Trojan-Downloader.JS.Remora.w - Помощь - Форумы Anti-Malware.ru Перейти к содержанию
TANUKI

Trojan-Downloader.JS.Remora.w

Recommended Posts

TANUKI

Во че поймал :) Точнее не я, а каспер :) Только он и, соотвественно, F-Secure видят пока эту заразу.

AhnLab-V3 2007.10.20.0 2007.10.19 -

AntiVir 7.6.0.27 2007.10.19 -

Authentium 4.93.8 2007.10.19 -

Avast 4.7.1051.0 2007.10.19 -

AVG 7.5.0.488 2007.10.19 -

BitDefender 7.2 2007.10.19 -

CAT-QuickHeal 9.00 2007.10.19 -

ClamAV 0.91.2 2007.10.17 -

DrWeb 4.44.0.09170 2007.10.19 -

eSafe 7.0.15.0 2007.10.15 -

eTrust-Vet 31.2.5223 2007.10.19 -

Ewido 4.0 2007.10.19 -

FileAdvisor 1 2007.10.20 -

Fortinet 3.11.0.0 2007.10.19 -

F-Prot 4.3.2.48 2007.10.19 -

F-Secure 6.70.13030.0 2007.10.19 Trojan-Downloader.JS.Remora.w

Ikarus T3.1.1.12 2007.10.19 -

Kaspersky 7.0.0.125 2007.10.19 Trojan-Downloader.JS.Remora.w

McAfee 5145 2007.10.19 -

Microsoft 1.2908 2007.10.20 -

NOD32v2 2604 2007.10.19 -

Norman 5.80.02 2007.10.19 -

Panda 9.0.0.4 2007.10.19 -

Prevx1 V2 2007.10.20 -

Rising 19.45.42.00 2007.10.19 -

Sophos 4.22.0 2007.10.19 -

Sunbelt 2.2.907.0 2007.10.19 -

Symantec 10 2007.10.19 -

TheHacker 6.2.9.100 2007.10.19 -

VBA32 3.12.2.4 2007.10.19 -

VirusBuster 4.3.26:9 2007.10.19 -

Будет обЫдна, если фолс :)

Архив отправил на инбокс Vaber-у. У него есть доступ к секретной ветке - наверняка выложит в ней :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vismand

у меня нашел только что

удалено: троянская программа Trojan-Downloader.JS.Remora.w

Файл: C:Documents and SettingsВадимLocal SettingsApplication DataMozillaFirefoxProfilesmapkbq9f.defaultCache64846D62d01

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Vismand

Где откопали? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Вчера я тоже столкнулся с этим зверем

Выцепил с заглавной страницы сайта, прогнал через VirusTotal

Его детектил АВК, F-Secure (что не удивительно), и Microsoft

Отослал в вирлаб АВК, не фолс ли это? К вечеру пришел ответ - не фолс.

Разослал Доктору, Eset, Trend, Symantec и пошел домой

С утра проверил почту - Доктор добавил его в базу как Worm.Sifiliz :D,

а АВК после обновления баз стал детектить его как troyan-downloader.js.psyme.qf

А ответ из Symantec улыбнул:

Developer notes:

site.zip is a non extractable container file of type ZIP

Отправлю еше разок

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

katbert

ну Др.Вэб уже дня три как его определяет как сифилис ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
katbert

ну Др.Вэб уже дня три как его определяет как сифилис ;)

Уточнили сигнатуру, наверное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Хм.

Какой-то странный троян. У каспера сразу с буквы V начинается и только 05/10/07 http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

У доктора первое упоминание о Worm.Sifiliz нашел 18/09/07.

http://updates.drweb.com/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Вообще-то странное, если честно, определение трояна :) почему сифилис?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

я недавно боролся с это заразой, там инсталируеться полно малвары после этого скрипта и комп мрет основательно.. и руткиты и парочка даунлодеров и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Какие сайты были им заражены?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
    • santy
      RP55, есть у тебя ТГ?
    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
×