А я вот на нашем местном форуме сегодня модифицированный Win32/Stration.XJ выловил,один из участников жаловался на проблеммы с аськой и выложил адрес с которого ему предложили скачать файл.Я его скачал в сотовый а когда пытался перекинуть на компьютер он был тут же убит Нодом.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
вот рассылочка пришла с такими вложениями
Update-KB3796-x86 (1).zip\Update-KB3796-x86.exe infected with Win32.HLLM.Limar
Update-KB4125-x86.zip\Update-KB4125-x86.exe infected with Win32.HLLM.Limar
DRWEB их опознал, только с обновой за вторник
Получил по E-mail сообщение:
Hi. Friend has sent you a postcard.
See your card as often as you wish during the next 15 days.
SEEING YOUR CARD
If your email software creates links to Web pages, click on your
card's direct www address below while you are connected to the Internet:
http://72.47.115.34/?911e6c36a4bc955099675c50080d0
Or copy and paste it into your browser's "Location" box (where Internet
addresses go).
We hope you enjoy your awesome card.
Wishing you the best,
Postmaster,
2000greetings.com
Прошел по ссылке ... и поймал в конце концов вирус W32/Nurech.AN.worm, причем Panda Titanium уго сразу не опознал. (Послал подозрительный файл в Panda SOS, через день получил ответ:
The file C:\Downloads\I?ia?aiiu\ecard.exe belongs to the worm W32/Nurech.AN.worm, due to the nature of the file, it can
only be deleted.
Ссылки:
Visit our web page with information about the malware:
http://www.pandasoftware.com/com/vir...idvirus=168512
Follow the instructions on how to eliminate the malware:
http://www.pandasoftware.com/com/vir...idvirus=168512
!!! Письмо в Панду отправил 17.07.2007, первое обнаружение 18.07.2007, похоже, из моего подозрительного файла, и лекарства в Panda от него пока нет, рекомендуют TruPrevent Technologies.
Последний раз редактировалось ЮрВас; 20.07.2007 в 13:03. Причина: Добавить фразу
Поломали сайт знакомого книготорговца
Причём автоматически.
И взломал сайт именно вирус. Я уже с таким сталкивался -
http://www.virustotal.com/ru/resulta...37c3e8cc68f284
- вариант Pinch, вирус сам выискивает на компьютере имена и пароли к FTP.
http://www.cwsandbox.org/?page=detai...password=yastj
И отдаёт их своей системе изменения страниц - http://prostreet.info/gate/gate.php. А там уже и производится изменение всех страничек сайта. Скорее всего, сломанна именно индексная первая страница, остальное они вроде не трогали до последнего времени..
![Аватар для [500mhz]](customavatars/avatar15687_1.gif "Аватар для [500mhz]"){kind=avatar}
MedvedD
вы хотя бы бред не пишите а то людей напугаете
пинчег сам по себе никакие сайты не ломает а просто пароли тырит
а это http://prostreet.info/gate/gate.php то через чего он их хозяину отсылает
[500mhz], я бред не пишу.
"отдаёт их своей системе изменения страниц".
уважаемый!
вы видели код гейта от пинча?
вы знаете принцип работы пинча? (варианты отправки данных)
Зараженная страница
http://www.floranimal.ru/pages/animal/m/64.html
Файл 64.html получен 2007.11.17 12:31:12 (CET)Сообщение от Mamont
Антивирус Версия Обновление Результат
DrWeb 4.44.0.09170 2007.11.17 Worm.Sifiliz
Sophos 4.23.0 2007.11.17 Mal/ObfJS-R
Дополнительная информация
File size: 24347 bytes
MD5: 1fdfc99a21b89a9270512762615c504b
SHA1: c9ab1776ad8bbf5e3402b8184d5baf030c24dada
Опыт — это слово, которым люди называют свои ошибки.
Вопрос, наверно, к DVi :
Ikarus T3.1.1.12 2007.11.18 Trojan-Downloader.JS.Remora.ao
Kaspersky 7.0.0.125 2007.11.18 Trojan-Downloader.JS.Remora.ao
И это уже давно, воруют сигнатуры ?
Поскольку вчера этого небыло, были только дрвэб и софос
Да, Икарус ворует сигнатуры. Давно. И все свои детекты называет по классификации ЛК.
Пока воск на крыльях не растает, сможет держаться в воздухе... ))) Paul
А если их програмные модули добавить в базы Касперского как троян, Ikarus сам себя удалит?
Вероятность есть
Т.к. похоже, что Икарус добавляет в свои базы вообще все, на что пискнул хоть один антивирус из вирустотала.
делаем акцию по самоликвидации икаруса ))
хотелось бы знать, каким образом происходит переадресация с поддомена mail.ru на заражённую фишинговую страничку?
Вот адресr.mail.ru/cln1234/www.porcunadebenito.com/download/flash//index.html
Последний раз редактировалось AndreyKa; 24.12.2007 в 10:36.
Просто форвард. Напишите после
Последний раз редактировалось Shu_b; 25.12.2007 в 09:08.
Очередной пинчег, удивляюсь как много народу на такое ведутся =))
r.mail.ru/cln1234/indiasoftwareworld.com/download/flash/index.html - предыдущая версия.
OMFG, они пишут на делпхи, этот мир скоро будет в аду =))
Последний раз редактировалось Surfer; 24.12.2007 в 19:14. Причина: OMFG
ну а чего? Свежий Outpost 2008 молчит как рыба под лед
Конечно ведутся..
В смысле при запуске пинчега ?
Я пробовал запускать, сначала каспер орёт что инвадер, потом что отсылка персональных данных, если всё это разрешать, то комод спрашивает разрешить ли выйти в инет svchost.exe =))
Ваши права в разделе
Ответить с цитированием
