Показано с 1 по 6 из 6.

Очередной Encoder (заявка № 64844)

  1. 23.12.2009, 21:54 #1
    V.-Power
    V.-Power вне форума
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    3
    Вес репутации
    53

    Очередной Encoder

    Добрый день!
    Сегодня поймал гада, Очередная разновидность Encoderа, насколько я понимаю.

    В этот день Spider отловил следующие дряни:
    23-12-2009 17:09:34 [CL] (PID = 0884) C:\WINDOWS\system32\msmgr.exe - инфицирован BackDoor.Siggen.5084
    23-12-2009 17:09:34 [CL] (PID = 0884) C:\WINDOWS\system32\msmgr.exe - удален
    23-12-2009 17:10:07 [CL] (PID = 0884) C:\WINDOWS\system32\winagent.exe - инфицирован Trojan.Click.31902
    23-12-2009 17:10:07 [CL] (PID = 0884) C:\WINDOWS\system32\winagent.exe - удален
    23-12-2009 17:10:34 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\bp_5min[2].exe - инфицирован Trojan.DownLoad.44697
    23-12-2009 17:10:35 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\dropper[1].exe - инфицирован Trojan.Packed.461
    23-12-2009 17:10:36 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\bp_5min[2].exe - удален
    23-12-2009 17:10:37 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\dropper[1].exe - удален
    23-12-2009 17:10:41 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\mss19[1].exe - инфицирован Trojan.Siggen.38966
    23-12-2009 17:10:43 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ERW2XW66\mss19[1].exe - удален
    23-12-2009 17:10:47 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\P0MYLG2L\go5903[1].exe - инфицирован Trojan.PWS.Banker.36488
    23-12-2009 17:10:47 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\P0MYLG2L\go5903[1].exe - удален
    23-12-2009 17:10:49 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\bp_5min[1].exe - инфицирован Trojan.DownLoad.44697
    23-12-2009 17:10:50 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\bp_5min[1].exe - удален
    23-12-2009 17:10:51 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\go5903[1].exe - инфицирован Trojan.PWS.Banker.36488
    23-12-2009 17:10:51 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\go5903[1].exe - удален
    23-12-2009 17:10:52 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\go5903[2].exe - инфицирован Trojan.PWS.Banker.36488
    23-12-2009 17:10:52 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\winagent2[1].exe - инфицирован Trojan.Click.31902
    23-12-2009 17:10:53 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\go5903[2].exe - удален
    23-12-2009 17:10:53 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\pinnn[1].exe - инфицирован Trojan.MulDrop.51384
    23-12-2009 17:10:53 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\winagent2[1].exe - удален
    23-12-2009 17:10:53 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\pinnn[1].exe - удален
    23-12-2009 17:16:31 [CL] (PID = 0884) C:\RECYCLER\S-1-5-21-682003330-573735546-839522115-500\Dc2 - инфицирован Trojan.Click.37869
    23-12-2009 17:16:31 [CL] (PID = 0884) C:\RECYCLER\S-1-5-21-682003330-573735546-839522115-500\Dc2 - удален
    23-12-2009 17:29:29 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\file[1].exe - инфицирован BackDoor.Siggen.5084
    23-12-2009 17:29:29 [CL] (PID = 0884) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PTBG8YLP\file[1].exe - удален


    после активации вируса (по времени 16.36 и позже (время изменения файлов))
    основные юзерские файлы типа *doc, *jpeg, *.html
    были переименованы в имя_файла.расширение_crypt_.rar
    в корнях папок
    (Мои документы, корень D, Program Files, Documents and Settings), везде где вирь проявлял активность появился текстовик с именем AUTO_RAR_REPORT.TXT, в котором настоятельно просят кинуть денег на яндексовский счет.
    Файл, для примера, прилагаю .

    После работы dr.web, AVPTool, AVZ на данный момент все чисто, прилагаю соответстсвующие файлы.

    Отправил в службу поддержки Dr.web копию письма с одним из криптонутых файлов и примерно таким же описанием.

    Исходя из сабжей в соседних разделах на virusinfo я уже понял что не один такой лох.

    Заранее спасибо.
  2.  Будь в курсе! Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     
  3. 23.12.2009, 22:47 #2
    pig
    pig вне форума
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Собственно, мы тоже надеемся на помощь аналитиков Dr.Web.
    Что значит и Как сделать (ЧаВо) * Скажи, что ты думаешь о Virusinfo
    Doctor Web Eserv
  4. 25.12.2009, 11:03 #3
    V.-Power
    V.-Power вне форума
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    3
    Вес репутации
    53
    отосланы отчеты и письма в касперского и вэба.
    пока молчат.
    насколько я понял из появившихся сообщений на разных форумах гадость распостраняется весьма активно.
    по сабжу линк:
    http://forum.kaspersky.com/index.php?showtopic=150598
  5. 25.12.2009, 20:19 #4
    pig
    pig вне форума
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Вы очень поможете аналитикам, если вспомните, что именно делали непосредственно перед катастрофой. Злодей ещё не пойман, поэтому алгоритм генерации ключей шифрования остаётся загадкой.

    А себе можете помочь, если сумеете восстановить хотя бы пару исходных незашифрованных файлов - злодей их удалил, надо утилиты восстановления применять. И отправлять в вирлаб парами - зашифрованный и оригинал. Тогда шансы на расшифровку всего повышаются.
    Что значит и Как сделать (ЧаВо) * Скажи, что ты думаешь о Virusinfo
    Doctor Web Eserv
  6. 28.12.2009, 11:57 #5
    V.-Power
    V.-Power вне форума
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    3
    Вес репутации
    53
    пришел пользователь и сказал что у него после ввода логина и пароля идет "применение параметров компьютера". при этом чел ждал меня полдня.
    все, после этого я вошел в сэйф мод и начал вершить правосудие.
    исходники восстановить можно.
  7. 29.12.2009, 06:10 #6
    pig
    pig вне форума
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    По некоторым сведениям, зверя могли подцепить ещё 8 декабря, а сработал он по таймеру 22 числа. Так что надо копать историю. Впрочем, там, откуда зверь выпрыгнул, его может и не быть уже.
    Что значит и Как сделать (ЧаВо) * Скажи, что ты думаешь о Virusinfo
    Doctor Web Eserv

  • Уважаемый(ая) V.-Power, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

    • « Предыдущая тема | Следующая тема »

    Похожие темы

    1. Свежий Trojan.Encoder
      От KrMike в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.08.2012, 23:21
    2. Очередной Trojan Encoder
      От matvey91 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.02.2012, 01:11
    3. Trojan.encoder.96
      От SoftAlex в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.03.2011, 17:27
    4. Похоже на троян encoder!
      От Xim в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 31.08.2006, 17:10
    5. Dr.WEB Trojan.Encoder
      От umask в разделе Вредоносные программы
      Ответов: 6
      Последнее сообщение: 31.01.2006, 12:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  

    Правила форума

    Page generated in 0.00950 seconds with 19 queries