Новый червячок Worm/Maslan.B

[Andrey]

Worm/Maslan.B

На его присутствие указывают следующие признаки:
Наличие файлов:

\%SystemDIR%\___u (Размер файла: 54.784 Bytes)

\%SystemDIR%\___r.exe (Размер файла: 49.445 Bytes)

\%SystemDIR%\___j.dll (Размер файла: 21.504 Bytes)

\%SystemDIR%\___n.EXE (Размер файла: 15.872 Bytes)

\%SystemDIR%\___synmgr.exe (Размер файла: 15.872 Bytes)

\%SystemDIR%\___t (Размер файла: ~ Bytes)

\%SystemDIR%\___Prior (Размер файла: ~ Bytes)

\%SystemDIR%\___e (Размер файла: 74.972 Bytes, BASE64 Datei)

\%SystemDIR%\___m (Размер файла: ~ Bytes)

\%WindowDIR%\a (Размер файла: ca. 57 Bytes, Batchdatei)

\%SystemDIR%\AlaFtp (Размер файла: ~ Bytes)

\%SystemDIR%\AlaDdos (Размер файла: ~ Bytes)

\%SystemDIR%\AlaScan (Размер файла: ~ Bytes)

\%SystemDIR%\AlaMail (Размер файла: ~ Bytes)

c:\___b\*.*

Ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"Microsoft Synchronization Manager"="___synmgr.exe"
"Microsoft Windows DHCP"="\%WindowDIR%\___r.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices]
"Microsoft Synchronization Manager"="___synmgr.exe"


[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"Microsoft Synchronization Manager"="___synmgr.exe"

Worm/Maslan.B завершает след процессы:

_AVPM.EXE, _AVPCC.EXE, _AVP32.EXE, ZONEALARM.EXE, ZAPSETUP3001.EXE, ZONALM2601.EXE, ZAPRO.EXE, VIRUSMD, PERSONALFIREWALL.EXE, VIR-HELP.EXE, VFSETUP.EXE, TAUMON.EXE, TASKMON.EXE, RESCUE32.EXE, PROCESSMONITOR.EXE, PADMIN.EXE, OUTPOSTINSTALL.EXE, OUTPOST.EXE, NPROTECT.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NETUTILS.EXE, NETMON.EXE, NC2000.EXE, NAVWNT.EXE, NAVW32.EXE, NAVDX.EXE, AUTO-PROTECT.NAV80TRY.EXE, NAV.EXE, KILLPROCESSSETUP161.EXE, KERIO-WRP-421-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-PF-213-EN-WIN.EXE, KAVPF.EXE, KAVPERS40ENG.EXE, KAVLITE40ENG.EXE, JAMMER.EXE, GUARDDOG.EXE, GUARD.EXE, DRWEBUPW.EXE, DRWEB32.EXE, DRWATSON.EXE, CLICK.EXE, CLEANPC.EXE, CLEANER3.EXE, CLEANER.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVKWCTl9.EXE, AVKSERVICE.EXE, AVKSERV.EXE, AVKPOP.EXE, AVGUARD.EXE, AUTOUPDATE.EXE, AUPDATE.EXE, ATGUARD.EXE, ANTIVIRUS.EXE und ANTI-TROJAN.EXE

Более подробно на: http://www.antivir.de/en/virus_infor...avviruslex_pi2[showUid]=789&no_cache=1

[Andrey]

Grisoft об этой заразе еще 5 декабря 2004 г. сообщил.
http://free.grisoft.com/freeweb.php
P.S.: ждём реакции KAV.

[Geser]

Grisoft об этой заразе еще 5 декабря 2004 г. сообщил.
http://free.grisoft.com/freeweb.php
P.S.: ждём реакции KAV.

А что, они ещё не детектят?

[Участковый]

Worm/Maslan.B завершает след процессы:

Неужели действительно убивает антивирусы? А как же их защита от выгрузки?

[Andrey]

А что, они ещё не детектят?

Поставь, попробуй и узнаешь. И нечего ехидничать.
P.S.: Кроме KAV, ради интереса, другие антивирусы поизучай.

[Geser]

Поставь, попробуй и узнаешь. И нечего ехидничать.
P.S.: Кроме KAV, ради интереса, другие антивирусы поизучай.

Чё пробовать? У ртебя этот вирус есть? Если есть, то кидай на [email protected]

[Andrey]

Чё пробовать? У ртебя этот вирус есть? Если есть, то кидай на [email protected]

Как только поймаю, ты первый об этом узнаешь (в принципе можно поискать на http://www.google.com или http://vx.netlux.org (недели через две может там всплывёт ).
P.S.: Касперскому в пополнении баз я помогать не намерен .

