Перейти к содержимому


* * * * * 1 Голосов

Массовая рассылка нового червя с мощным руткитом


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 45

#1 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 16 Август 2007 - 23:33

На протяжении середины июля-августа мне (и не только мне) регулярно сыплются в почтовый ящик письма примерно следующего содержания:

Цитата

Good day.

Your Class mate has sent you greeting card from superlaugh.com.

Click on your greeting card link below:

http://193.95.243.xxx/

Copyright © 1998-2007 superlaugh.com All Rights Reserved

Цитата

Mate() has created Animated e-card for you at funsilly.com.

To see your custom Animated e-card, simply click on the following link:

http://70.233.52.xxx/

Send a FREE greeting card from funsilly.com whenever you want by visiting us at:
This service is provided and hosted by funsilly.com.

и т.п. с англоязычным предложением загрузить открытку от друга/подруги/любовницы/одноклассницы и т.п.
Секьюрные агенства также зафиксировали начало волны еще в июле.

При переходе по ссылке, приведенной в теле письма в качестве адреса, по которому можно загрузить "открытку", попадаешь на страничку, где сейчас предлагается загрузить некий компонент к Windows, без которого просмотр открытки якобы будет невозможен:

Цитата

To view your ecard, you need to have Microsoft Data Access installed on your computer.
To obtain a free copy of Microsoft Data Access, please click here.
Разумеется, что загружается по ссылке here отнюдь не Microsoft Data Access, а последняя версия опасного червя Zhelatin. Также замечу, что ранее (на протяжении месяца) по таким ссылкам загружались всевозможные спамботы и упакованные трояны семейства Tibs (по Касперскому).

Цитата

обнаружено: троянская программа Trojan-Downloader.Win32.Tibs.mr URL: http:/ /71.17.145.219/ecard.exe
обнаружено: троянская программа Trojan-Downloader.Win32.Tibs.mr URL: http:/ /65.29.94.181/ecard.exe
обнаружено: троянская программа Trojan-Downloader.Win32.Tibs.mr URL: http:/ /69.242.57.71/ecard.exe
обнаружено: вирус Email-Worm.Win32.Zhelatin.fz URL: http:/ /76.110.118.241/ecard.exe
обнаружено: вирус Email-Worm.Win32.Zhelatin.gb URL: http:/ /68.48.16.237/ecard.exe
обнаружено: вирус Email-Worm.Win32.Zhelatin.ge URL: http:/ /75.185.82.168/ecard.exe
обнаружено: вирус Email-Worm.Win32.Zhelatin.gg URL: http:/ /97.84.153.40/ecard.exe
обнаружено: вирус Packed.Win32.Tibs.ba URL: http:/ /69.250.87.140/ecard.exe
обнаружено: вирус Email-Worm.Win32.Zhelatin.gg URL: http:/ /89.79.89.**/msdataaccess.exe
обнаружено: вирус Email-Worm.Win32.Zhelatin.gg URL: http:/ /68.33.50.**0/msdataaccess.exe
обнаружено: вирус Email-Worm.Win32.Zhelatin.gq URL: http:/ /24.32.184.***/msdataaccess.exe
обнаружено: вирус Email-Worm.Win32.Zhelatin.gq URL: http:/ /193.95.243.**/msdataaccess.exe

Загрузив "Microsoft Data Access" и запустив этот файл, пользователь производит инсталляцию трояна в систему.

Попадая в систему, Zhelatin патчит системный драйвер tcpip.sys и через него запускает два своих компонента:

%WinDir%\spooldr.exe;
%WinDir%\SYSTEM32\spooldr.sys


тем самым избегая ссылок в реестре на автозапуск своих модулей при каждой последующей загрузке компьютера. В результате в систему устанавливается весьма опасный и агрессивный по отношению к антивирусам Rootkit, удалить который весьма и весьма непросто. Более того, удалив червя из системы, придется еще восстанавливать системный файл tcpip.sys c диска с дистрибутивом Windows XP. Радует одно - на Vist'e червь текущей версии не запускается  :), а вот пользователям с XP, которые любят тыкать во все и вся повезло значительно меньше. К тому же версия червя, что загружается по ссылкам, обновляется чуть ли не ежедневно.

