Перейти к содержанию

Recommended Posts

Sergo

Сейчас в сети гуляет новость http://news.drweb.com/show/?c=5&lng=ru&i=361

Смущает что нет ничего кроме названия и действий вредоноса. Есть ли у кого-нибудь дополнительная информация об этом вирусе - способы распротранения, какие записи производит в реестре, в файловой системе и пр.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Sergo немного информации есть здесь - http://www.symantec.com/security_response/...-99&tabid=1. Но уверяю вас, ничего особенного в этом вирусе нет, таких десятки появляются каждый день и еще тысячи более опасных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Кирилл Керценбаум

Просто кое-кто обожает пиариться детектированием вирусов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergo

спасибо за информацию.

Вопрос : чем могут быть опаснее другие, если в этом случае мы получаем полную потерю всех данных.(Я конечно понимаю что можно восстановить, но опять же это зависит от способов удаления).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Восстановить можно только когда у вас резервная копия ваших данных есть (сама система не страдает - поэтому восстановление системы Windows здесь ничего не даст).

P.S.: Удивительно, что до сих пор такие трюки проходят вообще. Уже лет 10 одно и тоже, одно и тоже. Столько модификаций...: http://vms.drweb.com/search/?q=KillFiles

Это на самом деле значит, что основное его действие как тип либо не познаётся, либо выполняется системой без отказа, и надо каждый раз сигнатуры обновлять?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG
Вопрос : чем могут быть опаснее другие, если в этом случае мы получаем полную потерю всех данных.(Я конечно понимаю что можно восстановить, но опять же это зависит от способов удаления).

В принципе, данные если они не были перезаписаны восстановить можно. Вероятность восстановления путём считывания данных на другой том достаточно велика - до 70% - 80%. Это очень много. При физическом отказе накопителя вероятность восстановления данных иной раз не превышает пары процентов, но мне приходилось восстанавливать данные с таких накопителей. Другой вопрос - сколько это будет стоить: денег, времени и труда.

У меня возникает иной вопрос - источник информации о заразе. В своё время был такой товарищ Дима Лозинский со своим AIDSTEST. Тот то же работал сверхоперативно - появилась зараза, и максимум через пару минут (!) у Димы новая "мухобойка" готова. У фидошного народа тогда было к нему не мало вопросов. Ничего эта компания с очередными вирусами не напоминает? Почему пока молчат другие ведущие антивирусные конторы? Ведь вирус вряд ли появился в день сообщения о нём - на анализ его кода требуется несколько дней, плюс нужно пару дней написать утилиту для его удаления, пара - тройка дней пока его пришлют. Итого получаем оценочное время его появления конец мая - первые числа июня. Т.е. у антивирусных лабораторий была как минимум неделя. Времени достаточно. А все сообщения, а их Google выдал 82 результата с учётом фильтрации в итоге ссылаются на один первоисточник информации - http://news.drweb.com/. Я не понял - в связи с кризисом надо срочно поднять продажи Dr.Web 5.x?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Я не понял - в связи с кризисом надо срочно поднять продажи Dr.Web 5.x?

Нет, просто маркетинг видимо не знает других способов продвижения своих продуктов, только на практически бесполезных новостных поводах, от которых для пользователей, как я уже писал выше, больше вреда чем пользы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

Кирилл Керценбаум

Полностью согласен с Вами. Это сообщение парень процитировал на Ru-Board. Обидно, что приходится тратить время на такую ерунду и делать её анализ. Как будто у нас нет других забот. Вот когда мы с ребятами поймали Trojan-PSW.Win32.IEPass.a (Kaspersky AVP)/Trojan.PWS.Firefox.1 (DrWeb)/Trojan.PSW.IEPass (ClamAV) там действительно пришлось потратить время и силы для того чтобы разобраться с этим трояном отсылавшим пароли из браузеров на FTP злоумышленника в Атланте (США). Причём примерно 1/3 их это были пароли банковских аккаунтов и платёжных систем. Более того, после того как владелец трояна обнаружил что на его FTP удаляют файлы паролей и заливают к нему мусор, он изменил свой троян установив пароль на доступ к своему FTP. И насколько мне известно, несмотря на официальное письмо Управления "К" местная полиция получившая полную информацию о авторе-владельце трояна и пальцем не пошевелила. Хотя троян был им передан в полностью декодированном виде, включая декомпилированный скрипт управления и адрес сайта-приёмника вместе с данными владельца сайта.:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Мне как постороннему всё-таки не совсем ясно, в чём разница между всеми этими страшилками, на которые АВ-компании пиарятся. Когда можно что-то назвать 'полезной новостью', а другое 'вредным пиаром'? Троянцев, которые воруют пароли тоже ОЧЕНЬ много; что тут такого? А столько пустого шума до сих пор происходит по поводу Conficker'a? А потерять все свои данные - это ничего страшного, это 'ерунда', и всё такое. Боюсь, что простой пользователь (который даже не умеет сделать резервную копию своих данных и восстановить их) не совсем понимает, чем одно хуже другого. Проясните, пожалуйста...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А столько пустого шума до сих пор происходит по поводу Conficker'a?

