Будьте бдительны! Трояны в почте!

[pig]

В "Помогите" подобных тем уже с десяток. Если не разберётесь - http://helpme.virusinfo.info/.

[Kondrat]

84.17.234.26 - провайдер ReCom, город Орёл.

Имя Хоста для IP
84.17.234.26
Наименование Сети
ReCom
Владелец Сети
JSC ReCom ISP
Дипаозон Адресов
84.17.234.0 - 84.17.234.255
Администратор Сети
Alexander A. Avdeyev
Расположение Сети
27a Oktiabrskaya str
Контактные Данные
+7 4862 497941, +7 4862 497994, [email protected]

[RiC]

Ещё "халява" -

-----------------------------------------------------------------
From: Masitam <[email protected]>
Subj: Re: Позвони мне!
-----------------
Привет! Я завтра к тебе приеду, ок? Ты во сколько будешь дома? Помнишь ты просил программу, я её прикрепила к письму, очень полезная, пользуйся. пока.....
-----------------------------------------------------------------

Во вложении Win32.HLLM.Perf в виде файла с расширением .hta

[coddy boy]

Рассказ о том, какой вирус я словил и как с ним боролся.

Во-первых, приходит письмо от автора Ирка ( посмотрел в Инете, еще встречается На-ташка и т.п. это не важно).
Тема письма "Привет, когда НАПИШИШЬ?"

Текст письма такой:
Привет! Как тво ничего? Ты мне когда работу отдашь? Я тут мультик прикольный сделала, смотри с тобой в главной роли))) Я его к письму прикрепили)) Пока, чмок!

Посмотрел на текст, понял, что пришла "черная метка", т.е. вирус.

К письму было вложение под названием mult.exe размером 18К.

Я смекнул и сразу понял, что никакой мультик не может быть 18К. Просидел минут 20, подумал и решил, да и хрен с ним, ведь есть Каспер, он спасет. Скачал этот mult.exe к себе в машину, проверил его Каспером, тот, естественно, ничего не нашел. Тогда я запустил этот mult.exe. Ничего не случилось.

Через некоторое время заметил, что Инет работает медленно да и весь керогаз что-то стал тормозной. При этом Каспер начал орать, что в системе червь (какой-то E-mail.Worm, что- то такое). Ну, я сказал Касперу удалять всех червей. После удаления червя система на-чала просить инсталляционный CD с WindowsXP Service Pack2. Это повторилось несколько раз. Я решил сделать перезагрузку. И СОВЕРШИЛ СТРАШНУЮ ОШИБКУ!!!

После перезагрузки WinXP загружался медленно, грузил пустой рабочий стол и оста-навливался. Попытки подобраться через защищенный режим результата не дали. Выходил на черный экран и все. Правда, обратил внимание на то, что как в защищенном режиме, так и при обычной загрузке нажатие Ctrl+Alt+Del давало результат - появлялся диспетчер задач. Но по началу я это дело проигнорировал. А ЗРЯ!

Вдоволь повошкавшись с разными способами загрузки, полез с соседней машины в Инет. Нашёл много разного мата по поводу этой дряни, но дельных советов не было. Лишь в одном месте была наколка на то, что этот вирус создает файл csrss.exe в папке Windows.
(ОБРАЩАЮ ВНИМАНИЕ, файл с ТАКИМ ЖЕ ИМЕНЕМ, НО В ПАПКЕ Windows\System32 ЕСТЬ ВСЕГДА и НУЖЕН для НОРМАЛЬНОЙ работы WinXP)

Так вот, решение было таково. Запускаешь WinXP, получаешь пустой рабочий стол без TaskManager'a. Давишь Ctrl+Alt+Del и запускаешь диспетчер задач. В панели "Диспетчер задач" нажимаешь кнопку "Новая задача" (внизу панели). При этом появляется поле для за-пуска задачи. В этом поле набрать regedit и нажать ввод. Пройти по ветке
"H_KEY_LOCAL_MASHINE\Software\Microsoft\Window s NT\Currentversion\Image File Exe-cution Optoins".
Найти раздел "explorer", а в нем параметр Debug с значением С:\windows\csrss.exe
Удалить этот параметр и перезагрузиться. Все заработало!!!! УРА!!!!
После этого запустил Каспера и удалил файлы, зараженные червями.
Вот теперь все! Уффф! Можно выпить пинту пива....
P.S. Я полагаю, что заражение компьютера возможно лишь в том случае, когда запуск файла mult.exe производится с компьютера, находящегося в ONLine в Инете. Если компьютер в OffLine, то mult.exe, по моему простому разумению, не сможет активировать загружаемую из Инета вирусную часть и ничего не произойдет.
М.Л.

[MedvedD]

мдя.. А не прощё ли НЕ ЗАПУСКАТЬ файл вообще?

[WaterFish]

мдя.. А не прощё ли НЕ ЗАПУСКАТЬ файл вообще?

