Trojan-Downloader.JS.Remora.w

[TANUKI 240]

Во че поймал Точнее не я, а каспер Только он и, соотвественно, F-Secure видят пока эту заразу.

AhnLab-V3 2007.10.20.0 2007.10.19 -

AntiVir 7.6.0.27 2007.10.19 -

Authentium 4.93.8 2007.10.19 -

Avast 4.7.1051.0 2007.10.19 -

AVG 7.5.0.488 2007.10.19 -

BitDefender 7.2 2007.10.19 -

CAT-QuickHeal 9.00 2007.10.19 -

ClamAV 0.91.2 2007.10.17 -

DrWeb 4.44.0.09170 2007.10.19 -

eSafe 7.0.15.0 2007.10.15 -

eTrust-Vet 31.2.5223 2007.10.19 -

Ewido 4.0 2007.10.19 -

FileAdvisor 1 2007.10.20 -

Fortinet 3.11.0.0 2007.10.19 -

F-Prot 4.3.2.48 2007.10.19 -

F-Secure 6.70.13030.0 2007.10.19 Trojan-Downloader.JS.Remora.w

Ikarus T3.1.1.12 2007.10.19 -

Kaspersky 7.0.0.125 2007.10.19 Trojan-Downloader.JS.Remora.w

McAfee 5145 2007.10.19 -

Microsoft 1.2908 2007.10.20 -

NOD32v2 2604 2007.10.19 -

Norman 5.80.02 2007.10.19 -

Panda 9.0.0.4 2007.10.19 -

Prevx1 V2 2007.10.20 -

Rising 19.45.42.00 2007.10.19 -

Sophos 4.22.0 2007.10.19 -

Sunbelt 2.2.907.0 2007.10.19 -

Symantec 10 2007.10.19 -

TheHacker 6.2.9.100 2007.10.19 -

VBA32 3.12.2.4 2007.10.19 -

VirusBuster 4.3.26:9 2007.10.19 -

Будет обЫдна, если фолс

Архив отправил на инбокс Vaber-у. У него есть доступ к секретной ветке - наверняка выложит в ней

[Vismand 0]

у меня нашел только что

удалено: троянская программа Trojan-Downloader.JS.Remora.w

Файл: C:Documents and SettingsВадимLocal SettingsApplication DataMozillaFirefoxProfilesmapkbq9f.defaultCache64846D62d01

[TANUKI 240]

Vismand

Где откопали?

[katbert 0]

Вчера я тоже столкнулся с этим зверем

Выцепил с заглавной страницы сайта, прогнал через VirusTotal

Его детектил АВК, F-Secure (что не удивительно), и Microsoft

Отослал в вирлаб АВК, не фолс ли это? К вечеру пришел ответ - не фолс.

Разослал Доктору, Eset, Trend, Symantec и пошел домой

С утра проверил почту - Доктор добавил его в базу как Worm.Sifiliz ,

а АВК после обновления баз стал детектить его как troyan-downloader.js.psyme.qf

А ответ из Symantec улыбнул:

Developer notes:

site.zip is a non extractable container file of type ZIP

Отправлю еше разок

[TANUKI 240]

katbert

ну Др.Вэб уже дня три как его определяет как сифилис

[SuperBrat 6]

katbert

ну Др.Вэб уже дня три как его определяет как сифилис

Уточнили сигнатуру, наверное.

[Dexter 20]

Хм.

Какой-то странный троян. У каспера сразу с буквы V начинается и только 05/10/07 http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

У доктора первое упоминание о Worm.Sifiliz нашел 18/09/07.

http://updates.drweb.com/

[TANUKI 240]

Вообще-то странное, если честно, определение трояна почему сифилис?

[Ego1st 95]

я недавно боролся с это заразой, там инсталируеться полно малвары после этого скрипта и комп мрет основательно.. и руткиты и парочка даунлодеров и т.д.

[Сергей Ильин 1538]

Какие сайты были им заражены?

[Dexter 20]

Какие сайты были им заражены?

http://www.anti-malware.ru/phpbb/viewtopic.php?p=26817#26817

Там много, но правда от 30/10/07.

Могло и поменяться.