Перейти к содержанию

Recommended Posts

AM_Bot

5 октября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о массовой рассылке вредоносной программы с использованием Skype.

Многие пользователи популярной программы Skype получили от абонентов, добавленных в список контактов, сообщение, содержащее текст «это новый аватар вашего профиля?))» и короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки начинается загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляет вредоносная программа, добавленная в базы Dr.Web под имнем Trojan.Spamlink.1.

Данные угрозы уже известны специалистам «Доктор Веб», так что пользователям рекомендуется незамедлительно выполнить обновление вирусных баз.

Компания «Доктор Веб» призывает проявлять осторожность и не открывать архивы, загруженные по полученным в Skype гиперссылкам, даже если они присланы пользователями из списка контактов. В случае если вы стали жертвой данной вредоносной программы, выполните проверку вашей системы с использованием лечащей утилиты Dr.Web CureIt!.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military

Спам начался со вчерашнего дня. Вчера одна разновидность вредоносной программы, сегодня другая. На момент полученного файла, Др.Веб не детектировал не вчера утром, не сегодня утром. https://www.virustotal.com/file/9f14e8ac255...sis/1349423314/

На момент получения файла (вчера и сегодня), детект был только у одного вендора (AntiVir).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

поправлю - спам начался в понедельник. Я отправил файло в ЛК, Битдефендер и доктору Доктора бодро отрапортовали, что оно им известно. Хрень была только в том, что известно то известно, да только не исправляло. И только апосля вмешательства более весомых фигур обещали поправить. Поправили и нет - честно - не проверял. Так что надписи - известна - советую не доверять, точнее верить в ее сакральную сущность: Известна, мы работаем, а вы обращайтесь к домашним специалистам - они помогут :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

разбор полетов -ибо здесь риски репутационные замешаны

komarov.jpg

дату фиксируем!

ticket auto resolver [vms@rt-web.dev.drweb.com]Действия

Кому:

Aleksey Grebenyuk

4 октября 2012 г. 9:53

Уважаемый agr,

Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:

1) вирусная база Dr.Web на Вашем компьютере обновлена;

2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.

Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: BackDoor.IRC.NgrBot.42

Спасибо за сотрудничество.

To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com

--

С уважением,

Служба вирусного мониторинга ООО "Доктор Веб"

То, что я имею пожизненый бан и эцих с гвоздями на ихнем форуме не оправдывает ТАКОЙ скорости реакции

То есть - в обработке тикетов есть тоже блек листинг :D

post-1278-1349555823_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
То есть - в обработке тикетов есть тоже блек листинг :D

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Первые зарегистрированные крики о помощи 28-29 сентября. Старый добрый нигербот (по-моему вообще без изменений), качающий примитивный спамер скайпа с поддержкой мультиязычности (да-да, перебрать процессы, найти окошко по имени дельфи класса и заслать туда месадж). Все это результировало обычно в скачку и установку ZeroAccess CLSID вариант с инфектом services.exe Dr.Web слоупочит как обычно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

да я как раз это и понимаю - это шутка такая была. Тем не менее - 4 октября все окай, а 5 сам Комаров признается, что еще не все готово.... Как то так, кривовато выглядит. Но 5 "пекут" новость про защиту.... Отличная иллюстрация про "защищенность" с помощью АВ имени Доктор Веб систем ДБО! Реакции компании в более суток и скорости вывода денег в 5 минут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Че вы пристали со своим VT, на нем даже некоторые антивирусы обновляются раз в году, когда в реале уже обновились давно.

Привет, Виталик! :D Здесь не НОД32 обсуждаем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
q12

Поймал BackDoor.IRC.NgrBot.42 как дитё, через скайп.

Бодался целый вечер, вроде вычистил.

Из симптомов:

- заблокированы сайты kasperski.com, symantec.com, f-secure.com. DrWeb - доступен, но CureIt ничего не нашёл.

- периодически вываливается виндовое окно "NTVDM has stopped working". Вирь что-то мутит с консолью, причём криво.

- в %appdata%\local\ создаются хххx.exe файлы, где х- шестнадцатеричная цифра, размер одинаков, ~61К. Файлы сжатые каким-то пакером, но в памяти разворачиваются, и там находятся строки на многих языках "это твой новый аватар?))"

Что обнаружено:

- имплантируется в Explorer. Описалово DrWeb говорит, что и в другие процессы, но не заметил.

- из Explorer открывает TCP соединения по нескольким адресам, обнаружил 5:

199.7.176.154

176.9.192.131

87.255.51.229

213.165.71.142

63.223.107.62

Из них скачивает содержимое того самоого файла в аппдату, а так же обменивается командами, по 20-40 байт.

- в APPDATA создаёт логово в виде скрытого файла вроде Xdtekh.exe, размер >1M, который в dir не присутствует и даже TС его не видит.

У этого файла иконка скайпа.

Как убил:

- c помощью ipsec забанивал вышеуказанные адреса, один за одним. У виря, видимо, список. Мелкие файлы перестали создаваться

- натравил procmon на appdata, долго наблюдал. Активность по мелким файлам постоянная, по "логову" - только один раз заметил.

- из консоли сделал ren файлу-логову, тогда он стал виден в dir. Похоже, вирь как-то выводит его из листинга. Закинул его на онлайн-скан, ДрВеб обнаружил падлу, и сказал фамилию. Убил.

- перегрузил комп

Потом запустил уже NPE.exe - но Нортон ничего толком не нашёл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×