Перейти к содержанию

Recommended Posts

AM_Bot

5 октября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о массовой рассылке вредоносной программы с использованием Skype.

Многие пользователи популярной программы Skype получили от абонентов, добавленных в список контактов, сообщение, содержащее текст «это новый аватар вашего профиля?))» и короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки начинается загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляет вредоносная программа, добавленная в базы Dr.Web под имнем Trojan.Spamlink.1.

Данные угрозы уже известны специалистам «Доктор Веб», так что пользователям рекомендуется незамедлительно выполнить обновление вирусных баз.

Компания «Доктор Веб» призывает проявлять осторожность и не открывать архивы, загруженные по полученным в Skype гиперссылкам, даже если они присланы пользователями из списка контактов. В случае если вы стали жертвой данной вредоносной программы, выполните проверку вашей системы с использованием лечащей утилиты Dr.Web CureIt!.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military

Спам начался со вчерашнего дня. Вчера одна разновидность вредоносной программы, сегодня другая. На момент полученного файла, Др.Веб не детектировал не вчера утром, не сегодня утром. https://www.virustotal.com/file/9f14e8ac255...sis/1349423314/

На момент получения файла (вчера и сегодня), детект был только у одного вендора (AntiVir).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

поправлю - спам начался в понедельник. Я отправил файло в ЛК, Битдефендер и доктору Доктора бодро отрапортовали, что оно им известно. Хрень была только в том, что известно то известно, да только не исправляло. И только апосля вмешательства более весомых фигур обещали поправить. Поправили и нет - честно - не проверял. Так что надписи - известна - советую не доверять, точнее верить в ее сакральную сущность: Известна, мы работаем, а вы обращайтесь к домашним специалистам - они помогут :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

разбор полетов -ибо здесь риски репутационные замешаны

komarov.jpg

дату фиксируем!

ticket auto resolver [[email protected]]Действия

Кому:

Aleksey Grebenyuk

4 октября 2012 г. 9:53

Уважаемый agr,

Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:

1) вирусная база Dr.Web на Вашем компьютере обновлена;

2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.

Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: BackDoor.IRC.NgrBot.42

Спасибо за сотрудничество.

To reсeive notifications in English, send a blank email to [email protected]

--

С уважением,

Служба вирусного мониторинга ООО "Доктор Веб"

То, что я имею пожизненый бан и эцих с гвоздями на ихнем форуме не оправдывает ТАКОЙ скорости реакции

То есть - в обработке тикетов есть тоже блек листинг :D

post-1278-1349555823_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
То есть - в обработке тикетов есть тоже блек листинг :D

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Первые зарегистрированные крики о помощи 28-29 сентября. Старый добрый нигербот (по-моему вообще без изменений), качающий примитивный спамер скайпа с поддержкой мультиязычности (да-да, перебрать процессы, найти окошко по имени дельфи класса и заслать туда месадж). Все это результировало обычно в скачку и установку ZeroAccess CLSID вариант с инфектом services.exe Dr.Web слоупочит как обычно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

да я как раз это и понимаю - это шутка такая была. Тем не менее - 4 октября все окай, а 5 сам Комаров признается, что еще не все готово.... Как то так, кривовато выглядит. Но 5 "пекут" новость про защиту.... Отличная иллюстрация про "защищенность" с помощью АВ имени Доктор Веб систем ДБО! Реакции компании в более суток и скорости вывода денег в 5 минут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Че вы пристали со своим VT, на нем даже некоторые антивирусы обновляются раз в году, когда в реале уже обновились давно.

Привет, Виталик! :D Здесь не НОД32 обсуждаем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
q12

Поймал BackDoor.IRC.NgrBot.42 как дитё, через скайп.

Бодался целый вечер, вроде вычистил.

Из симптомов:

- заблокированы сайты kasperski.com, symantec.com, f-secure.com. DrWeb - доступен, но CureIt ничего не нашёл.

- периодически вываливается виндовое окно "NTVDM has stopped working". Вирь что-то мутит с консолью, причём криво.

- в %appdata%\local\ создаются хххx.exe файлы, где х- шестнадцатеричная цифра, размер одинаков, ~61К. Файлы сжатые каким-то пакером, но в памяти разворачиваются, и там находятся строки на многих языках "это твой новый аватар?))"

Что обнаружено:

- имплантируется в Explorer. Описалово DrWeb говорит, что и в другие процессы, но не заметил.

- из Explorer открывает TCP соединения по нескольким адресам, обнаружил 5:

199.7.176.154

176.9.192.131

87.255.51.229

213.165.71.142

63.223.107.62

Из них скачивает содержимое того самоого файла в аппдату, а так же обменивается командами, по 20-40 байт.

- в APPDATA создаёт логово в виде скрытого файла вроде Xdtekh.exe, размер >1M, который в dir не присутствует и даже TС его не видит.

У этого файла иконка скайпа.

Как убил:

- c помощью ipsec забанивал вышеуказанные адреса, один за одним. У виря, видимо, список. Мелкие файлы перестали создаваться

- натравил procmon на appdata, долго наблюдал. Активность по мелким файлам постоянная, по "логову" - только один раз заметил.

- из консоли сделал ren файлу-логову, тогда он стал виден в dir. Похоже, вирь как-то выводит его из листинга. Закинул его на онлайн-скан, ДрВеб обнаружил падлу, и сказал фамилию. Убил.

- перегрузил комп

Потом запустил уже NPE.exe - но Нортон ничего толком не нашёл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×