Перейти к содержанию

Recommended Posts

Андрей-001
всё-таки sample нашли...

Да образцы, к примеру, были на флешке у моей жены, кто ж знал, что они нужны. А флешка на днях пропала, вместе с заразой. Хотя распространитель заразы стоит у неё на работе. Для дела можно пожертвовать и другой флешкой. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

chk

Если Вы лично не пострадали от действий данного человека, то это не значит что он ангел во плоти. На его совести много бед. И это по Вашему должно остаться безнаказанным? Если властям плевать на совершённое преступление когда их сначала не раз тыкали в него носом, то по Вашему надо "Если ударили по одной щеке, подставь другую?". Простите, но такие рассуждения говорят о том, что Вы не представляете себе масштабов его деятельности. Но, в данном случае я с Вами спорить не собираюсь. Меры которые были приняты кстати не противоречат и законам США. Это оценка юристов. Или Вы готовы смотреть как кто-то будет при Вас насиловать и грабить? Я лично мигом вспомню чему меня учили и дам отпор, пусть он и превысит пределы "необходимой самообороны". Зло в любой форме должно быть наказано.

Андрей-001

Я подобно Вам сомневаюсь в существовании такого кода, хотя могу с ходу дать пару вариантов кода который просто удалит все файлы с корня диска. Но вопрос в том, надо ли? Кто-то по ошибке применит и возникнет новый Trojan.KillFiles.905:). А нам оно надо? Я могу сходу написать одну единственную команду такого сорта для любой системы UNIX просто используя её стандартные команды, либо, для того чтобы никто не понял что это такое код на языке NSIS который только в следствии одной - двух ошибок вызовет такие последствия. И даже прицепить к этому чёрти-что сбоку бантик.:) Ну а толку? В своё время, лет 15 назад я работал на кафедре м.н.с, и один студент за полчаса накропал 20 строк кода на ассемблере повесившего всю сеть факультета. Мы полмесяца искали причину проблемы. Нашли. Наказанием ему было раз такой умный, то на сессии отвечать не по билету, а по полному курсу материала пройденного за данный семестр согласно учебному плану. Месяц ходил, ничего не сдал т.к. ничего не знал абсолютно. Достал весь факультет. Я ему предложил - "Нарисуйте график синуса и я Вам поставлю три, но при условии, что в следующем семестре будете учится нормально.". Он и это не смог. В итоге получил заслуженные два балла и был отчислен - к тому времени он уже все лимиты исчерпал - каждый вечер упрашивал не ставить ему в зачётку честно заработанную двойку, и по приказу декана сдавал уже комиссии из трёх преподавателей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А флешка на днях пропала, вместе с заразой.

Флеха нашлась, правда уже лечёная. Но никаким антивирусам неподсилу сделать папки видимыми. Это в их задачу не входит, видимо пока.

На картинке подчёркнуты красным те скрытые папки с известной начинкой, что появляются каждый раз, после возвращения флехи домой (конечно, этот трюк не нов).

А вот зелёными стрелочками помечены папки, которые после открытия (т.о. использования) на заражённом ноуте становятся скрытыми. Замечу, что папки со стрелочками изначально были видимыми - я сам создавал, а жена не могла изменить, потому что вообще не умеет менять атрибуты. Одиночные файлы ею на этот раз не открывались, может потому они остались все видимыми.

c89410f0d46c.jpg

Увы, хозяева заражённого ноута не хотят дать его полечить, потому собрать образцы не удастся.

Если что-то проклюнется, то сообщу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

При поподании образца кому-нибудь в руки хотелось бы его посмотреть.

а то, что много шуму по поводу данной версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WeeLka
Флеха нашлась, правда уже лечёная. Но никаким антивирусам неподсилу сделать папки видимыми. Это в их задачу не входит, видимо пока.

На картинке подчёркнуты красным те скрытые папки с известной начинкой, что появляются каждый раз, после возвращения флехи домой (конечно, этот трюк не нов).