Вообщем всем быть внимательными и не забывать про смысл, скрывающийся в моей подписи!  B)

Сообщение отредактировал XL: 17 Август 2007 - 00:10


#2 CTACb

CTACb

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 4 082 сообщений
  • Пол:Мужчина

Отправлено 17 Август 2007 - 08:46

Хорошо, что письма не-по русски приходят :). Половина пользователей просто не поймут что от них хотят, это их спасет :D.

А вообще, надо сидеть не под локальным админом. Тогда зверюга хрен пропишется в tspip.sys.

По теме. Утилиты для его обнаружения и удаления есть? (Не принимая во внимание AVZ).

#3 Вячеслав Анатольевич

Вячеслав Анатольевич

    Постоялец

  • Members
  • PipPipPipPip
  • 414 сообщений
  • Пол:Мужчина
  • Город:Химки

Отправлено 17 Август 2007 - 08:54

Касперский знает 196 Zhelatin
_http://www.kaspersky.ru/find?words=Zhelatin&search=%F0%CF%C9%D3%CB

Он с этим справляется (само собой при последних обновлениях)???

#4 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 17 Август 2007 - 09:19

Просмотр сообщенияCTACb (17.08.2007, 09:46) писал:

По теме. Утилиты для его обнаружения и удаления есть? (Не принимая во внимание AVZ).
Чтобы удалить гада через AVZ, исполняемый файл программы сперва нужно переименовать во что-то нейтральное. Типа cool.exe  :D Иначе AVZ просто не запустится, т.к. у зверя стоит детект на подрузку процессов с определенными миенами (см. ссылку в первом посте).
Но и это лишь полдела. Помимо прочего, зверь блокирует подгрузку драйвера AVZ и антируткит не может снять хуки с SSDT (kernel mode). Так что удалить гада возможно только через boot cleaner. RIC На Virusinfo.info предложил следующий скрипт:

Цитата

begin
QuarantineFile('%WinDir%\SYSTEM32\spooldr.sys','');
QuarantineFile('%WinDir%\spooldr.exe','');
DeleteFile('%WinDir%\spooldr.exe');
DeleteFile('%WinDir%\SYSTEM32\spooldr.sys');
RenameFile('%WinDir%\SYSTEM32\drivers\tcpip.sys','%WinDir%\SYSTEM32\drivers\tcpip.bak');
Sleep(15);
RebootWindows(true);
end.
При его выполнении нужно вставить диск с виндоусом в привод, для того, чтобы система сама могла взять оттуда здоровый tcpip.sys

Мне удавалось обнаружить и нейтрализовать гада только при помощи Rootkit Unhooker
Программу можно взять и у нас на FTP:
ftp://himki.net/Soft/antivir-center/Rootkit_Unhooker/



Просмотр сообщенияВячеслав Анатольевич (17.08.2007, 09:54) писал:

Касперский
/////
Он с этим справляется (само собой при последних обновлениях)???
Есть вероятность, что как только новую версию червя выложат на сервера и начнут рассылать письма с приглашениями загрузки, то вирлаб еще не успеет выпустить сигнатуру обнаружения в течение первых часов рассылки. Соответственно, первое время червь детектироваться как Zhelatin не будет. В таком случае после запуска червя остается надеяться только на проактивную защиту Антивируса Касперского 6.0/7.0, а так же на эвристик в 7-й версии. Пользователям же NOD32 или DrWeb 4.33 надеяться вообще бесполезно, если эвристик не обнаружил вредоносное в файле.

Уже проинсталлированный в систему червь легко нейтрализует любой антивирус, который занесен в его черный список (там есть даже 6-й и 7-й KAV), так что тут поможет использование специальных утилит типа RKU или визит специалиста.

#5 olegator

olegator

    Завсегдатай

  • Members
  • PipPipPipPipPip
  • 665 сообщений
  • Пол:Мужчина

Отправлено 17 Август 2007 - 10:02

Просмотр сообщенияXL (17.08.2007, 10:19) писал:

В таком случае после запуска червя остается надеяться только на проактивную защиту Антивируса Касперского 6.0/7.0, а так же на эвристик в 7-й версии. Пользователям же NOD32 или DrWeb 4.33 надеяться вообще бесполезно, если эвристик не обнаружил вредоносное в файле.
Т.е. Касперский самый лучший антивирус?

