Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Вирус snatch.exe - В Рунете началась вирусная ICQ-эпидемия

  1. #1
    Junior Member Репутация Репутация
    Регистрация
    11.01.2010
    Адрес
    СПб
    Сообщений
    4
    Вес репутации
    31

    Вирус snatch.exe - В Рунете началась вирусная ICQ-эпидемия

    По ICQ стали распространять следующий файл:

    Это вирус, крадет пароль ICQ и меняет его на свой сразу же.

    Информационный бюллетень о snatch.exe:
    http://virusinfo.info/showthread.php?t=85613


    Вот репорт с VirusTotal:

    Antivirus results
    AhnLab-V3 - 2010.08.16.02 - 2010.08.16 - Malware/Win32.Generic
    AntiVir - 8.2.4.34 - 2010.08.16 - -
    Antiy-AVL - 2.0.3.7 - 2010.08.16 - -
    Authentium - 5.2.0.5 - 2010.08.16 - W32/Infostealer.A!Maximus
    Avast - 4.8.1351.0 - 2010.08.15 - -
    Avast5 - 5.0.332.0 - 2010.08.15 - -
    AVG - 9.0.0.851 - 2010.08.16 - -
    BitDefender - 7.2 - 2010.08.16 - DeepScan:Generic.Malware.FPPkTkg.7388E5A8
    CAT-QuickHeal - 11.00 - 2010.08.16 - -
    ClamAV - 0.96.0.3-git - 2010.08.16 - -
    Comodo - 5758 - 2010.08.16 - -
    DrWeb - 5.0.2.03300 - 2010.08.16 - -
    Emsisoft - 5.0.0.37 - 2010.08.16 - Win32.SuspectCrc!IK
    eSafe - 7.0.17.0 - 2010.08.15 - -
    eTrust-Vet - 36.1.7793 - 2010.08.16 - -
    F-Prot - 4.6.1.107 - 2010.08.16 - W32/Infostealer.A!Maximus
    F-Secure - 9.0.15370.0 - 2010.08.16 - DeepScan:Generic.Malware.FPPkTkg.7388E5A8
    Fortinet - 4.1.143.0 - 2010.08.16 - -
    GData - 21 - 2010.08.16 - DeepScan:Generic.Malware.FPPkTkg.7388E5A8
    Ikarus - T3.1.1.88.0 - 2010.08.16 - Win32.SuspectCrc
    Jiangmin - 13.0.900 - 2010.08.16 - -
    Kaspersky - 7.0.0.125 - 2010.08.16 - -
    McAfee - 5.400.0.1158 - 2010.08.16 - -
    McAfee-GW-Edition - 2010.1 - 2010.08.16 - -
    Microsoft - 1.6004 - 2010.08.16 - -
    NOD32 - 5369 - 2010.08.16 - -
    Norman - 6.05.11 - 2010.08.15 - -
    nProtect - 2010-08-16.01 - 2010.08.16 - -
    Panda - 10.0.2.7 - 2010.08.15 - Suspicious file
    PCTools - 7.0.3.5 - 2010.08.16 - -
    Prevx - 3.0 - 2010.08.16 - -
    Rising - 22.61.00.04 - 2010.08.16 - -
    Sophos - 4.56.0 - 2010.08.16 - -
    Sunbelt - 6740 - 2010.08.16 - Trojan.Win32.Generic!BT
    SUPERAntiSpyware - 4.40.0.1006 - 2010.08.16 - -
    Symantec - 20101.1.1.7 - 2010.08.16 - -
    TheHacker - 6.5.2.1.349 - 2010.08.16 - -
    TrendMicro - 9.120.0.1004 - 2010.08.16 - -
    TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.16 - -
    VBA32 - 3.12.14.0 - 2010.08.13 - -
    ViRobot - 2010.8.16.3990 - 2010.08.16 - -
    VirusBuster - 5.0.27.0 - 2010.08.15 - -
    File info:
    MD5: 058ebc415a27694b7cff3093cfaf2f4a
    SHA1: b0f3ccd65414853eb120b01e1ad7fbf25fc59690
    SHA256: 41e19d03853208caec30a3c6c9bffa038e6b03f0a021b24bba c092dbdbff788c
    File size: 938496 bytes
    Scan date: 2010-08-16 11:39:59 (UTC)

