Интернет-форум

Вернуться   Интернет в Санкт-Петербурге > Разное > Все о софте

>> Хостинг - 2 Gb-20 Gb, CPanel, SSH, Web Disk, Softaculous, FTP, MySql, SSL сертификат, BackUP
>> Конструктор сайтов: 198 шаблонов в 22 категориях! SSL, e-commerce, веб-почта, статистика сайта, 50 мб бесплатно!
Все о софте Обсуждение программного обеспечения, проблемы и их решения - здесь.

 
Опции темы
Старый 09.07.2007, 22:22
  #21
Мастер
 
Аватар для Char

Мне однажды вирусня с оверов пришла, ща нельзя воще ничего открывать без подтверждения содержимого
Char вне форума   Ответить с цитированием
Старый 10.07.2007, 11:40
  #22
Новичок

В дополнение - вот полное описание этого зловреда Virus.VBS.Agent.c (хотя это описание не поможет восстановить попорченные данные):
Опасная троянская программа, уничтожает данные пользователя на диске. От данного зловреда пострадали многие пользователи, зафиксирован буквально шквал обращений (в том числе в конференциях http://virusinfo.info и http://forum.kaspersky.com
Видимые проявления - в автозапуске появляется посторонний файл one.exe (файл размещается в папке Windows), который является SFX архивом. В случае запуска он распаковывается в корень диска C:, при это создаются следующие файлы: dr.vbs, DR1.dr, DR2.dr и DR3.dr. Файл dr.vbs после этого запускается (для извлечения файлов и запуска в архиве имеется скрипт: Path=c:\ Setup=dr.vbs).
Скрипт dr.vbs зашифрован для защиты от изучения, шифровка примитивная. Расшифровка показывает, что скрипт ищет файлы на диске и в зависимости от расширения копирует заготовки
DR1.dr - DR3.dr поверх некоторых файлов. Поражаются файлы следующих типов:
mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff ,amr,wav,w ave - поверх них копируется файл DR1.dr
jpg,bmp,gif,png -> DR2.dr
txt,xlsЭ,doc,htm,xl -> DR3.dr

Файл DR1.dr является музыкальным файлом с ID3 тегом "Тут могла быть ваша РЕКЛАМА!!! По вопросам размещения во второй волне : xxx@yyyy", соответственно DR2.dr - это картинка формата JPEG (в ней призыв разместить рекламу написан на картинке, причем с лозунгом "Диструктивная реклама") и DR3.dr - текстовый файл, по содержимому идентичный ID3 тегу DR1.dr.

Как очевидно из описания, файлы перечисленных расширений будут уничтожены, резервных копий затираемых файлов зловред не делает.

Скрипт по некоторым стилистическим элементам похож на аналогичного деструктивного зловреда Email-Worm.VBS.Agent.j

Внедрение в систему и распространение
Зловред распространяется в виде файла с расширением SCR, размер файла - 424 кб, это SFX архив с файлами 01.vbs, 02.vbs, 03.vbs, 04.vbs и one.exe внутри. В случае запуска файлы извлекаются в папку Windows и идет запуск 01.vbs
1. WINDOWS\01.vbs - проверяет наличие в корне диска dr.vbs. Если его нет, то запускается 02.vbs и самоуничтожается
2. WINDOWS\02.vbs - просматривает папки в каталоге Mra\, принадлежащем MailRu Agent. Сканированием этой папки строит список адресов - найденные адреса заносятся в файл "c:\DR.dr", после чего запускается 03.vbs и самоуничтожается
3. WINDOWS\03.vbs -регистрирует в реестре файл one.exe, блокирует запуск редактора реестра и диспетчера задач через политики, после чего рассылает на один из встроенных в тело скрипта адресов письмо, текстовка "complete..." + аттчач - файл c:\DR.ey, после чего запускает 04.vbs и самоуничтожается. Файл DR.ey содержит данные ключа реестра Software\Mail.Ru\Agent.
4. WINDOWS\04.vbs Рассылает письма c заголовком "Вам пришла открытка от: xxxx" и телом "Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: xxxx@ Открытка ждёт Вас по адресу: <полный адрес файла SCR, инсталлирующего зловреда>. Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней."

Для поражения ПК нужно перейти по указанной в подобном письме ссылке, загрузить и запустить файл (подтвердив запрос системы на запуск). Таким образом следует вспомнить основную заповедь безопасности в Интернет - не следует переходить по подозрительным ссылкам и запускать непонятные программы, загруженные по этим ссылкам ... Зловред заменяет все текстовые файлы, звуки и картинки, в том числе и системные и принадлежащие различным программам - поэтому если он отработал, то стоит или восстановить систему из резервной копии, или произвести ее переустановку
AleXXII вне форума   Ответить с цитированием
Старый 10.07.2007, 16:46
  #23
Сисадмин трекера
 
Аватар для amelanin


За посильный вклад: За материальную помощь форуму - причина:  
Наград: 1 (все ...)
AleXXII,
во-во C:\ format рулит как всегда...