#6 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 17 Август 2007 - 10:07

Просмотр сообщенияolegator (17.08.2007, 11:02) писал:

Касперский самый лучший антивирус?
В некотором отношении - да. Тесты это наглядно подтверждают.
http://www.anti-malw...html?part=tests
http://www.anti-malw...opic.php?t=3192

#7 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 20 Август 2007 - 17:23

Текст сообщения поменялся:

Цитата

My friend took these pics of me, I even took some of her. wanna see?
http://24.167.109.**/
По ссылке по-прежнему предложение загрузить Microsoft Data Access, которым на самом деле является EMail-Worm.Zhelatin.gk

#8 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 21 Август 2007 - 20:22

Очередное обновление темы письма:

Цитата

Greetings,

Here is your membership info for Mobile Fun.

Member Number: 26123334
Your Login ID: user8588
Temp Password ID: gj779

Please Change your login and change your Login Information.

Follow this link, or paste it in your browser: http://67.8.44.**/

Enjoy,
Membership Support Department
Mobile Fun

На странице, куда приводит ссылка видим:

Цитата

If you do not see the Secure Login Window please install our Secure Login Applet.

Внимание! Secure Login Applet на данный момент Антивирусом Касперского, а так же NOD32 не детектируется сигнатурно!

Цитата

File applet.exe received on 08.21.2007 19:24:11 (CET)
Current status: finished
Result: 16/32 (50%)
Compact
Print results Antivirus Version Last Update Result
AhnLab-V3 2007.8.22.0 2007.08.21 -
AntiVir 7.4.1.62 2007.08.21 WORM/Zhelatin.Gen
Authentium 4.93.8 2007.08.20 Possibly a new variant of W32/Fathom.2-based!Maximus
Avast 4.7.1029.0 2007.08.21 Win32helatin-ANZ
AVG 7.5.0.484 2007.08.21 Downloader.Tibs.7.D
BitDefender 7.2 2007.08.21 DeepScan:Generic.Malware.FMPH@mmign.515BE17E
CAT-QuickHeal 9.00 2007.08.21 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.21 Fathom
DrWeb 4.33 2007.08.21 Trojan.Packed.142
eSafe 7.0.15.0 2007.08.20 Suspicious Trojan/Worm
eTrust-Vet 31.1.5076 2007.08.21 Win32/Sintun.AC
Ewido 4.0 2007.08.21 -
FileAdvisor 1 2007.08.21 -
Fortinet 2.91.0.0 2007.08.21 -
F-Prot 4.3.2.48 2007.08.20 W32/Fathom.2-based!Maximus
F-Secure 6.70.13030.0 2007.08.21 -
Ikarus T3.1.1.12 2007.08.21 -
Kaspersky 4.0.2.24 2007.08.21 -
McAfee 5102 2007.08.21 -
Microsoft 1.2803 2007.08.21 -
NOD32v2 2473 2007.08.21 -
Norman 5.80.02 2007.08.21 -
Panda 9.0.0.4 2007.08.21 -
Prevx1 V2 2007.08.21 -
Rising 19.37.12.00 2007.08.21 -
Sophos 4.20.0 2007.08.21 Mal/Dorf-E
Sunbelt 2.2.907.0 2007.08.21 VIPRE.Suspicious
Symantec 10 2007.08.21 Trojan.Packed.13
TheHacker 6.1.8.171 2007.08.21 -
VBA32 3.12.2.2 2007.08.21 MalwareScope.Worm.Nuwar-Glowa.1
VirusBuster 4.3.26:9 2007.08.21 -
Webwasher-Gateway 6.0.1 2007.08.21 Worm.Zhelatin.Gen
Additional information
File size: 114487 bytes
MD5: 76b73b86b9353ce30b39f852da5ca35f
SHA1: 69ed9cb4d9f9c32e3a19a53ee87808cc53cb0842
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Сообщение отредактировал XL: 21 Август 2007 - 20:34


#9 Габи

Габи

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 9 153 сообщений
  • Пол:Женщина
  • Город:Химки

Отправлено 21 Август 2007 - 21:55

Уже получили-с! Но не открывали.