А вот зелёными стрелочками помечены папки, которые после открытия (т.о. использования) на заражённом ноуте становятся скрытыми. Замечу, что папки со стрелочками изначально были видимыми - я сам создавал, а жена не могла изменить, потому что вообще не умеет менять атрибуты. Одиночные файлы ею на этот раз не открывались, может потому они остались все видимыми.

c89410f0d46c.jpg

Увы, хозяева заражённого ноута не хотят дать его полечить, потому собрать образцы не удастся.

Если что-то проклюнется, то сообщу.

Позвольте встрять.

Этот вирус был 11 числа отправлен в антивирусную контору и статус стоит "Ожидание ответа разработчиков"

Он не KillFile поскольку ничего ещё не было удалено или повреждено.

действует просто

1) отключает (нарушает функционирование) антивируса

2) что делает в системе не знаю

3) на флешку добавляет 2 скрытых файла, один просто avtorun.ini а второй в папке driver под именем usb

это всё что известно =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
был 11 числа отправлен в антивирусную контору

В какую именно?

один просто avtorun.ini а второй в папке driver под именем usb

Наверное, всё-таки autorun.inf и usb.exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WeeLka
В какую именно?

Наверное, всё-таки autorun.inf и usb.exe.

Доктор Вэб

и да эти файлы =) абсолютно верно.

Если будет информация поделитесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

Да, под такое определение способа запуска с пару сотен "злодеев" попадают. И некоторым уже по нескольку лет. Будем надеяться, что зараза известная, и излечимая. Вопрос сколько труда на это уйдёт...

P.S.

Кстати, не по теме, но по факту - тот же Symantec например, упрямо удаляет плугин SmartLaunch v0.4 (да и v0.5 так же) для Far Manager, вернее его DLL. Как только я её не прятал.:) Плюнул, добавил в исключения, не трогает. Знаю, ложное срабатывание, но исходников плугина (с 2006 года автор его забросил видать) вряд ли кто представляет где знает где искать "бегаютЪ, как Неуловимый Джо"...:) Может и этот, "убийца файлов" из этой оперы? Эдакий Летучий Голландец из которого сделали пугало типа "а-ля гибрид Неуловимого Джо с Синей Бородой и чёртом в одном флаконе" по принципу "И так сойдёт, чем страшнее, тем лучше!"? Как и этот свежеиспечённый бред http://www.securitylab.ru/news/381436.php. Я уже на них реагирую по принципу ОБС - "Одна Бабка Сказала"...:)

Отредактировал VictorVG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WeeLka
В какую именно?

Наверное, всё-таки autorun.inf и usb.exe.

"Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: BackDoor.IRC.Sdbot.4902

Спасибо за сотрудничество!"

Фигня это оказалась

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

WeeLka

Ну, хоть проснулись.:) У Symantec и компании эта зараза с 2002 года известна под именами: IRC-Sdbot [McAfee], Backdoor.IRC.SdBot [Kaspersky], BKDR_SDBOT.B [Trend], Troj/Sdbot-B [sophos], Win32.SdBot.14176 [CA]. Крепко спят в DrWeb. Дошло как до утки - на третьи сутки, тьфу, на седьмом году.:D

Отредактировал VictorVG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WeeLka
WeeLka

Ну, хоть проснулись.:) У Symantec и компании эта зараза с 2002 года известна под именами: IRC-Sdbot [McAfee], Backdoor.IRC.SdBot [Kaspersky], BKDR_SDBOT.B [Trend], Troj/Sdbot-B [sophos], Win32.SdBot.14176 [CA]. Крепко спят в DrWeb. Дошло как до утки - на третьи сутки, тьфу, на седьмом году.:D

В списки спящих можно смело вносить Касперского и Панду. Они тоже не видели заразы ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ VictorVG:

Надсмеяться над продуктами других производителей рановато ещё пока.

