-
Junior Member
- Вес репутации
- 53
Очередной Encoder
Добрый день!
Сегодня поймал гада, Очередная разновидность Encoderа, насколько я понимаю.
В этот день Spider отловил следующие дряни:
23-12-2009 17:09:34 [CL] (PID = 0884) C:\WINDOWS\system32\msmgr.exe - инфицирован BackDoor.Siggen.5084
23-12-2009 17:09:34 [CL] (PID = 0884) C:\WINDOWS\system32\msmgr.exe - удален
23-12-2009 17:10:07 [CL] (PID = 0884) C:\WINDOWS\system32\winagent.exe - инфицирован Trojan.Click.31902
23-12-2009 17:10:07 [CL] (PID = 0884) C:\WINDOWS\system32\winagent.exe - удален
23-12-2009 17:10:34 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\bp_5min[2].exe - инфицирован Trojan.DownLoad.44697
23-12-2009 17:10:35 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\dropper[1].exe - инфицирован Trojan.Packed.461
23-12-2009 17:10:36 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\bp_5min[2].exe - удален
23-12-2009 17:10:37 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\dropper[1].exe - удален
23-12-2009 17:10:41 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\mss19[1].exe - инфицирован Trojan.Siggen.38966
23-12-2009 17:10:43 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\mss19[1].exe - удален
23-12-2009 17:10:47 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\P0MYLG2L\go5903[1].exe - инфицирован Trojan.PWS.Banker.36488
23-12-2009 17:10:47 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\P0MYLG2L\go5903[1].exe - удален
23-12-2009 17:10:49 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\bp_5min[1].exe - инфицирован Trojan.DownLoad.44697
23-12-2009 17:10:50 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\bp_5min[1].exe - удален
23-12-2009 17:10:51 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\go5903[1].exe - инфицирован Trojan.PWS.Banker.36488
23-12-2009 17:10:51 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\go5903[1].exe - удален
23-12-2009 17:10:52 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\go5903[2].exe - инфицирован Trojan.PWS.Banker.36488
23-12-2009 17:10:52 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\winagent2[1].exe - инфицирован Trojan.Click.31902
23-12-2009 17:10:53 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\go5903[2].exe - удален
23-12-2009 17:10:53 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\pinnn[1].exe - инфицирован Trojan.MulDrop.51384
23-12-2009 17:10:53 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\winagent2[1].exe - удален
23-12-2009 17:10:53 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\pinnn[1].exe - удален
23-12-2009 17:16:31 [CL] (PID = 0884) C:\RECYCLER\S-1-5-21-682003330-573735546-839522115-500\Dc2 - инфицирован Trojan.Click.37869
23-12-2009 17:16:31 [CL] (PID = 0884) C:\RECYCLER\S-1-5-21-682003330-573735546-839522115-500\Dc2 - удален
23-12-2009 17:29:29 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\file[1].exe - инфицирован BackDoor.Siggen.5084
23-12-2009 17:29:29 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\file[1].exe - удален
после активации вируса (по времени 16.36 и позже (время изменения файлов))
основные юзерские файлы типа *doc, *jpeg, *.html
были переименованы в имя_файла.расширение_crypt_.rar
в корнях папок
(Мои документы, корень D, Program Files, Documents and Settings), везде где вирь проявлял активность появился текстовик с именем AUTO_RAR_REPORT.TXT, в котором настоятельно просят кинуть денег на яндексовский счет.
Файл, для примера, прилагаю .
После работы dr.web, AVPTool, AVZ на данный момент все чисто, прилагаю соответстсвующие файлы.
Отправил в службу поддержки Dr.web копию письма с одним из криптонутых файлов и примерно таким же описанием.
Исходя из сабжей в соседних разделах на virusinfo я уже понял что не один такой лох.
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Собственно, мы тоже надеемся на помощь аналитиков Dr.Web.
-
-
Junior Member
- Вес репутации
- 53
отосланы отчеты и письма в касперского и вэба.
пока молчат.
насколько я понял из появившихся сообщений на разных форумах гадость распостраняется весьма активно.
по сабжу линк:
http://forum.kaspersky.com/index.php?showtopic=150598
-
Вы очень поможете аналитикам, если вспомните, что именно делали непосредственно перед катастрофой. Злодей ещё не пойман, поэтому алгоритм генерации ключей шифрования остаётся загадкой.
А себе можете помочь, если сумеете восстановить хотя бы пару исходных незашифрованных файлов - злодей их удалил, надо утилиты восстановления применять. И отправлять в вирлаб парами - зашифрованный и оригинал. Тогда шансы на расшифровку всего повышаются.
-
-
Junior Member
- Вес репутации
- 53
пришел пользователь и сказал что у него после ввода логина и пароля идет "применение параметров компьютера". при этом чел ждал меня полдня.
все, после этого я вошел в сэйф мод и начал вершить правосудие.
исходники восстановить можно.
-
По некоторым сведениям, зверя могли подцепить ещё 8 декабря, а сработал он по таймеру 22 числа. Так что надо копать историю. Впрочем, там, откуда зверь выпрыгнул, его может и не быть уже.
-