мне таких писем с открытками и файлами уже с десяток свалилось... ни одну не открыл...
amelanin вне форума   Ответить с цитированием
Старый 11.07.2007, 02:31
  #24
Завсегдатай
 
Аватар для Rombl4

Во мне сегодня пришо две таких "открытки" из ящика знакомй девушки!!! я был огорчен....
Rombl4 вне форума   Ответить с цитированием
Старый 11.07.2007, 03:01
  #25
Местный житель
 
Аватар для Cetan

Макс,



Чего спрашивать то... Если ящик не светить нигде, его, конечно, и не будет в спамлистах или адресных книгах тех, кто не заботится о своей безопасности.

зы: как вариант, фильтр на слово "открытка" 8-)
Cetan вне форума   Ответить с цитированием
Старый 11.07.2007, 05:21
  #26
Сисадмин трекера
 
Аватар для amelanin


За посильный вклад: За материальную помощь форуму - причина:  
Наград: 1 (все ...)
Гм у меня и на незасвеченные ящики сии отрытки приходят...
вариант с открыткой и скажем фоткой хорош но плох... отсеет и удалит все абсолютно содержащее эти слова..

похоже идет перебор всех почтовых ящиков найденых на зараженном компе. им отсылается и от их имени отсылается...
amelanin вне форума   Ответить с цитированием
Старый 11.07.2007, 13:48
  #27
Местный житель
 
Аватар для drozd

Незнаю было или нет то на всякий случай - сеня пришло такое собщение:
"пpивeт Маша!
дa нopмальнo вcе,толькo выматaлись cегoдня нa paботe, aдмины чoта c компoм натворили, кое-кaк твой адреc нaшелся..((
никудa идти не хочетcя, виктpыч caйт пoдкинул c прикольной паpнушкой http://hui***** ))глянь, как тебе?.. буду как-нить тaк вeчеp коpотaть.."

ТАких сообщений приходило масса)
Будьте аккуратнее)
drozd вне форума   Ответить с цитированием
Старый 11.07.2007, 23:07
  #28
Долгожитель
 
Аватар для Макс

Цитата:
Сообщение от Cetan
Если ящик не светить нигде, его, конечно, и не будет в спамлистах или адресных книгах тех, кто не заботится о своей безопасности.
Дык в том и дело, что одно из моих мыл засвечено почти везде где только возможно.
Макс вне форума   Ответить с цитированием
Старый 25.07.2007, 22:25
  #29
Главный Редактор
 
Аватар для CHeL


За посильный вклад: За материальную помощь форуму - причина:  Щит и меч: Доблестному модератору - причина: спасибо от форума 
Наград: 2 (все ...)
Сегодня принесли винт с похожей проблемой.
Почти все картинки, видео, тексты, музыка уничтожены.
CHeL вне форума   Ответить с цитированием
Старый 11.08.2007, 23:18
  #30
Долгожитель
 
Аватар для Макс

Exclamation Обнаружен новый вирус!

У меня 09.08.07 на комп как-то попал вирь (стоит NOD32, обновление по лиц. ключам). Комп ребутнулся. В итоге после ребута вирь заработал.
Работает так: загрузка, выбор учетной записи, а дальше выскакивает окно в котором говориться, мол винда не лицензионная и просят ввести ключ. Внизу в окне поле для ввода ключа. Естественно какой бы ключ не ввести он окажется неправильным. Справа от поля для ввода ключа три кнопки: подтверждения ввода, купить ключ и выход. При нажатии на кнопку с пиктограммой ключа (мол купить) открывается другое окно, в котором предлагается перевести через любой пул автоматической оплаты 300 рублей (это за лицензию то!!!) на Яндекс кошелек (!). Ключ для активации типа будет распечатан на чеке (!).
В итоге в систему мне было не попасть. Блин два дня без инета!!! Пробовал кучу Live CD (слава богу успел накачать в свое время). Ни на одном нет дров под мою сетевую. В итоге инета нет. В общем Winternals ERD Commander 2005 рулит! Откатил систему с помощью этого диска назад на пару дней.
Как я понял из увиденного в автозагрузке, вирь заменяет winlogon и еще пару каких-то файлов.
Кто сталкивался с подобным вирем? Или кто может дать ссылку на почитать о нем?

P.S. Интересно сколько народу купилось на этот вирь и заплатили 300р.?
P.P.S. Вирь на самом деле сделан грамотно. Все напоминает чисто микросовтовский интерфейс. Можно очень легко на это купиться (если вообще не представлять алгоритмов работы винды).

Макс добавил 12.08.2007 в 03:23
Нашел я источник заразы. Как утверждает лаборатория Касперского это Trojan.Win32.VB.bav. Вирь оказался в игрушке BomberMan, скачанной с сайта http://freesoft.ru/?id=669442 (кэш яндекса)
DrWeb тоже ругнулся:
Скрыто содержимое: Скрин № 1
Но у касперского это получилось лучше:
Скрыто содержимое: Скрин № 2
Естественно на viruslist.com описания пока нет, т.к. вирь почти новый - http://www.viruslist.com/ru/viruses/...virusid=160824
Нашел я правда небольшое описание на инглише.
Кому интересно, тут архив с игрой.

