AM_Bot

Вирусная рассылка в Skype

В этой теме 10 сообщений

5 октября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о массовой рассылке вредоносной программы с использованием Skype.

Многие пользователи популярной программы Skype получили от абонентов, добавленных в список контактов, сообщение, содержащее текст «это новый аватар вашего профиля?))» и короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки начинается загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляет вредоносная программа, добавленная в базы Dr.Web под имнем Trojan.Spamlink.1.

Данные угрозы уже известны специалистам «Доктор Веб», так что пользователям рекомендуется незамедлительно выполнить обновление вирусных баз.

Компания «Доктор Веб» призывает проявлять осторожность и не открывать архивы, загруженные по полученным в Skype гиперссылкам, даже если они присланы пользователями из списка контактов. В случае если вы стали жертвой данной вредоносной программы, выполните проверку вашей системы с использованием лечащей утилиты Dr.Web CureIt!.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спам начался со вчерашнего дня. Вчера одна разновидность вредоносной программы, сегодня другая. На момент полученного файла, Др.Веб не детектировал не вчера утром, не сегодня утром. https://www.virustotal.com/file/9f14e8ac255...sis/1349423314/

На момент получения файла (вчера и сегодня), детект был только у одного вендора (AntiVir).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

поправлю - спам начался в понедельник. Я отправил файло в ЛК, Битдефендер и доктору Доктора бодро отрапортовали, что оно им известно. Хрень была только в том, что известно то известно, да только не исправляло. И только апосля вмешательства более весомых фигур обещали поправить. Поправили и нет - честно - не проверял. Так что надписи - известна - советую не доверять, точнее верить в ее сакральную сущность: Известна, мы работаем, а вы обращайтесь к домашним специалистам - они помогут :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

разбор полетов -ибо здесь риски репутационные замешаны

komarov.jpg

дату фиксируем!

ticket auto resolver [[email protected]]Действия

Кому:

Aleksey Grebenyuk

4 октября 2012 г. 9:53

Уважаемый agr,

Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:

1) вирусная база Dr.Web на Вашем компьютере обновлена;

2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.

Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: BackDoor.IRC.NgrBot.42

Спасибо за сотрудничество.

To reсeive notifications in English, send a blank email to [email protected]

--

С уважением,

Служба вирусного мониторинга ООО "Доктор Веб"

То, что я имею пожизненый бан и эцих с гвоздями на ихнем форуме не оправдывает ТАКОЙ скорости реакции

То есть - в обработке тикетов есть тоже блек листинг :D

post-1278-1349555823_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
То есть - в обработке тикетов есть тоже блек листинг :D

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Первые зарегистрированные крики о помощи 28-29 сентября. Старый добрый нигербот (по-моему вообще без изменений), качающий примитивный спамер скайпа с поддержкой мультиязычности (да-да, перебрать процессы, найти окошко по имени дельфи класса и заслать туда месадж). Все это результировало обычно в скачку и установку ZeroAccess CLSID вариант с инфектом services.exe Dr.Web слоупочит как обычно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

да я как раз это и понимаю - это шутка такая была. Тем не менее - 4 октября все окай, а 5 сам Комаров признается, что еще не все готово.... Как то так, кривовато выглядит. Но 5 "пекут" новость про защиту.... Отличная иллюстрация про "защищенность" с помощью АВ имени Доктор Веб систем ДБО! Реакции компании в более суток и скорости вывода денег в 5 минут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Че вы пристали со своим VT, на нем даже некоторые антивирусы обновляются раз в году, когда в реале уже обновились давно.

Привет, Виталик! :D Здесь не НОД32 обсуждаем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поймал BackDoor.IRC.NgrBot.42 как дитё, через скайп.

Бодался целый вечер, вроде вычистил.

Из симптомов:

- заблокированы сайты kasperski.com, symantec.com, f-secure.com. DrWeb - доступен, но CureIt ничего не нашёл.

- периодически вываливается виндовое окно "NTVDM has stopped working". Вирь что-то мутит с консолью, причём криво.

- в %appdata%\local\ создаются хххx.exe файлы, где х- шестнадцатеричная цифра, размер одинаков, ~61К. Файлы сжатые каким-то пакером, но в памяти разворачиваются, и там находятся строки на многих языках "это твой новый аватар?))"

Что обнаружено:

- имплантируется в Explorer. Описалово DrWeb говорит, что и в другие процессы, но не заметил.

- из Explorer открывает TCP соединения по нескольким адресам, обнаружил 5:

199.7.176.154

176.9.192.131

87.255.51.229

213.165.71.142

63.223.107.62

Из них скачивает содержимое того самоого файла в аппдату, а так же обменивается командами, по 20-40 байт.

- в APPDATA создаёт логово в виде скрытого файла вроде Xdtekh.exe, размер >1M, который в dir не присутствует и даже TС его не видит.

У этого файла иконка скайпа.

Как убил:

- c помощью ipsec забанивал вышеуказанные адреса, один за одним. У виря, видимо, список. Мелкие файлы перестали создаваться

- натравил procmon на appdata, долго наблюдал. Активность по мелким файлам постоянная, по "логову" - только один раз заметил.

- из консоли сделал ren файлу-логову, тогда он стал виден в dir. Похоже, вирь как-то выводит его из листинга. Закинул его на онлайн-скан, ДрВеб обнаружил падлу, и сказал фамилию. Убил.

- перегрузил комп

Потом запустил уже NPE.exe - но Нортон ничего толком не нашёл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS