Перейти к содержанию

Recommended Posts

Андрей-001
всё-таки sample нашли...

Да образцы, к примеру, были на флешке у моей жены, кто ж знал, что они нужны. А флешка на днях пропала, вместе с заразой. Хотя распространитель заразы стоит у неё на работе. Для дела можно пожертвовать и другой флешкой. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

chk

Если Вы лично не пострадали от действий данного человека, то это не значит что он ангел во плоти. На его совести много бед. И это по Вашему должно остаться безнаказанным? Если властям плевать на совершённое преступление когда их сначала не раз тыкали в него носом, то по Вашему надо "Если ударили по одной щеке, подставь другую?". Простите, но такие рассуждения говорят о том, что Вы не представляете себе масштабов его деятельности. Но, в данном случае я с Вами спорить не собираюсь. Меры которые были приняты кстати не противоречат и законам США. Это оценка юристов. Или Вы готовы смотреть как кто-то будет при Вас насиловать и грабить? Я лично мигом вспомню чему меня учили и дам отпор, пусть он и превысит пределы "необходимой самообороны". Зло в любой форме должно быть наказано.

Андрей-001

Я подобно Вам сомневаюсь в существовании такого кода, хотя могу с ходу дать пару вариантов кода который просто удалит все файлы с корня диска. Но вопрос в том, надо ли? Кто-то по ошибке применит и возникнет новый Trojan.KillFiles.905:). А нам оно надо? Я могу сходу написать одну единственную команду такого сорта для любой системы UNIX просто используя её стандартные команды, либо, для того чтобы никто не понял что это такое код на языке NSIS который только в следствии одной - двух ошибок вызовет такие последствия. И даже прицепить к этому чёрти-что сбоку бантик.:) Ну а толку? В своё время, лет 15 назад я работал на кафедре м.н.с, и один студент за полчаса накропал 20 строк кода на ассемблере повесившего всю сеть факультета. Мы полмесяца искали причину проблемы. Нашли. Наказанием ему было раз такой умный, то на сессии отвечать не по билету, а по полному курсу материала пройденного за данный семестр согласно учебному плану. Месяц ходил, ничего не сдал т.к. ничего не знал абсолютно. Достал весь факультет. Я ему предложил - "Нарисуйте график синуса и я Вам поставлю три, но при условии, что в следующем семестре будете учится нормально.". Он и это не смог. В итоге получил заслуженные два балла и был отчислен - к тому времени он уже все лимиты исчерпал - каждый вечер упрашивал не ставить ему в зачётку честно заработанную двойку, и по приказу декана сдавал уже комиссии из трёх преподавателей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А флешка на днях пропала, вместе с заразой.

Флеха нашлась, правда уже лечёная. Но никаким антивирусам неподсилу сделать папки видимыми. Это в их задачу не входит, видимо пока.

На картинке подчёркнуты красным те скрытые папки с известной начинкой, что появляются каждый раз, после возвращения флехи домой (конечно, этот трюк не нов).

А вот зелёными стрелочками помечены папки, которые после открытия (т.о. использования) на заражённом ноуте становятся скрытыми. Замечу, что папки со стрелочками изначально были видимыми - я сам создавал, а жена не могла изменить, потому что вообще не умеет менять атрибуты. Одиночные файлы ею на этот раз не открывались, может потому они остались все видимыми.

c89410f0d46c.jpg

Увы, хозяева заражённого ноута не хотят дать его полечить, потому собрать образцы не удастся.

Если что-то проклюнется, то сообщу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

При поподании образца кому-нибудь в руки хотелось бы его посмотреть.

а то, что много шуму по поводу данной версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WeeLka
Флеха нашлась, правда уже лечёная. Но никаким антивирусам неподсилу сделать папки видимыми. Это в их задачу не входит, видимо пока.

На картинке подчёркнуты красным те скрытые папки с известной начинкой, что появляются каждый раз, после возвращения флехи домой (конечно, этот трюк не нов).

А вот зелёными стрелочками помечены папки, которые после открытия (т.о. использования) на заражённом ноуте становятся скрытыми. Замечу, что папки со стрелочками изначально были видимыми - я сам создавал, а жена не могла изменить, потому что вообще не умеет менять атрибуты. Одиночные файлы ею на этот раз не открывались, может потому они остались все видимыми.

c89410f0d46c.jpg

Увы, хозяева заражённого ноута не хотят дать его полечить, потому собрать образцы не удастся.

Если что-то проклюнется, то сообщу.

Позвольте встрять.

Этот вирус был 11 числа отправлен в антивирусную контору и статус стоит "Ожидание ответа разработчиков"

Он не KillFile поскольку ничего ещё не было удалено или повреждено.

действует просто

1) отключает (нарушает функционирование) антивируса

2) что делает в системе не знаю

3) на флешку добавляет 2 скрытых файла, один просто avtorun.ini а второй в папке driver под именем usb

это всё что известно =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
был 11 числа отправлен в антивирусную контору

В какую именно?

один просто avtorun.ini а второй в папке driver под именем usb

Наверное, всё-таки autorun.inf и usb.exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WeeLka
В какую именно?

Наверное, всё-таки autorun.inf и usb.exe.

Доктор Вэб

и да эти файлы =) абсолютно верно.

Если будет информация поделитесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

Да, под такое определение способа запуска с пару сотен "злодеев" попадают. И некоторым уже по нескольку лет. Будем надеяться, что зараза известная, и излечимая. Вопрос сколько труда на это уйдёт...

P.S.

Кстати, не по теме, но по факту - тот же Symantec например, упрямо удаляет плугин SmartLaunch v0.4 (да и v0.5 так же) для Far Manager, вернее его DLL. Как только я её не прятал.:) Плюнул, добавил в исключения, не трогает. Знаю, ложное срабатывание, но исходников плугина (с 2006 года автор его забросил видать) вряд ли кто представляет где знает где искать "бегаютЪ, как Неуловимый Джо"...:) Может и этот, "убийца файлов" из этой оперы? Эдакий Летучий Голландец из которого сделали пугало типа "а-ля гибрид Неуловимого Джо с Синей Бородой и чёртом в одном флаконе" по принципу "И так сойдёт, чем страшнее, тем лучше!"? Как и этот свежеиспечённый бред http://www.securitylab.ru/news/381436.php. Я уже на них реагирую по принципу ОБС - "Одна Бабка Сказала"...:)

Отредактировал VictorVG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WeeLka
В какую именно?

Наверное, всё-таки autorun.inf и usb.exe.

"Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: BackDoor.IRC.Sdbot.4902

Спасибо за сотрудничество!"

Фигня это оказалась

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

WeeLka

Ну, хоть проснулись.:) У Symantec и компании эта зараза с 2002 года известна под именами: IRC-Sdbot [McAfee], Backdoor.IRC.SdBot [Kaspersky], BKDR_SDBOT.B [Trend], Troj/Sdbot-B [sophos], Win32.SdBot.14176 [CA]. Крепко спят в DrWeb. Дошло как до утки - на третьи сутки, тьфу, на седьмом году.:D

Отредактировал VictorVG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WeeLka
WeeLka

Ну, хоть проснулись.:) У Symantec и компании эта зараза с 2002 года известна под именами: IRC-Sdbot [McAfee], Backdoor.IRC.SdBot [Kaspersky], BKDR_SDBOT.B [Trend], Troj/Sdbot-B [sophos], Win32.SdBot.14176 [CA]. Крепко спят в DrWeb. Дошло как до утки - на третьи сутки, тьфу, на седьмом году.:D

В списки спящих можно смело вносить Касперского и Панду. Они тоже не видели заразы ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ VictorVG:

Надсмеяться над продуктами других производителей рановато ещё пока.

1) Это может быть новая модификация того же Sdbot'a

2) В системе может сидеть руткит, который может запросто отфильтровать то, что антивирус получает от системы.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
WeeLka

Ну, хоть проснулись.:) У Symantec и компании эта зараза с 2002 года известна под именами: IRC-Sdbot [McAfee], Backdoor.IRC.SdBot [Kaspersky], BKDR_SDBOT.B [Trend], Troj/Sdbot-B [sophos], Win32.SdBot.14176 [CA]. Крепко спят в DrWeb. Дошло как до утки - на третьи сутки, тьфу, на седьмом году.:D

Вы точно уверены, что это именно тот зловред? Вы их побайтно лично сравнивали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

Alex_Goodwin

Чести лично его сверить не имел:), но как лаборатория DrWeb проверяет заразу - знаю по опыту. Они пару лет назад легендарный "Чернобыль" в упор признать не хотели. А на той сетке он сидел в товарных количествах - почти 7000 экземпляров.:D И эту заразу я сам в 2002 у людей из-под UNIX на сетке руками удалял. Имена файлов и способ заражение не изменились. Код - да, мог изменится. Но алгоритм не изменился, и ловится сия "радость" не по коду, а по алгоритму. Потому по факту это одна и та же дрянь, разве что в иной обёртке. Но список KNOWN VIRUSES надо пополнять, иначе не будет продаж, не будет и зарплаты. Вот и занимаются люди "статистикой".:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
av7ko

2 VictorVG

Они пару лет назад легендарный "Чернобыль" в упор признать не хотели.

Ещё летом 1998 года лечился от Чернобыля/CIH при помощи DrWeb 4 DOS+ADinf...

по теме:

Во всей этой шумихе/неразберихе, есть и положительная сторона!

В тот же день разместил на своём форуме частной кабельной сети эту новость, как важную тему, о появлении трояна, (до этого, на prima aprilis "зло пошутил" о распространении в сети Пенетратора/Kati), хотя смущало отсутствие техинфы, но должен отметить, что народ ОПЕРАТИВНО и в БОЛЬШОМ кол-ве стал обновлять антивирусные базы с ftp/http сервера, кол-во обращений возросло и стало более постоянным!

Предупреждён, значит вооружён! Как и в жизни необходимы маленькие стрессовые ситуации, для мобилизации организма/разума, ведь полное их отсутствие очень вредит здоровью! Иногда рядовым пользователям нужен "пинок", чтобы придать необходимое ускорение в направлении или "оплеуха" чтобы не спали за рулём, т. е. клавой!-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
Иногда рядовым пользователям нужен "пинок", чтобы придать необходимое ускорение в направлении или "оплеуха" чтобы не спали за рулём, т. е. клавой!-)

Что верно, то верно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

av7ko

Разумно. Но иным людям и этого окажется мало.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×