1) Это может быть новая модификация того же Sdbot'a

2) В системе может сидеть руткит, который может запросто отфильтровать то, что антивирус получает от системы.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
WeeLka

Ну, хоть проснулись.:) У Symantec и компании эта зараза с 2002 года известна под именами: IRC-Sdbot [McAfee], Backdoor.IRC.SdBot [Kaspersky], BKDR_SDBOT.B [Trend], Troj/Sdbot-B [sophos], Win32.SdBot.14176 [CA]. Крепко спят в DrWeb. Дошло как до утки - на третьи сутки, тьфу, на седьмом году.:D

Вы точно уверены, что это именно тот зловред? Вы их побайтно лично сравнивали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

Alex_Goodwin

Чести лично его сверить не имел:), но как лаборатория DrWeb проверяет заразу - знаю по опыту. Они пару лет назад легендарный "Чернобыль" в упор признать не хотели. А на той сетке он сидел в товарных количествах - почти 7000 экземпляров.:D И эту заразу я сам в 2002 у людей из-под UNIX на сетке руками удалял. Имена файлов и способ заражение не изменились. Код - да, мог изменится. Но алгоритм не изменился, и ловится сия "радость" не по коду, а по алгоритму. Потому по факту это одна и та же дрянь, разве что в иной обёртке. Но список KNOWN VIRUSES надо пополнять, иначе не будет продаж, не будет и зарплаты. Вот и занимаются люди "статистикой".:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
av7ko

2 VictorVG

Они пару лет назад легендарный "Чернобыль" в упор признать не хотели.

Ещё летом 1998 года лечился от Чернобыля/CIH при помощи DrWeb 4 DOS+ADinf...

по теме:

Во всей этой шумихе/неразберихе, есть и положительная сторона!

В тот же день разместил на своём форуме частной кабельной сети эту новость, как важную тему, о появлении трояна, (до этого, на prima aprilis "зло пошутил" о распространении в сети Пенетратора/Kati), хотя смущало отсутствие техинфы, но должен отметить, что народ ОПЕРАТИВНО и в БОЛЬШОМ кол-ве стал обновлять антивирусные базы с ftp/http сервера, кол-во обращений возросло и стало более постоянным!

Предупреждён, значит вооружён! Как и в жизни необходимы маленькие стрессовые ситуации, для мобилизации организма/разума, ведь полное их отсутствие очень вредит здоровью! Иногда рядовым пользователям нужен "пинок", чтобы придать необходимое ускорение в направлении или "оплеуха" чтобы не спали за рулём, т. е. клавой!-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
Иногда рядовым пользователям нужен "пинок", чтобы придать необходимое ускорение в направлении или "оплеуха" чтобы не спали за рулём, т. е. клавой!-)

Что верно, то верно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VictorVG

av7ko

Разумно. Но иным людям и этого окажется мало.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Sawa26
      Я собственно из-за подобной проблемы сам занялся созданием своего сайта, потому что искать было бесполезно. Благо сейчас различных уроков и курсов достаточно много в открытом доступе, можно банально в первом попавшемся конструкторе сделать это все. Правда есть свои косяки, например, такие как вы говорите, долгая загрузка сайта, но она решает достаточно легко с помощью оптимизации изображения. Вот тут https://optipic.io/modules/#cms можете более подробно посмотреть, тут все зависит на чем сайт написан.
    • aleks87
      Казино Буи - http://bit.ly/BOOIcaZino 100% на первый депозит
       
    • burn_st
      Добрый день. Пытаюсь настроить обнаружение архивов с паролем. с zip архивами проблем нет. А вот архивы rar с паролем не обнаруживает. Подскажите, пожалуйста, в какую сторону копать.
    • SemenovaI
      Нет сейчас никакого кризиса что вы, но я все же подрабатываю и после работы. Выбрала Форекс, все же здесь самое реальное заработать средства. А мне нравится жить ни в чем себе не отказывая. Если и вы хотите попробовать свои силы на фондовом рынке, советую вот здесь https://webmastermaksim.ru/foreks/foreks-forum.html пройти регистрацию, это форекс форум. Лично я там общаюсь с трейдерами и узнаю много полезного о торговле на рынке. 
    • SemenovaI
      Я в Фейсбуке общаюсь со всеми родственниками, вполне нормальный портал. Там есть и месенджер можно как по телефону пообщаться. Я еще люблю сама открыточки делать поздравительные и родственникам отправлять, вот здесь много https://ru.depositphotos.com/stock-vectors.html классных изображений. Тут скачиваю и использую изображения и для написания постов, хочу стать известным блогером. 
×