Кто-то еще о нем вспоминает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Кто-то еще о нем вспоминает?

Ну, например, ещё третьего июня Guy Bunker (Symantec) в своём блоге: Conficker/Downadup continues to evolve.

Можно даже на русском, пожалуйста: Червь Conficker продолжает быстро распространяться.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

p2u

Вы правы - не специалист легко ошибётся в оценке опасности. Но тут есть чёткий признак - реальная опасность всегда будет чётко расписана, будут даны меры противодействия ей, а PR-опасность можно отличить по полному отсутствию техподробностей и рекомендуемых мер по обезвреживанию заразы. Зараза которую я привёл в пример была подробно исследована, передана различным группам экспертов и они проанализировав как использованный в ней скрип, так и сам исполняемый модуль, независимо подтвердили правильность нашего анализа. А PR-зараза попугает народ, её авторы заработают денег на летний отпуск на дорогом курорте и о ней все забудут. Думаю, что юристы не опровергнут мою оценку подобных "вирусов/троянов/сообщений об ИТ-угрозах" - это чистой воды мошенничество, и его авторов надо наказывать за него так же как и за любое другое аналогичное имущественное преступление, благо статья о мошенничестве, как о способе отъёма чужого имущества путём обмана жертвы имеется в законодательстве всех стран. И насколько я помню, Закон предусматривает, что ответственность за данное действие наступает если его исполнитель и/или его соучастник получает материальную выгоду от реализации обмана. А в данном случае выгода налицо - получение дополнительной прибыли путём стимуляции продажи продукта за счёт распространения заведомо ложных сведений. И за хозяевами DrWeb такое поведение наблюдается не в первый раз, увы...:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
И за хозяевами DrWeb такое поведение наблюдается не в первый раз, увы...

Ну что-ж, такой маркетинг у них... А ведь домохозяйки всему этому верят. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
получение дополнительной прибыли путём стимуляции продажи продукта за счёт распространения заведомо ложных сведений.

Давайте заодно посядим всех рекламщиков и маркетологов, а? ;)

P.S.1: Вы хотите сказать, что этого троянца нет в природе? Может быть просто техническое описание к нему ещё не готово? Но если он есть, то тогда предупреждать же надо, или нет?

P.S.2: Хочу напомнить, что Доктор Веб даже не говорит: Пользуйтесь только Доктором, а всего лишь:

«Доктор Веб» рекомендует использовать исключительно лицензионное антивирусное ПО с последними обновлениями.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
Более того, после того как владелец трояна обнаружил что на его FTP удаляют файлы паролей и заливают к нему мусор

Вы хоть осознали, что только что публично сознались в совершении преступления, которое называется НСД (несанкционированный доступ) и карается уголовным преследованием ? Тем более совершенным на территории США.

Непосредственно по теме топика.

Читайте первоисточник. http://forum.drweb.com/index.php?showtopic=280468

Там все хорошо видно. И даты и развитие и единственный пострадавший.

Отредактировал chk

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Больше в этом форуме понравилось, что помощи в лечении и устранении последствий немного, а вот коллизией с банком заинтересовались многие. Риторический вопрос напрашивается....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

[ Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троянец начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троянец делает его скрытым. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.

Уникальным для современных вредоносных программ свойством данного троянца является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе. ]

Тут я вижу наблюдается какое-то странное отношение к проблеме.

Давайте разберёмся по-порядку:

1-такой зловред появился недавно - это факт;

2-использованные папки он действительно скрывает (делает их скрытыми) - это факт;

3-распространяется на всевозможных USB Flash Drive, Card Drive и прочих USB-устройствах - это факт;

4-он пока работает тайно - не просит за приостановление своей работы SMS и $$$ - это факт;

5-он действительно разошёлся за короткое время по всему миру - это тоже факт. Я сам уже не раз с ним сталкивался.

