu, всё стало определяться.
-
-
Опыт — это слово, которым люди называют свои ошибки.
-
-
Junior Member
- Вес репутации
- 62
Shu_b, спасибо! Однако, помимо этого ещё кое-какие проверял, там все показывалось отлично.
SuperBrat, тормозит он чего-то Сейчас ещё раз проверю, спасибо!
Все, теперь вижу - косяк виртотала... Спасибо за ссылку.
-
Сообщение от
Jack2
Спасибо за ссылку.
Спасибо нажимается.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Junior Member
- Вес репутации
- 62
Понял.
Наткнулся на файлохранилище http://letitbit.net. Файлы там качаются только Ослом и перед бесплатной скачкой в обязательном порядке предлагают:
///
+ Качайте бесплатно.
+ Качайте без рекламы.
+ Качайте без ожидания.
Файлы, используя нашу новую технологию
Bit Accelerator
Bit Accelerator позволяет увеличить скорость до 10 раз. Установите нашу программу и получите файл
///
http://letitbit.net/download/0b55519...part1.rar.html
Проверил файл:
A-Squared 3.0.0.126 2007.10.25 2007-10-25
-
4.192
AhnLab V3 2007.10.26.00 2007.10.26 2007-10-26
-
1.146
AntiVir 7.6.0.30 7.0.0.142 2007-10-26
-
2.001
Arcavir 1.0.4 200710260919 2007-10-26
-
1.897
Avast 1.0.8 071025-1 2007-10-25
Win32:Adware-gen [Adw]
3.055
AVG 7.5.49.442 269.15.11/1094 2007-10-26
-
1.732
BitDefender 7.60825.935671 7.15504 2007-10-27
Adware.BHO.WPW
3.755
CA (VET) 8.4.0.24 31.2.5241 2007-10-25
-
1.000
ClamAV 0.91.2 4600 2007-10-26
Adware.BHO-50
1.918
Comodo 2.11 2.0.0.324 2007-10-25
-
1.152
Dr.Web 4.33 2007.10.26 2007-10-26
Adware.BitAcc
5.303
Ewido 4.0.0.2 2007.10.25 2007-10-25
-
2.253
F-Prot 4.4.0.50 20071026 2007-10-26
-
1.327
F-Secure 5.51.6100 2007.10.25.05 2007-10-25
-
3.342
Fortinet 2.81-3.11 8.284 2007-10-25
-
0.470
Ikarus T3.1.1.12 2007.10.25.69718 2007-10-25
Virus.Win32.AdWare
1.462
JiangMin 10.00.650 2007.10.25 2007-10-25
-
1.227
Kaspersky 5.5.10 2007.10.25 2007-10-25
not-a-virus:AdWare.Win32.BHO.ic
4.599
KingSoft 2007.6.20.249 2007.10.26 2007-10-26
-
0.923
McAfee 5.2.00 5149 2007-10-25
-
0.970
mks_vir 2.01 2007.10.26 2007-10-26
-
2.290
NOD32 2.70.10 2619 2007-10-26
-
0.431
Norman 5.91.08 5.90 2007-10-26
-
7.023
nProtect 2007-10-25.00 1009851 2007-10-25
-
15.288
Panda 9.04.03.0001 2007.10.25 2007-10-25
Adware/BHO.L
4.784
Prevx V2 20071026 2007-10-26
TROJAN.DOWNLOADER.GEN
11.269
Quick Heal 9.00 2007.10.25 2007-10-25
-
3.001
Rising 19.0 19.46.31.00 2007-10-25
-
1.953
Sophos 2.49.1 4.21 2007-10-27
-
6.008
Symantec 1.3.0.24 20071025.021 2007-10-25
-
5.314
The Hacker 6.2.9 v00107 2007-10-24
-
0.747
Trend Micro 8.500-1001 4.796.05 2007-10-26
-
0.044
VBA32 3.12.2.4 20071026.0542 2007-10-26
-
1.056
ViRobot 20071026 2007.10.26 2007-10-26
-
0.537
VirusBuster 4.3.19:9 9.113.1/11.0 2007-10-26
-
1.405
ТО есть вполне возможно впаривание совершенно бесплатной адвари, может и ещё чего-то.
Вопрос: что делать с подобными сайтами? Отправлять ли файл с ускорителем интернета вендорам? Может что-то особенное нужно писать в теле письма или в теме?
Последний раз редактировалось Jack2; 27.10.2007 в 02:38.
-
Наличие Adware в бесплатном ПО дело обычное. Если функционал этого ПО превосходит неприятые свойства Adware, то им даже можно пользоваться.
Файл можно отправить тем вендорам, которые его не знают.
-
-
Junior Member
- Вес репутации
- 62
ПО весит 300 Кб, сомневаюсь, что функционал оного идет выше показа рекламы. И сильно сомневаюсь, что ПО реально ускоряет интернет до 10 раз ))
Отправил вендорам.
Последний раз редактировалось Jack2; 27.10.2007 в 14:48.
-
Такое "ПО" (именно в кавычках!) следует отправлять вендорам. Сейчас по инету ходит програмулина по типу пирамиды с переводом вэб-мани (hxxp://mlm-projects.ucoz.ru/forum/4-21-1). Хоть ничего зловредного она не делает, но некоторые вендоры, типа ЛК, считают ее рекламной и нежелательной, о чем предупреждают пользователя:
Антивирусными продуктами "Лаборатории Касперского" приложение Financial Reality классифицируется как программа-мистификация Hoax.Win32.Webmoner.bd. Сигнатура угрозы Hoax.Win32.Webmoner.bd была добавлена в антивирусные базы компании в сентябре этого года, сигнатура Hoax.Win32.Webmoner.t - первой версии программы - еще в июне, несмотря на жалобы ее распространителей. Программы поведения Hoax не обладают вредоносным функционалом и предназначены для введения пользователей в заблуждение (например, при помощи ложных обещаний или запугивания несуществующими угрозами)..
Считаю, что такие предупреждения важны!
Последний раз редактировалось TANUKI; 27.10.2007 в 17:13.
In Avira & Dr.Web we trust!
-
Junior Member
- Вес репутации
- 62
Согласен. В данном случае под видом с "совершенно бесплатного и безвредного ускорителя интернета" мне впаривают совершенно платный за мой траффик показ рекламы. Ещё можно было бы понять, если бы на сайте так и было написано: ставь примочку, смотри рекламу и качай сколько влезет.
А сам адрес сайта куда-нибудь отослать можно? Есть же компании, которые собирают список нежелательных сайтов...
-
А сам адрес сайта куда-нибудь отослать можно? Есть же компании, которые собирают список нежелательных сайтов...
Есть такие. Например, Site Advisor. Он про данный сайт уже знает и не считает его вредным.
http://www.siteadvisor.com/sites/letitbit.net
-
-
Сообщение от
AndreyKa
Ну так, а кто мешает голосовать? Я вот зарегился и проголосовал за adaware , присоединяетесь
-
-
Junior Member
- Вес репутации
- 62
Меня там регистрировать не хотят... ((
-
Ну эту программу можно встретить по всему интернету на сайтах тематики МЛМ, так что всех не забанишь
In Avira & Dr.Web we trust!
-
Junior Member
- Вес репутации
- 62
+1
Авира
The file 'BitAccelerator.exe' has been determined to be 'MALWARE'. Our analysts named the threat DR/BHO.IC.14. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection is added to our virus definition file (VDF) starting with version 7.00.00.143.