А вот тут человек в картишки поиграл... Правда у него способ оплаты иной. Пост спрятан, так что вот кэш яндекса, или цитата с livejournal.com:
Скрыто содержимое: Цитата
11 Июн, 2007
Тройка, семерка, туз...
Вчера захотелось мне поиграть в преферанс.
Да вот беда: все старые партнеры кто где, все недоступны.
Однако, в постиндустриальную эпоху разве такая мелочь кого остановит?
Тычешь в Яндекс, запрос примерно такой: "Программа Марьяж, бесплатно". И вот тебе тысячи ссылок на старый добрый "Марьяж 2.3", с хорошим алгоритмом и приемлимым интерфейсом, хотя и 1999 года выпуска.
Играл, в качестве партнеров, с господином и госпожой Магистрами. С господином Рентгеном по первости не рискнул: как-никак этот перец все карты насквозь видит, т.е. противник серьезный.
Комп, правда слегка притормаживал, подвисал, немотивированно не давал переключать активные окна (держал Марьяж фактически always-on-top). Но впечатления от качественной игры это-таки не испортило.
А утром жена сказала, что компьютер чего-то не загружается, какого-то ключа требует...
Смотрю, и точно - вешается при загрузке фирменное системное сообщение (*):
"Внимание!!! При проверке на данном компьютере обнаружено нелицензионное программное обеспечение. Для продолжения работы просим Вас ввести код активации либо для его получения нажать на пиктограмму желтого ключа"
Перезагрузка в безопасном режиме: результат - ноль.
Из досовских продуктов дома - только разделочная ДОСка, на которой хлеб да мясо режем....
Нажимаю пиктограмму - выплывает следующее сообщение:
"Для получения активационного ключа просим отправить СМС-сообщение xdama на номер 4449".
Как писал классик, я через это сразу же почуял хамство.
Обзвонил своих грамотных приятелей, заручился обещанием помощи, для убогих и - вперед!
Сообщение на искомый номер вернулось ответом на латинице: "Посланный Вами код - неверен. Просим повторить его еще раз".
Для полноты ощущений повторяю, и тут же звоню своему сотовому оператору с вопросом, кому принадлежит номер 4449. Данный номер, как оказалось, был зарегистрирован на службу, предоставляющую платные игры и стоимость отправки СМС на него составляет 105,00 руб.
Переустановив Винду (опять же нелецензионную, да?), я, уже с научно-познавательными целями, перезапустил прилагаемый файл, что привело ровно к тому же результату с песнями, плясками, цыганами и маленьким симфоническим оркестром.
А самое что непонятное: Каспер при открытии файла даже не пискнул. При проверке (уже последующей, когда всем все стало уже ясно) тоже ничего криминального он не обнаружил. И при дальнейшем тестировании этого самого подозрительного архива в режиме он-лайн на их сайте сообщл, что с "объектами все в порядке". Вот тебе и на!
Я, конечно же, кинул им цидулю с описанием проблемы, теперь ждем-съ!

Вобщем, карты - зло, господа! Вспомните Германа!
Через мою такую любовь к азартным играм мне теперь придется переставлять невесть сколько программ, вытягивать кучу нужной и полезной инфы и, как полагается, форматировать диск.

И чего мне в юности крестики-нолики не глянулись...
_____________
Примечание:
* Когда я написал "вешается при загрузке фирменное системное сообщение", я ничуть не преувеличил: фирменный стиль Винды XP настолько хорошо был смоделирован, настолько гармонично, что на этом этапе это послужило доказательством в пользу того, что и до меня дотянулась загребущая рука Билла...

PS
Ответ от Каспера:
"game.exe - Trojan.Win32.VB.bav
Детектирование файла будет добавлено в следующее обновление."
Справедливость восторжествовала.
Только почему мне медаль не дали?!
Так что будьте бдительны. Берегите свои данные.

P.S. А где б найти подробное описание на этот вирь? Как его ручками-то корректно удалить?

Макс добавил 12.08.2007 в 03:55
Гм... Статистика не радует - http://www.virustotal.com/resultado....cb5d70fff2b602

Комментарии к сообщению (репутация)
SkaldNord , положительно: Я, дай бог памти в мае столкнулся с подобной заразой( и тоже Бомбермен). Только там смс просили отправить
prosha , положительно:

Последний раз редактировалось Макс; 12.08.2007 в 03:56.. Причина: Добавлено сообщение
Макс вне форума   Ответить с цитированием
Ответ

Метки
sms-вирус, win.lock, антивирусы, вирус, вирусы

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вирус сломал wi-fi? o_O Lenski Технические проблемы 24 14.02.2010 20:45
Вирус по ICQ arts84 Все о софте 30 17.04.2007 02:29
Вирус? Borya Технические проблемы 10 15.05.2005 00:05
Вирус? Аль нет? rosh Все о софте 10 13.12.2004 20:44
Воровство или вирус ??? Helly Обсуждение "Web Plus" 10 22.10.2004 14:40


Часовой пояс GMT +3, время: 03:28.


DSLnet.ru © 2004-2012. Все права защищены.
vBulletin® Version 3.8.2 Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Rambler's Top100 Рейтинг@Mail.ru