#10 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 27 Август 2007 - 17:14

Развод продолжается!
Письмо:

Цитата

OMG, what are you doing man. This video of you is all over the net. go look at it... http://www.youtube.com/watch?v=*******

Причем письмо выполнено в виде htm документа и ссылка в нем подложная, ведущая совсем не на youtube....
При наведении курсора на ссылку письма появляется настоящий адрес страницы перехода: http://71.203.150.***/

На странице, куда выводит ссылка, видим картинку, имитирующую страницу youtube

Цитата

Прикрепленный файл pic_yout...o_123x63.gif

Your Download Should Begin Shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download and then press Run.
По click here загружается последняя версия zhelatin.hs

Прикрепленные файлы



#11 Overlap

Overlap

    Постоялец

  • Members
  • PipPipPipPip
  • 444 сообщений
  • Пол:Мужчина
  • Город:Химки, ул. Пожарского/ул. Ленинградская
  • Интересы:Банки, финансы, кредиты<br />Бокс, плавание, штанга<br />Фантастика, книги<br />IT, Линукс<br />Альтернативный рок, депрессивная музыка<br />

Отправлено 27 Август 2007 - 18:47

Цитата

А вообще, надо сидеть не под локальным админом.
Это тоже ещё тот гемор

#12 Heartcore

Heartcore

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 4 663 сообщений
  • Пол:Мужчина
  • Город:Khimki

Отправлено 28 Август 2007 - 10:32

Мне на почту тоже такие письма приходили. А ведь сначала хотел открыть... :)

#13 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 28 Август 2007 - 18:14

Гыыы... Теперь им нужны бета-тестеры:

Beta testers needed!

Цитата

Would you help us with our new software Home Reno Planner

This will help us put the final touches on this great new software. All
beta testers will receive a free copy of the final version and free
updates for life.

1: Download the software  2: Try it  3: Tell us what you think Ready to
be a beta tester? Just follow the link to our easy download center:
http://71.65.***.248/setup.exe

в письме прямой линк на тело червя. загружается все тот же zhelatin.hs

#14 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 03 Сентябрь 2007 - 22:27

Свежак!

письмо:

Цитата

Please follow this link to get your free holiday greeting: http://americangreet...c?w0avhaq***gd3
Хотя ссылка на самом деле ведет на уже знакомые IP типа: http://71.193.***.54/

Где мы видим (внимание!) следующую страницу:

Цитата

Прикрепленный файл labor.jpg

Click on the image, download the file and then press Run. Enjoy!

При нажатии на картинку, получаем предложение о загрузке или запуске labor.exe

labor.exe на данный момент не детектируется Антивирусом Касперского 7.0 с включенной на максимум эвристикой.

UPD: уже детектируется, в течение часа апдейт выпустили  :blush:

Цитата

Antivirus Version Last Update Result
AhnLab-V3 2007.9.1.0 2007.09.03 -
AntiVir 7.4.1.66 2007.09.03 Worm/Storm.tch
Authentium 4.93.8 2007.09.02 -
Avast 4.7.1029.0 2007.09.03 -
AVG 7.5.0.485 2007.09.03 Downloader.Tibs.7.AC
BitDefender 7.2 2007.09.03 Trojan.Peed.IHT
CAT-QuickHeal 9.00 2007.09.03 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.03 -
DrWeb 4.33 2007.09.03 Trojan.Packed.142
eSafe 7.0.15.0 2007.09.03 Suspicious Trojan/Worm
eTrust-Vet 31.1.5105 2007.09.03 Win32/Sintun.AF
Ewido 4.0 2007.09.03 -
FileAdvisor 1 2007.09.03 -
Fortinet 3.11.0.0 2007.09.03 -
F-Prot 4.3.2.48 2007.09.02 -
F-Secure 6.70.13030.0 2007.09.03 -
Ikarus T3.1.1.12 2007.09.03 -
Kaspersky 4.0.2.24 2007.09.03 Email-Worm.Win32.Zhelatin.il
McAfee 5111 2007.09.03 -
Microsoft 1.2803 2007.09.03 TrojanDropper:Win32/Nuwar.gen!avkill
NOD32v2 2500 2007.09.03 -
Norman 5.80.02 2007.09.03 Tibs.gen134
Panda 9.0.0.4 2007.09.03 -
Prevx1 V2 2007.09.03 -
Rising 19.39.02.00 2007.09.03 -
Sophos 4.21.0 2007.09.03 Mal/Dorf-A
Sunbelt 2.2.907.0 2007.08.31 VIPRE.Suspicious
Symantec 10 2007.09.03 Trojan.Packed.13
TheHacker 6.1.9.175 2007.09.02 -
VBA32 3.12.2.3 2007.09.03 -
VirusBuster 4.3.26:9 2007.09.03 Trojan.Tibs.Gen!Pac.135
Webwasher-Gateway 6.0.1 2007.09.03 Worm.Storm.tch
Additional information
File size: 140021 bytes
MD5: 781e08a5dcc2c53646ed097e533d6659
SHA1: 34ed3582a1323b300673b7c79260d47d2205578b
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Прикрепленные файлы

  • Прикрепленный файл  labor.jpg   43,6К   1 Количество загрузок:

Сообщение отредактировал XL: 03 Сентябрь 2007 - 22:32


#15 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 06 Сентябрь 2007 - 21:36

Продолжаем. Из серии "Я плакалъ"

Письмо:

Цитата

Each time you download music, movies, or files, you're at risk. The RIAA
is suing one person after another. Tor eliminates the trail that leads
to you. This software is made available free, so we can keep the
internet free and private: http://70.242.13.xxx/

По ссылке попадаем на страницу:

Цитата

Прикрепленный файл tor1.gifTor: anonymity online

Tor is a toolset for a wide range of organizations and people that want to improve their safety and security on the Internet. Using Tor can help you anonymize web browsing and publishing, instant messaging, IRC, SSH, and other applications that use the TCP protocol. Tor also provides a platform on which software developers can build new applications with built-in anonymity, safety, and privacy features.

Tor aims to defend against traffic analysis, a form of network surveillance that threatens personal anonymity and privacy, confidential business activities and relationships, and state security. Communications are bounced around a distributed network of servers called onion routers, protecting you from websites that build profiles of your interests, local eavesdroppers that read your data or learn what sites you visit, and even the onion routers themselves.
Прикрепленный файл tor2.png
TOR - на самом деле:

Цитата

Файл tor.exe получен 2007.09.06 20:31:50 (CET)
Текущий статус:   закончено
Результат: 15/32 (46.88%)
Форматированные
Печать результатов  Антивирус Версия Обновление Результат
AhnLab-V3 2007.9.5.0 2007.09.06 -
AntiVir 7.6.0.5 2007.09.06 Worm/Stom.tcl
Authentium 4.93.8 2007.09.06 -
Avast 4.7.1029.0 2007.09.06 -
AVG 7.5.0.485 2007.09.06 Downloader.Tibs
BitDefender 7.2 2007.09.06 Trojan.Peed.IID
CAT-QuickHeal 9.00 2007.09.06 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.06 -
DrWeb 4.33 2007.09.06 Trojan.Packed.142
eSafe 7.0.15.0 2007.09.04 Suspicious Trojan/Worm
eTrust-Vet 31.1.5114 2007.09.06 Win32/Sintun.AF
Ewido 4.0 2007.09.06 -
FileAdvisor 1 2007.09.06 -
Fortinet 3.11.0.0 2007.09.06 -
F-Prot 4.3.2.48 2007.09.06 -
F-Secure 6.70.13030.0 2007.09.06 Tibs.gen134
Ikarus T3.1.1.12 2007.09.06 -
Kaspersky 4.0.2.24 2007.09.06 -
McAfee 5114 2007.09.06 Tibs-Packed
Microsoft 1.2803 2007.09.06 -
NOD32v2 2510 2007.09.06 probably a variant of Win32/Nuwar
Norman 5.80.02 2007.09.06 Tibs.gen134
Panda 9.0.0.4 2007.09.06 -
Prevx1 V2 2007.09.06 -
Rising 19.39.32.00 2007.09.06 -
Sophos 4.21.0 2007.09.06 Mal/Dorf-E
Sunbelt 2.2.907.0 2007.09.06 VIPRE.Suspicious
Symantec 10 2007.09.06 Trojan.Packed.13
TheHacker 6.1.9.179 2007.09.06 -
VBA32 3.12.2.4 2007.09.06 -
VirusBuster 4.3.26:9 2007.09.06 -
Webwasher-Gateway 6.0.1 2007.09.06 Worm.Stom.tcl
Дополнительная информация
File size: 140608 bytes
MD5: df70b58e61ce0c693c4e7c197990320e
SHA1: b6b7eba5f31463a13286f5ca43424ff3aa07780c
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Прикрепленные файлы