Даже, если это какая-то новая популяция ранее известного зловреда, то наибольшего распространения он достигает именно сейчас, когда USB-устройства стали обыденностью. А работа по-тихому этому максимально способствует.

Какой же тут ПИАР. Это только констатация фактов. Если бы не этот антивирусный вендор написал об этом, то написал бы другой. Что других тоже бы обвиняли в пиаре? А где тогда обязательное следствие пиара - суперсредство? Его нет, значит и пиара нет. А зловред, набирающий обороты - есть.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
5-он действительно разошёлся за короткое время по всему миру - это тоже факт. Я сам уже не раз с ним сталкивался.

http://stat.drweb.com/

покажите пальцем, где он там есть ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

я бы проверил в базах конкурентов, если он там появился ранее новости - ИМХО, пиар. Пример - ПИАР в шоу Т. Кеосаяна. Много слов около темы, эскапады, призывы и советы, но не в тему от .... владельца Visa Gold :D

То есть - известный фильм вспоминая - "сам я Петра не видал...." (с)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
покажите пальцем, где он там есть ?
Лучше покажу вот сюда:

http://www.symantec.com/security_response/...-050816-0856-99

http://www.pctools.com/mrc/infections/id/Trojan.KillFiles/

http://www.scamtypes.com/wipeout-new-troja...r-computer.html

http://www.411-spyware.com/remove-trojan-killfiles (+ инструкция по ручному удалению)

http://www.threatexpert.com/threats/trojan...lfiles-sd6.html

http://www.spywareguide.com/product_show.php?id=1930

Ранние упоминания о другой разновидности Trojan.KillFiles или просто "тёзке" нового зловреда есть и у других вендоров.

Вот хотя бы навскидку

http://www.viruslist.com/en/viruses/encycl...a?virusid=37591

http://virusinfo.info/showthread.php?t=19862

Выходит, не совсем тёзка, а скорее брат х-юродный.

Ему даже картинку присвоили

50712886a1e7t.jpg См. тут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

На сайте Доктора делаю поиск "Trojan.KillFiles.904" по вирусной базе, результат: Не найдено ни одного документа, соответствующего Вашему запросу.

В базу на сайте пока не добавили описания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Вариант Penetrator, видимо; единственная цель - вандализм.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
Лучше покажу вот сюда:

http://www.symantec.com/security_response/...-050816-0856-99

http://www.pctools.com/mrc/infections/id/Trojan.KillFiles/

http://www.scamtypes.com/wipeout-new-troja...r-computer.html

http://www.411-spyware.com/remove-trojan-killfiles (инструкция по удалению)

http://www.threatexpert.com/threats/trojan...lfiles-sd6.html

http://www.spywareguide.com/product_show.php?id=1930

Ранние упоминания о другой разновидности Trojan.KillFiles или просто "тёзке" нового зловреда есть и у других вендоров.

вы хоть сами смотрите куда показываете ? первая же ссылка (Симантек) - Discovered: May 8, 2003.

троянские программы удаляющие файлы известны уже более 20 лет. если для вас это новость, значит вы или сотрудник DrWeb или школьник младших классов.

речь сейчас идет о конкретном варианте, вокруг которого построен странный пиар. когда вы говорите, что видите его широкое распространение, то приводите конкретные примеры. где их увидеть (статистические) я вам даже подсказал.

не можете подтвердить свой пункт 5, так попробуйте хотя бы доказать на примерах и фактах свой пункт 3 (распространение на USB)

Отредактировал chk

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Discovered: May 8, 2003.

Это первое упоминание. Кликните на красный квадратик ниже и текст рядом.

И см. параллельную тему.

значит вы или сотрудник DrWeb или школьник младших классов.

Тогда уж я ещё и агент американской разведки под прикрытием Symantec. :)

речь сейчас идет о конкретном варианте, вокруг которого построен странный пиар.

Пиар в этой теме - это OFFTOP. См. название темы и первый пост.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

На virusinfo пользователь появился сегодня, который говорит о пропаже всех файлов:

http://virusinfo.info/showthread.php?t=47503 сообщение №5.

Очень сильно это статистики, конечно, не поднимает, но всё же... И если я правильно понял, то тогда в сообщении №9 говорится, что всё-таки sample нашли...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×