[Geser]

Как только поймаю, ты первый об этом узнаешь.
P.S.: Касперскому в пополнении баз я помогать не намерен.

Ну так если у тебя его нет, откуда знаешь что КАВ его не ловит?

[Andrey]

Ну так если у тебя его нет, откуда знаешь что КАВ его не ловит?

Ну конечно, как я забыл, что KAV обзывает вирусы по-своему, не как у людей.

[Geser]

Кстати, я посылаю вирусы не только в ЛК а так же ДрВеб, ВБА32, АВЗ.

[Andrey]

Кстати, я посылаю вирусы не только в ЛК а так же ДрВеб, ВБА32, АВЗ.

И что тобой руководит? Помогаешь очистить Интернет от грязи или помогаешь ещё больше заработать AV компаниям, учитывая, что при этом гибнет профессиональная VX сцена.

[Geser]

И что тобой руководит? Помогаешь очистить Интернет от грязи или помогаешь ещё больше заработать AV компаниям, учитывая, что при этом гибнет профессиональная VX сцена.

Помогаю чистить интрнет. По той же причине создан и этот форум.

[Andrey]

Помогаю чистить интрнет. По той же причине создан и этот форум.

А почему не посылаешь new вирусы в компании предлагающее антивирусные программы бесплатно?
avast! - [email protected]
AntiVir - [email protected] , [email protected]
и т.д.

[Участковый]

Поставь, попробуй и узнаешь. И нечего ехидничать.

Я действительно просто спрашивал. Извини, если что не так.

P.S.: Кроме KAV, ради интереса, другие антивирусы поизучай.

Ставил DrWeb, Vba32, Nod 32, обе Панды, а также Tauscan. Остались только KAV и Vba (сканер). И вообще, если столько людей, несмотря на тормоза, выбирают KAV, это не причина для размышлений?
Ну а лично у меня он не пропустил ни одного виря (в отличие от всех остальных антивирусов - хоть один пропуск был у каждого). Хотя это, видимо, следствие не самой программы, а её широкой распространённости (чем больше людей присылают файлы, тем больше база).

[Geser]

А почему не посылаешь new вирусы в компании предлагающее антивирусные программы бесплатно?
avast! - [email protected]
AntiVir - [email protected] , [email protected]
и т.д.

Потому что лень проверять знает ли каждая из них файлы которые мне попадают

[Alexey P.]

И что тобой руководит? Помогаешь очистить Интернет от грязи или помогаешь ещё больше заработать AV компаниям, учитывая, что при этом гибнет профессиональная VX сцена.

Очень странное мнение, не сказать бы большего.
Никогда не думал, что препятствие _распространению_ вирусов как-то может сказаться на VX сцене. Уж скорее наоборот - чем меньше вирусов шляется "in the wild", тем меньше претензии к этой самой сцене.

[Andrey]

Потому что лень проверять знает ли каждая из них файлы которые мне попадают

А http://virusscan.jotti.dhs.org на что? Правда там базы не очень оперативно обновляют.

[Andrey]

Очень странное мнение, не сказать бы большего.
Никогда не думал, что препятствие _распространению_ вирусов как-то может сказаться на VX сцене. Уж скорее наоборот - чем меньше вирусов шляется "in the wild", тем меньше претензии к этой самой сцене.

Существует мнение, что все более-менее совершенные разработки и наработки AV компании используют внутри, предлагая пользователям очень урезанные версии своих продуктов. http://vmyths.com
P.S.: Возможно кое-кто из AV фирм в тайне спонсирует VX сцену, чтобы не потерять свои доходы (очень даже не шуточные).

[Andrey]

[quote author=Участковый link=board=3;threadid=344;start=0#msg2748 date=1102443351]
Я действительно просто спрашивал. Извини, если что не так.Ставил DrWeb, Vba32, Nod 32, обе Панды, а также Tauscan. Остались только KAV и Vba (сканер). И вообще, если столько людей, несмотря на тормоза, выбирают KAV, это не причина для размышлений?
Ну а лично у меня он не пропустил ни одного виря (в отличие от всех остальных антивирусов - хоть один пропуск был у каждого). Хотя это, видимо, следствие не самой программы, а её широкой распространённости (чем больше людей присылают файлы, тем больше база).
[/quote]
Выбор KAV большинством людей, не признак ли это стада (толпы), ни чего не понимающей и следующий за вожаком (лидером, СМИ и т.д.) (в истории много таких примеров).

[Участковый]

Выбор KAV большинством людей, не признак ли это стада (толпы), ни чего не понимающей и следующий за вожаком (лидером, СМИ и т.д.) (в истории много таких примеров).

И что, ставить что-то другое только потому, чтобы стать непохожим на остальных?
P.S. KAV нравится лично мне.