...ведь есть Каспер, он спасет.

Надежда умирает последней

[slider]

второй это вродебы червь, т.е. самое интересное
там были найденые какие-то странные сылки
http://85.249.23.35/m2/g.php
http://207.46.250.119/g/m.php
http://84.22.161.192/s/f.php
и email'ы
[email protected]
[email protected]и еще 2 ссылки


те кому пришел вирус интересуются уфологией?

[MOCT]

те кому пришел вирус интересуются уфологией?

это ты к чему? знаком с владельцами e-mail'ов?

[PavelA]

2slider

знаком с владельцами e-mail'ов?

Если это твои знакомые/возможно случайные, то у них сидит на компе дружок.
Предупреди, предложи почиститься.

[ScratchyClaws]

Похоже, идёт новая волна подобных писем...
Сегодня пришло -

X-AntiVirus: Checked by Dr.Web [version: 4.33, engine: 4.33.4.07270, virus records: 138087, updated:
31.08.2006]
Return-path: <[email protected]>
Received: from [194.186.36.214] (port=15708 helo=fex.rbc.ru)
by mx26.mail.ru with esmtp
id 1GKlwM-000KM1-00
for [email protected]; Wed, 06 Sep 2006 05:10:54 +0400
Received-SPF: none (mx26.mail.ru: 194.186.36.214 is neither permitted nor denied by domain of yahoo.com)
client-ip=194.186.36.214; [email protected]; helo=fex.rbc.ru;
Received: from mfgzkn (115.52.225.226)
by fex.rbc.ru; Wed, 6 Sep 2006 05:10:54 +0400
Date: Wed, 6 Sep 2006 05:10:54 +0400
From: =?koi8-r?B?5MHbwQ==?= <[email protected]>
X-Mailer: The Bat! (v2.01)
Reply-To: =?koi8-r?B?a29s?= <[email protected]>
X-Priority: 4 (Low)
Message-ID: <[email protected]>
To: =?koi8-r?B?Y3JhenljYXR6?= <[email protected]>
Subject: =?koi8-r?B?5MHXwcog19PU0sXUyc3T0T8=?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------72EF92E3F4"
X-Spam: Not detected
ОТ:Даша <[email protected]>
КОМУXX <[email protected]>
ТЕМА:Давай встретимся?

Привет. Как провел день города? Жаль меня не было... Сегодня из отпуска прилетела, хорошо отдохнула. Хочу встретиться, ты как? Фотку тебе выслала прикольную, это с отпуска. ну глянь короче. пока, свидимся)

Внутри сообщение.html и самораспаковывающийся отдыхаю.exe
а в нем -

Antivirus Version Update Result
AntiVir 7.1.1.11 09.05.2006 HEUR/Malware
Authentium 4.93.8 09.06.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.05.2006 no virus found
BitDefender 7.2 09.06.2006 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 8.00 09.05.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.06.2006 Trojan.Downloader.Small-2298
DrWeb 4.33 09.05.2006 no virus found
eTrust-InoculateIT 23.72.117 09.05.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 Win32/Areses
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.06.2006 suspicious
F-Prot 3.16f 09.06.2006 no virus found
F-Prot4 4.2.1.29 09.06.2006 no virus found
Ikarus 0.2.65.0 09.05.2006 no virus found
Kaspersky 4.0.2.24 09.06.2006 Trojan-Downloader.Win32.Delf.awg
McAfee 4845 09.05.2006 New Malware.n
Microsoft 1.1560 09.06.2006 no virus found
NOD32v2 1.1740 09.05.2006 a variant of Win32/TrojanDownloader.Delf.AJD
Norman 5.90.23 09.05.2006 W32/Downloader
Panda 9.0.0.4 09.05.2006 Suspicious file
Sophos 4.09.0 09.06.2006 no virus found
Symantec 8.0 09.06.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.06.2006 no virus found
VBA32 3.11.1 09.05.2006 no virus found
VirusBuster 4.3.7:9 09.05.2006 no virus found

Aditional Information
File size: 11131 bytes
MD5: 8563010d68c732950181f2d8e0b5753f
SHA1: cef385786fe03aa90a97a2b0545b07c51b3d2049
packers: UPack
Norman SandBox:
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: [email protected] - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* **Locates window "NULL [class AVP.AlertDialog]" on desktop.
* File length: 11131 bytes.

[ Changes to filesystem ]
* Creates file C:WINDOWSTEMPcsrss.exe.

[ Changes to registry ]
* Sets value "m"="m" in key "HKCUSoftwareMicrosoftWindows".

[ Network services ]
* Looks for an Internet connection.
* Opens URL: хттп://rikoger.com/lonus/1/1.exe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Process/window information ]
* Modifies other process memory.
* Attemps to open C:WINDOWSTEMPcsrss.exe NULL.
(по данным VirusTotal)

ЗЫ- молю бога чтоб подобное не пришло у нас на фирму одной девушке... Откроет ведь... Обязательно откроет... А DRWEb как назло считает файл безопасным...

[Shu_b]

угу, Subject:Как прошел август? - на море.exe

Предыдущей, у одного чела, утащили аську, почту... асю уже пяток раз перепродали...

[anton_dr]

Да, у нас на местном форуме всплеск сообщений о таких письмах. Вложения - я на море.exe, отдыхаю.exe

[Winsent]

От Даша: Привет я тут

Привет. Я уже вернулась с отпуска. Если свободен в выходные давай встретимся, ок? Ещ╦ тебе несколько фоток выслала, они в архиве, это то что с отпуска. ну короче, жду. пока.

Вложение: Фото.exe
Внутри, как выше упомянуто, Trojan-Downloader.Win32.Delf.awg

[MOCT]

Вложение: Фото.exe
Внутри, как выше упомянуто, Trojan-Downloader.Win32.Delf.awg

как говорится, следите за обновлениями. наверняка много версий будет.

[XL]

Complete scanning result of "1.exe", received in VirusTotal at 09.06.2006, 11:23:28 (CET).
Antivirus Version Update Result
AntiVir 7.1.1.11 09.06.2006 HEUR/Crypted
Authentium 4.93.8 09.06.2006 no virus found
Avast 4.7.844.0 09.06.2006 no virus found
AVG 386 09.05.2006 no virus found
BitDefender 7.2 09.06.2006 no virus found
CAT-QuickHeal 8.00 09.05.2006 no virus found
ClamAV devel-20060426 09.06.2006 Trojan.Agent-614
DrWeb 4.33 09.06.2006 Trojan.PWS.LDPinch.1133
eTrust-InoculateIT 23.72.117 09.05.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.06.2006 suspicious
F-Prot 3.16f 09.06.2006 no virus found
F-Prot4 4.2.1.29 09.06.2006 no virus found
Ikarus 0.2.65.0 09.06.2006 no virus found
Kaspersky 4.0.2.24 09.06.2006 Trojan-PSW.Win32.LdPinch.awp
McAfee 4845 09.05.2006 no virus found
Microsoft 1.1560 09.06.2006 Win32/Ldpinch
NOD32v2 1.1740 09.05.2006 no virus found
Norman 5.90.23 09.06.2006 no virus found
Panda 9.0.0.4 09.05.2006 Suspicious file
Sophos 4.09.0 09.06.2006 no virus found
Symantec 8.0 09.06.2006 no virus found
TheHacker 5.9.8.205 09.06.2006 no virus found
UNA 1.83 09.06.2006 no virus found
VBA32 3.11.1 09.05.2006 suspected of Trojan-Dropper.Agent.55
VirusBuster 4.3.7:9 09.05.2006 no virus found

Aditional Information
File size: 23552 bytes
MD5: 1d27b25be4ea6b3319b9490e83665585
SHA1: 4caa00ec15dbb04f704cc99424eb63a2c2a5b3ca
packers: UPX

а вот как на данный момент различные антивирусы детектят конфетку, загружаемую из дроппером из интернета. А NOD32 с последними базами и правда молчит. Даже при расширенной эвристике....

[drongo]

Сйчас тоже его получил с mail.ru . не понятно , почему ? на маил.ру написано что касперски антивус защищает , или они просто для красоты там поставили его значёк ?

[SDA]

Аналогично, сегодня получил на мейл.ру: Привет, как провел весь август? Я позавчера вернулась из отпуска, мне понравилось, вот тока погодка была не очень. Ну в принципе фотки глянь которые я тебе прислала, там увидишь. Что делаешь на выходных?
Прикрепленные данные: на море.exe (application/octet-stream, 11K)
Значок касперского у них наверное для красоты стоит.

[XL]

Или касп на сервере обновляется нечасто...

[ScratchyClaws]

Ну и на другой адрес (опят меилрушный)
Сашка <[email protected]>
на [email protected]
Привет, как провел лето? Я уже вернулась из отпуска, мне понравилось, вот тока погода подкачала. Ну, а так фотки глянь которые я тебе прислала, там увидишь. Завтра что делаешь?
и файл на море.exe

[MOCT]

Ну и на другой адрес (опят меилрушный)
Сашка <[email protected]>
на [email protected]
Привет, как провел лето? Я уже вернулась из отпуска, мне понравилось, вот тока погода подкачала. Ну, а так фотки глянь которые я тебе прислала, там увидишь. Завтра что делаешь?
и файл на море.exe

практика показывает, что файлы бывают размером 10713, 11113, 11131 байт (два последних имеются в наличии). также я сделал вывод, что файлы получили только пользователи mail.ru, но не все (лично мне на пару ящиков не пришло), на ящики других почтовых серверов ничего не приходило.