  • Прикрепленный файл  tor1.gif   4,1К   0 Количество загрузок:
  • Прикрепленный файл  tor2.png   7,61К   0 Количество загрузок:


#16 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 10 Сентябрь 2007 - 16:08

Продолжение:
письмо:

Цитата

Life as we know it is back, NFL season is open.
Have the details for every game, provided every day.
Keep on top of all the games with our online game tracker:
http://69.234.28.***/

По ссылке попадаем на страницу:

Прикрепленный файл  nfl.jpg   113,97К   20 Количество загрузок:
любая ссылка здесь приводит в загрузке червя (файл tracker.exe)

Предлагают билетики купить...гыгыг

tracker.exe - свежак. Касперским не детектируется пока. Пойду в вирлаб отправлю...

#17 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 13 Сентябрь 2007 - 16:48

Ну вот, начались сюрпризы. Вчера столкнулся с машиной, в которой седьмой Каспер снес tcpip.sys, пропатченный червем. Все бы ничего, но Tcpip.sys был аналогичным образом удален и из запасника - dllcahe. Стоит ли говорить, что сеть на такой машине перестает работать. Причем в том конкретном случае не помогла даже переустановка системы в режиме восстановления предыдущей версии!
Хотя элегантное решение нашлось чуть позже, за что спасибо моим коллегам с virusinfo.info. Для восстановления потребуется диск с дистрибутивом XP текущей ревизии (tcpip.sys в SP1 и SP2 различаются). Вставляем диск в привод и.....

Цитата

пуск - выполнить - cmd - enter
expand D:\i386\tcpip.sy_ C:\windows\system32\drivers\tcpip.sys
вместо D:\ - может быть другая буква...(соответствующая приводу СD)
Перезагрузка и должно случиться чудо.

#18 Netto

Netto

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 677 сообщений
  • Пол:Не определился
  • Город:Старые

Отправлено 13 Сентябрь 2007 - 21:53

XL спасибо за ликбез (про команду "expand" узнал только что)  :) , раньше делал двойную работу по перетаскиванию файлов с дистриба. Мне вот что не понятно: говорят "приходило", "пришло", "получали", а на какие почтовые сервера то? Что-то я даже на спам-обильном Yahoo! такого не видел  :)

#19 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 14 Сентябрь 2007 - 11:55

мне на xl@химки.нет по 3-7 вариаций  в день приходит. правда, в последнее время все же меньше. но ящик был засвечен как на сайтах инета при регистрации, так и на компах зараженных пользователей (имхо), откуда его подобрали трояны из адресных книг.

#20 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 16 Сентябрь 2007 - 19:57

Продолжение банкета:

Текст письма:

Цитата

Do you like games, get over 1000 games for free.. http://140.247.172.***/
Страница, куда приводит ссылка:
Прикрепленный файл  zhel.jpg   102,29К   28 Количество загрузок:

Надо заметить, что страница выполнена весьма качественно - не в пример предыдущим вариациям. Тут тебе и gif анимарованный, и флэш.
При нажатии на любую из предлагаемых игрушек начинает загружаться последняя версия червя - Zhelatin.jq (по Касперскому)




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных