Перейти к содержанию

Recommended Posts

AM_Bot

5 октября 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о массовой рассылке вредоносной программы с использованием Skype.

Многие пользователи популярной программы Skype получили от абонентов, добавленных в список контактов, сообщение, содержащее текст «это новый аватар вашего профиля?))» и короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки начинается загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляет вредоносная программа, добавленная в базы Dr.Web под имнем Trojan.Spamlink.1.

Данные угрозы уже известны специалистам «Доктор Веб», так что пользователям рекомендуется незамедлительно выполнить обновление вирусных баз.

Компания «Доктор Веб» призывает проявлять осторожность и не открывать архивы, загруженные по полученным в Skype гиперссылкам, даже если они присланы пользователями из списка контактов. В случае если вы стали жертвой данной вредоносной программы, выполните проверку вашей системы с использованием лечащей утилиты Dr.Web CureIt!.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military

Спам начался со вчерашнего дня. Вчера одна разновидность вредоносной программы, сегодня другая. На момент полученного файла, Др.Веб не детектировал не вчера утром, не сегодня утром. https://www.virustotal.com/file/9f14e8ac255...sis/1349423314/

На момент получения файла (вчера и сегодня), детект был только у одного вендора (AntiVir).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

поправлю - спам начался в понедельник. Я отправил файло в ЛК, Битдефендер и доктору Доктора бодро отрапортовали, что оно им известно. Хрень была только в том, что известно то известно, да только не исправляло. И только апосля вмешательства более весомых фигур обещали поправить. Поправили и нет - честно - не проверял. Так что надписи - известна - советую не доверять, точнее верить в ее сакральную сущность: Известна, мы работаем, а вы обращайтесь к домашним специалистам - они помогут :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

разбор полетов -ибо здесь риски репутационные замешаны

komarov.jpg

дату фиксируем!

ticket auto resolver [vms@rt-web.dev.drweb.com]Действия

Кому:

Aleksey Grebenyuk

4 октября 2012 г. 9:53

Уважаемый agr,

Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:

1) вирусная база Dr.Web на Вашем компьютере обновлена;

2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.

Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: BackDoor.IRC.NgrBot.42

Спасибо за сотрудничество.

To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com

--

С уважением,

Служба вирусного мониторинга ООО "Доктор Веб"

То, что я имею пожизненый бан и эцих с гвоздями на ихнем форуме не оправдывает ТАКОЙ скорости реакции

То есть - в обработке тикетов есть тоже блек листинг :D

post-1278-1349555823_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
То есть - в обработке тикетов есть тоже блек листинг :D

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Первые зарегистрированные крики о помощи 28-29 сентября. Старый добрый нигербот (по-моему вообще без изменений), качающий примитивный спамер скайпа с поддержкой мультиязычности (да-да, перебрать процессы, найти окошко по имени дельфи класса и заслать туда месадж). Все это результировало обычно в скачку и установку ZeroAccess CLSID вариант с инфектом services.exe Dr.Web слоупочит как обычно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

В RT-трекере этого точно нет - ибо обработка почти вся осуществляется роботом.

да я как раз это и понимаю - это шутка такая была. Тем не менее - 4 октября все окай, а 5 сам Комаров признается, что еще не все готово.... Как то так, кривовато выглядит. Но 5 "пекут" новость про защиту.... Отличная иллюстрация про "защищенность" с помощью АВ имени Доктор Веб систем ДБО! Реакции компании в более суток и скорости вывода денег в 5 минут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Че вы пристали со своим VT, на нем даже некоторые антивирусы обновляются раз в году, когда в реале уже обновились давно.

Привет, Виталик! :D Здесь не НОД32 обсуждаем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
q12

Поймал BackDoor.IRC.NgrBot.42 как дитё, через скайп.

Бодался целый вечер, вроде вычистил.

Из симптомов:

- заблокированы сайты kasperski.com, symantec.com, f-secure.com. DrWeb - доступен, но CureIt ничего не нашёл.

- периодически вываливается виндовое окно "NTVDM has stopped working". Вирь что-то мутит с консолью, причём криво.

- в %appdata%\local\ создаются хххx.exe файлы, где х- шестнадцатеричная цифра, размер одинаков, ~61К. Файлы сжатые каким-то пакером, но в памяти разворачиваются, и там находятся строки на многих языках "это твой новый аватар?))"

Что обнаружено:

- имплантируется в Explorer. Описалово DrWeb говорит, что и в другие процессы, но не заметил.

- из Explorer открывает TCP соединения по нескольким адресам, обнаружил 5:

199.7.176.154

176.9.192.131

87.255.51.229

213.165.71.142

63.223.107.62

Из них скачивает содержимое того самоого файла в аппдату, а так же обменивается командами, по 20-40 байт.

- в APPDATA создаёт логово в виде скрытого файла вроде Xdtekh.exe, размер >1M, который в dir не присутствует и даже TС его не видит.

У этого файла иконка скайпа.

Как убил:

- c помощью ipsec забанивал вышеуказанные адреса, один за одним. У виря, видимо, список. Мелкие файлы перестали создаваться

- натравил procmon на appdata, долго наблюдал. Активность по мелким файлам постоянная, по "логову" - только один раз заметил.

- из консоли сделал ren файлу-логову, тогда он стал виден в dir. Похоже, вирь как-то выводит его из листинга. Закинул его на онлайн-скан, ДрВеб обнаружил падлу, и сказал фамилию. Убил.

- перегрузил комп

Потом запустил уже NPE.exe - но Нортон ничего толком не нашёл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×