AM_Bot

Вирусная рассылка в Skype

В этой теме 10 сообщений

5 октября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о массовой рассылке вредоносной программы с использованием Skype.

Многие пользователи популярной программы Skype получили от абонентов, добавленных в список контактов, сообщение, содержащее текст «это новый аватар вашего профиля?))» и короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки начинается загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляет вредоносная программа, добавленная в базы Dr.Web под имнем Trojan.Spamlink.1.

Данные угрозы уже известны специалистам «Доктор Веб», так что пользователям рекомендуется незамедлительно выполнить обновление вирусных баз.

Компания «Доктор Веб» призывает проявлять осторожность и не открывать архивы, загруженные по полученным в Skype гиперссылкам, даже если они присланы пользователями из списка контактов. В случае если вы стали жертвой данной вредоносной программы, выполните проверку вашей системы с использованием лечащей утилиты Dr.Web CureIt!.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спам начался со вчерашнего дня. Вчера одна разновидность вредоносной программы, сегодня другая. На момент полученного файла, Др.Веб не детектировал не вчера утром, не сегодня утром. https://www.virustotal.com/file/9f14e8ac255...sis/1349423314/

На момент получения файла (вчера и сегодня), детект был только у одного вендора (AntiVir).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

поправлю - спам начался в понедельник. Я отправил файло в ЛК, Битдефендер и доктору Доктора бодро отрапортовали, что оно им известно. Хрень была только в том, что известно то известно, да только не исправляло. И только апосля вмешательства более весомых фигур обещали поправить. Поправили и нет - честно - не проверял. Так что надписи - известна - советую не доверять, точнее верить в ее сакральную сущность: Известна, мы работаем, а вы обращайтесь к домашним специалистам - они помогут :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

разбор полетов -ибо здесь риски репутационные замешаны

komarov.jpg

дату фиксируем!

ticket auto resolver [[email protected]]Действия

Кому:

Aleksey Grebenyuk

4 октября 2012 г. 9:53

Уважаемый agr,

Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:

1) вирусная база Dr.Web на Вашем компьютере обновлена;

2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.

Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: BackDoor.IRC.NgrBot.42

Спасибо за сотрудничество.

To reсeive notifications in English, send a blank email to [email protected]

--

С уважением,

Служба вирусного мониторинга ООО "Доктор Веб"

То, что я имею пожизненый бан и эцих с гвоздями на ихнем форуме не оправдывает ТАКОЙ скорости реакции

То есть - в обработке тикетов есть тоже блек листинг :D

post-1278-1349555823_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
То есть - в обработке тикетов есть тоже блек листинг :D

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Первые зарегистрированные крики о помощи 28-29 сентября. Старый добрый нигербот (по-моему вообще без изменений), качающий примитивный спамер скайпа с поддержкой мультиязычности (да-да, перебрать процессы, найти окошко по имени дельфи класса и заслать туда месадж). Все это результировало обычно в скачку и установку ZeroAccess CLSID вариант с инфектом services.exe Dr.Web слоупочит как обычно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

да я как раз это и понимаю - это шутка такая была. Тем не менее - 4 октября все окай, а 5 сам Комаров признается, что еще не все готово.... Как то так, кривовато выглядит. Но 5 "пекут" новость про защиту.... Отличная иллюстрация про "защищенность" с помощью АВ имени Доктор Веб систем ДБО! Реакции компании в более суток и скорости вывода денег в 5 минут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Че вы пристали со своим VT, на нем даже некоторые антивирусы обновляются раз в году, когда в реале уже обновились давно.

Привет, Виталик! :D Здесь не НОД32 обсуждаем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поймал BackDoor.IRC.NgrBot.42 как дитё, через скайп.

Бодался целый вечер, вроде вычистил.

Из симптомов:

- заблокированы сайты kasperski.com, symantec.com, f-secure.com. DrWeb - доступен, но CureIt ничего не нашёл.

- периодически вываливается виндовое окно "NTVDM has stopped working". Вирь что-то мутит с консолью, причём криво.

- в %appdata%\local\ создаются хххx.exe файлы, где х- шестнадцатеричная цифра, размер одинаков, ~61К. Файлы сжатые каким-то пакером, но в памяти разворачиваются, и там находятся строки на многих языках "это твой новый аватар?))"

Что обнаружено:

- имплантируется в Explorer. Описалово DrWeb говорит, что и в другие процессы, но не заметил.

- из Explorer открывает TCP соединения по нескольким адресам, обнаружил 5:

199.7.176.154

176.9.192.131

87.255.51.229

213.165.71.142

63.223.107.62

Из них скачивает содержимое того самоого файла в аппдату, а так же обменивается командами, по 20-40 байт.

- в APPDATA создаёт логово в виде скрытого файла вроде Xdtekh.exe, размер >1M, который в dir не присутствует и даже TС его не видит.

У этого файла иконка скайпа.

Как убил:

- c помощью ipsec забанивал вышеуказанные адреса, один за одним. У виря, видимо, список. Мелкие файлы перестали создаваться

- натравил procmon на appdata, долго наблюдал. Активность по мелким файлам постоянная, по "логову" - только один раз заметил.

- из консоли сделал ren файлу-логову, тогда он стал виден в dir. Похоже, вирь как-то выводит его из листинга. Закинул его на онлайн-скан, ДрВеб обнаружил падлу, и сказал фамилию. Убил.

- перегрузил комп

Потом запустил уже NPE.exe - но Нортон ничего толком не нашёл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301    
    • Openair
    • kirito
      Здравствуйте, из основного что вызывает сильное пищевое отравление можно отметить  алкоголь; грибы; бытовые химикаты; пищевые токсикоинфекции. Вот статья https://otravlenie.su/klinicheskaya-simptomatika/silnoe-otravlenie-213 там подробно про каждый из видов
    • talant
      Здравствуйте, подскажите пожалуйста что может вызвать сильное пищевое отравление?
    • sa074
      И проверить клавиатуру) Ну временно заменить на другую.