    MD5 : 058ebc415a27694b7cff3093cfaf2f4a
    SHA1 : b0f3ccd65414853eb120b01e1ad7fbf25fc59690
    SHA256: 41e19d03853208caec30a3c6c9bffa038e6b03f0a021b24bba c092dbdbff788c
    ssdeep: 12288:nXd+LIjfE/LpHIwRHmHpoAyco8BJ3y88j0/CQn3IZfnN:nXSQKL2wRHi1LW88OCe3K
    File size : 938496 bytes
    First seen: 2010-08-14 13:38:20
    Last seen : 2010-08-16 11:39:59
    TrID:
    Win32 Executable Borland Delphi 7 (66.6%)
    Win32 Executable Borland Delphi 6 (26.1%)
    InstallShield setup (4.2%)
    Win32 Executable Delphi generic (1.4%)
    Win32 Executable Generic (0.8%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    PEiD: BobSoft Mini Delphi -> BoB / BobSoft
    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x7F4B4
    timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)
    machinetype......: 0x14c (I386)

    [[ 8 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    CODE, 0x1000, 0x7E51C, 0x7E600, 6.55, d78ea6492c93264eadaae1ceed20074f
    DATA, 0x80000, 0x2C00, 0x2C00, 4.84, d44e68cf5d4c96329c627a69c4246158
    BSS, 0x83000, 0x3C89, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
    .idata, 0x87000, 0x2630, 0x2800, 4.89, c64a92d4df06da306828fe87901de092
    .tls, 0x8A000, 0x10, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
    .rdata, 0x8B000, 0x18, 0x200, 0.18, 24dad9c95f5615eda29f922c58522c15
    .reloc, 0x8C000, 0x8EB0, 0x9000, 6.66, 2b5c34c2b127d7fcf5ab8231b305abbe
    .rsrc, 0x95000, 0x58200, 0x58200, 6.14, 616c3a01e62f0b70559ed241670f42a1

    [[ 16 import(s) ]]
    kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
    user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
    advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
    oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
    kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
    advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegFlushKey, RegCreateKeyExA, RegCloseKey
    kernel32.dll: lstrcpyA, WriteFile, WinExec, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, ReadProcessMemory, ReadFile, OpenProcess, MultiByteToWideChar, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetUserDefaultLCID, GetTickCount, GetThreadLocale, GetTempPathA, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetExitCodeThread, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteFileA, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CompareStringA, CloseHandle
    version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
    gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetMapMode, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, Rectangle, RectVisible, RealizePalette, PlayEnhMetaFile, PatBlt, MoveToEx, MaskBlt, LineTo, LPtoDP, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileDescriptionA, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateEnhMetaFileA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, CloseEnhMetaFile, BitBlt
    user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessageTime, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
    kernel32.dll: Sleep
    oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
    ole32.dll: CreateStreamOnHGlobal, IsAccelerator, OleDraw, OleSetMenuDescriptor, CoCreateInstance, CoGetClassObject, CoUninitialize, CoInitialize, IsEqualGUID
    oleaut32.dll: GetErrorInfo, SysFreeString
    comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create
    wsock32.dll: WSACleanup, WSAStartup, WSAGetLastError, gethostbyname, socket, send, select, recv, inet_ntoa, inet_addr, htons, getsockopt, getpeername, connect, closesocket
    Symantec reputation:Suspicious.Insight
    Последний раз редактировалось XeNuM; 16.08.2010 в 16:57.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Я его только что киберу скормил.

  4. #3
    Junior Member Репутация
    Регистрация
    22.04.2008
    Сообщений
    12
    Вес репутации
    36
    клиенты уже начали валом звонить по этой проблеме

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.12.2009
    Адрес
    Кострома
    Сообщений
    21
    Вес репутации
    35
    интересная тенденция: ни один Русский антивирь не среагировал, видно автор не из за "бугра"

    кстати скорее всего вирус ворует icq номера, ждем новой волны слез ну и конечно новой волны спама
    То, что не убивает нас, делает нас сильнее!

  6. #5
    Junior Member Репутация
    Регистрация
    22.04.2008
    Сообщений
    12
    Вес репутации
    36
    кстати при удалении snatch.exe через удаление фала с диска в AVZ - создался файлик там же snatch.bak ! его удалил вручную просто.

  7. #6
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0

    ICQ-эпидемия

    Тысячи пользователей стали жертвой нового ICQ-вируса Snatch, запустив пришедший к ним по сети ICQ одноименный .exe-файл. Вирусная эпидемия началась около полудня 16 августа; на момент написания заметки в блогосфере были сотни сообщений о вирусе...

    http://lenta.ru/news/2010/08/16/icq/

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Нефиг жамкать что нипопадя...

  9. #8
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Россия, СПб
    Сообщений
    66
    Вес репутации
    0
    Проморгал я - есть уже здесь тема:
    http://virusinfo.info/showthread.php?t=85536

    Звиняйте, и - можно тереть...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Karlson
    Регистрация
    06.12.2007
    Адрес
    Химки.
    Сообщений
    555
    Вес репутации
    152
    похоже в ICQ выключили возможность смены пароля. ни у кого не получается поменять.. по крайней мере из квипа и через сайт..
    Dis is one half.
    Press any key to continue...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    508
    Цитата Сообщение от g0dl1ke Посмотреть сообщение
    интересная тенденция: ни один Русский антивирь не среагировал, видно автор не из за "бугра"
    Вероятно, как буржуйских пользователей, так их антивирусы настораживает уже одно название (ну воистину - "биспалева").

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    еще есть хипс
    http://club-symantec.ru/forum.php

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    The worst foe lies within the self...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708

    В Рунете началась вирусная ICQ-эпидемия

    Тысячи пользователей стали жертвой нового ICQ-вируса Snatch, запустив пришедший к ним по сети ICQ одноименный .exe-файл. Вирусная эпидемия началась около полудня 16 августа; на момент написания заметки в блогосфере были сотни сообщений о вирусе. После запуска snatch.exe вредоносная программа берет под свой контроль ICQ-аккаунт и рассылает по всему списку контактов свои копии. Настоятельно рекомендуется не принимать и не запускать этот файл. Так как в будущем название файла может измениться, стоит обратить внимание на его размер. В случае snatch.exe он составляет 916,5 килобайта. Захватив ICQ-аккаунт, вирус способен поддерживать короткий диалог с пользователями в списке контактов. Вот некоторые фразы, которым его обучили создатели: "глянь ))", "нет, глянь )))", "ну мини игра типа )", "привет!". Так как вирус распространяется в виде исполняемого файла .exe, в опасности находятся только пользователи Windows. Стоит отметить, что по состоянию на 16 августа большинство антивирусов не реагируют на данный файл. Согласно отчету Virus Total, snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt. В "Лаборатории Касперского" сообщили, что в случае заражения следует в диспетчере задач Windows удалить процесс с именем snatch.exe, после чего удалить само тело червя (скачанную программу) и по возможности сменить пароль от своей учетной записи ICQ.
    Подробности


    uinc.ru
    Left home for a few days and look what happens...

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Добавлю, что я изучал сегодня эту вирусяку, зловред действительно ведет "адаптивный диалог", например в ответ на фразу со словом "вирус" или "троян" будет ответ типа "нет, что ты ? как можно ?" Более того, в диалоге есть фраза "включи в настройках передачу файлов" для реагирования на фразы про ошибки - т.е. вирус рекомендует пользователю, как ему заразиться. В остальном все просто - пользователь должен сам запустить зловреда и эпидемия говорит о том, что получив ссылку и описание вида "ну мини игра типа" от знакомого контакта типовой пользователь тут-же принимает/загружает/запускает это не думая - что говорит о повальной компьютерной безграмотности. Зверь был немедленно внесен в базы ЛК и детектируется под именем IM-Worm.Win32.QiMiral.ax

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.10.2009
    Сообщений
    82
    Вес репутации
    55
    Вопрос. А как сработала проактивка или эвристика в домашних и корпоративных продуктах ЛК? В случае запуска были ли убедительные сигналы пользователям на подозрительное поведение или процессы? Говорят, что корпоративная версия молчала...
    Антивирусная защита by корпус морпехов Norton Internet Security, на виртуальных машинах ударная группировка НАТО Avira, G-Data, TrustPort; миротворческие силы по поддержанию мира A-Squared; и отряд партизан DrWeb. :-)

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от amcenter Посмотреть сообщение
    Вопрос. А как сработала проактивка или эвристика в домашних и корпоративных продуктах ЛК? В случае запуска были ли убедительные сигналы пользователям на подозрительное поведение или процессы? Говорят, что корпоративная версия молчала...
    Этот зверь никуда особенно не внедряется, поэтому ожидать бурного реагирования HIPS/PDM на него не стоит (тем более что в корпоративной версии обычно диалог антивируса с пользователем вообще блокирован). У зверя высокий SR рейтинг (у меня на тесте он уверенно набрал 100%) - поэтому KIS при попытке запуска зверя должен его активно обругивать.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    http://virusinfo.info/showthread.php?t=85536

    А по ссылке на АМ (в той теме) можно увидеть реакцию KSN до прихода сигнатур
    The worst foe lies within the self...

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rdog
    Регистрация
    08.11.2007
    Сообщений
    527
    Вес репутации
    303

    ICQ атакует новый вирус

    Тысячи пользователей стали жертвой нового ICQ-вируса Snatch, запустив пришедший к ним по сети ICQ одноименный .exe-файл.Вирусная эпидемия началась около полудня 16 августа.

    Пользователи ICQ получают от уже зараженных пользователей из своего контакт-листа приглашение скачать файл Snatch.exe. Вирус опасен тем, что умеет маскироваться под "живого" собеседника — например, на вопрос "Что ты мне такое прислал, это вирус?" он отвечает "Нет, глянь", а на фразу "Уйди, бот" реагирует ответом "Сам ты бот".

    Если пользователь поддается на уговоры робота и скачивает файл, Snatch крадет логин и пароль от мессенджера и рассылает приглашения людям из контакт-листа. По предварительным данным, жертвами вредоносной программы уже стали несколько тысяч человек.

    Чтобы обезопасить компьютер, не следует принимать от других пользователей файл Snatch.exe (его размер — 916,5 КБ) и иные подозрительные исполняемые файлы — даже если их присылает хорошо знакомый человек.

    Если заражение все-таки произошло, рекомендуется закрыть процесс Snatch.exe в диспетчере задач, удалить записи с именем Snatch.exe из реестра Windows, переустановить ICQ-клиент и обязательно сменить пароль. Если сменить пароль не удается, это можно сделать на сайте ICQ.

    Стоит отметить, что по состоянию на 16 августа большинство антивирусов не реагируют на данный файл. Согласно отчету Virus Total, snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt.
    http://www.securitylab.ru

    Добавлено через 5 минут

    В Рунете началась эпидемия очередного говорящего вируса, крадущего номера ICQ. Троян, который опознается лишь несколькими антивирусами (не российскими), рассылает себя по ICQ в виде файла snatch.exe. После того, как пользователь запустит файл, вредоносная программа захватывает его ICQ-клиент и рассылает свои копии по всему контакт-листу.

    При этом троян умеет отвечать на вопросы пользователей фразами "нет, глянь )))" или "ну мини игра типа )" и другими. Некоторые ответы используют слова из вопроса, что очевидно увеличивает число пострадавших лохов.

    Для лечения рекомендуются удалить файл Snatch.exe из списка процессов в диспетчере задач, а также из системного реестра. Кроме того, желательно поскорее восстановить пароль ICQ через icq.com (по своему почтовому адресу, на который зарегистрирована "аська").

    Интересно, что в случае вопроса "ты бот?" робот отвечает "эээ… сам ты бот =\" Такой же фразой отвечал вирус Piggy, эпидемия которого случилась в Рунете в январе. Piggy тоже крал пароли ICQ, рассылая зараженный файл дальше по контакт-листу. При этом вирус менял пароль и записывал новый в зашифрованном виде прямо в информацию о владельце ICQ-аккаунта, в поле «О себе». Вероятно, это делалось для того, чтобы злоумышленники могли забирать пароли прямо с сайта icq.com и при этом их нельзя было вычислить.

    По сходству ответов можно предположить, что Snatch - это родственник Piggy. Однако на данный момент "Вебпланете" неизвестно, прячет ли Snatch новые пароли таким же образом. В случае с Piggy схема расшифровки нового пароля была довольно простой.
    ----------------------------------------------------------------------------------------------
    Позавчера вечером пользователи ICQ подверглись атаке нового вируса Piggy.zip или H1N1, который крадет пароли и рассылает себя дальше по контакт-листу. Отличительная особенность заразы - вирус умеет отвечать на вопросы пользователей, убеждая их, что он не вирус. А украденные пароли он прячет прямо на icq.com - в поле "О себе" взломанного аккаунта.

    Вирус приходит к пользователю от знакомого, который уже заражен. Он содержит предложение скачать файл Piggy.zip. В таких случаях пользователи уже могут заподозрить неладное и спросить у "приятеля", не является ли эта ссылка спамом или вирусом. Ранее вредоносные боты не умели отвечать на такие вопросы, и пользователь понимал, что это зараза.

    Однако умный бот Piggy умеет отвечать. Увидав в вопросе слово "вирус", он говорит в ответ: "нет, это флешка про свинью, глянь ". В случае вопроса "ты бот?" вирус может ответить "эээ… сам ты бот!"

    Аналогичным образом он отшучивается и на другие вопросы, возвращая фразы со словами "спам", "троян" и другими. Поэтому все выглядит так, словно ссылку действительно прислал знакомый человек.

    Другая особенность вируса: он меняет пароль от ICQ и записывает зашифрованный пароль в информацию о владельце ICQ-аккаунта, в поле «О себе». Вероятно, это делается для того, чтобы злоумышленники могли забирать пароли прямо с сайта icq.com (поскольку эти поля - открыты) и при этом их нельзя было вычислить (за этой информацией обращаются многие поисковые системы, можно заходить туда и вручную).

    Владелец взломанной аськи может успеть вернуть себе пароль, если расшифрует поле «О себе» своего взломанного аккаунта (например, заглянув туда через другую аську). В данном поле содержится набор из нулей и единиц, их следует разбить на группы по 10 символов, и каждую группу перевести в одну цифру по данной таблице:

    0100110010 - 1
    0101100000 - 2
    0101100010 - 3
    0101100100 - 4
    0101100110 - 5
    0101101000 - 6
    0101101010 - 7
    0101101100 - 8
    0101101110 - 9
    0100110000 - 0

    В результате можно узнать свой "новый пароль", сотоящий из 8 цифр. Его желательно сразу сменить, поскольку его могут расшифровать другие люди. Как сказано выше, такой метод публикации паролей сильно затрудняет поиски злоумышленников - ведь теперь чужие аськи может захватывать кто угодно, если он расшифровал пароль раньше хозяина.

    Напомним, что это не первый вирус, который умеет разговаривать по мессенджеру. Еще в 2005 году был замечен червь IM.Myspace04.AIM, который аналогичным образом отшучивался в ответ на предположения о том, что он вирус ("lol no its not its a virus", говорил он). А в 2007 году прославился российский бот, который выманивал деньги с помощью разговоров о сексе.

    http://www.webplanet.ru
    Последний раз редактировалось rdog; 17.08.2010 в 05:44. Причина: Добавлено
    Если у тебя нет паранойи,это не значит,что за тобой не следят

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Kuzz Посмотреть сообщение
    http://virusinfo.info/showthread.php?t=85536

    А по ссылке на АМ (в той теме) можно увидеть реакцию KSN до прихода сигнатур
    Да, KSN сейчас четко отрабатывает в таких ситуациях, что дает оперативную защиту от подобного быстро распространяющегося зверья. Только что вышел апдейт баз AVZ с детектом этой заразы.
    А вот так реагирует продукт без возможности выхода в Инет за счет высокого SR рейтинга зловреда:
    Последний раз редактировалось Зайцев Олег; 17.08.2010 в 08:25.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    И первым же ответом будет да
    Left home for a few days and look what happens...

Страница 1 из 2 12 Последняя

Похожие темы

  1. Вирус через аську. Snatch.
    От krexxxer в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 17.08.2010, 20:38
  2. Вирусная эпидемия в локалке
    От Тарасов Сергей в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 15.04.2010, 14:22
  3. У нас началась эпидемия!
    От Demas в разделе Помогите!
    Ответов: 28
    Последнее сообщение: 22.02.2009, 02:28
  4. Ответов: 9
    Последнее сообщение: 09.02.2007, 03:16

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00788 seconds with 16 queries