Перейти к содержанию
Shell

Trojan Winsock

Recommended Posts

Shell

Добрый день.

Если посчитаете что тему нужно переместить - сделайте пожалуйста.

В пятницу уже после 18 часов у нас товарищи впоймали Winsock.252 (по вируслисту). Симптомы - при заходе уже в домен надпись об отправке смс. Аську вирус угоняет и с юина начинается рассылка со ссылкой на gif файл. Аська при этом не запущена с этих компов. Похоже вирус не просто добавляется в загрузку, но и инжектит часть файлов. После удаления исполняемого файла и записи в рестре комп не грузится в нормальном режиме все равно. Экземпляр есть. Отправил в security response в пятницу. Ответа не пришло (даже о регистрации). Завтра, чую нутром будет весело. SEP не детектит вирус никак. Из вируслиста этот вирь увидели только Dr.Web и аваст. Описания вируса нет, увы.

Тикет завтра с утра сделаю в суппорте, но думаю ваша помощь совсем не лишней будет.

Кстати, в поиске натыкаюсь на многочисленные ссылки на вирус. Странно, что даже касперский его не видит (пусть извинит за слово "даже" меня суппорт, но вс мы знаем о локальности вирусов и реакции на их добавления в базу в зависимости от страны). Если нужен кому то экземпляр виря - напишите в ПМ, выдам но только для исследовательских целей.

P.S. Вру. каспер онлайн детектором определил

svcoost.exe - инфицирован Trojan-Ransom.Win32.BlueScreen.gn

KIS с базами от 26.09 - не видит, с 27.09 - успешно определил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Отправил в security response в пятницу. Ответа не пришло (даже о регистрации)

По GOLD ссылке отправляли? Из Карантина самого SEP отправляли? Проактивку пробовали включать на максимум на зараженных машинах? IPS установлена и включена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Кирилл, вирус не в карантине SEP. Сервер карантина не поднимался. Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

IPS настроена и включена. Срабатываний нет.

Только что отправил через голд.

[TRACKING]: Symantec Security Response Automation: Tracking #12926714

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

Не нужно отправлять по этой ссылке, это самая медленная обработка для тех у кого нет поддержки, нужно отправлять через BASIC или Essential в зависимости от уровня вашей поддержки как минимум - http://www.anti-malware.ru/forum/index.php?showtopic=4239

Если подозрительный файл есть его можно вручную добавть в Карантин на SEP клиенте и также отправить нам

Проактивку использовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Проактивка была включена, но по дефолту (Low)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Проактивка была включена, но по дефолту (Low)

Попробуйте выкрутить ползунок до 100, и посмотреть на реакцию SEP-а.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

получил ответ.

[CLOSING]: Symantec Security Response Automation: Tracking #12926714

We have analyzed your submission. The following is a report of our findings for each file you have submitted:

filename: svcoost.exe

machine: Machine

result: This file is detected as Trojan.Ransomlock.

Customer notes:

Trojan Winsock (Trojan-Ransom.Win32.BlueScreen.gn)

Developer notes:

svcoost.exe is a non-repairable threat.

Symantec is now building a new set of definitions to include the threat you have submitted. The approximate time to complete this process is one hour. We recommend checking the ftp site periodically over the next 60 to 90 minutes to download these definitions as soon as they are available.

и все же не весь функционал трояна описан http://www.symantec.com/security_response/...-99&tabid=2

я четко видел как с асек начинается рассылка ссылок на гифку. вроде других троянов не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone

http://www.securitylab.ru/news/385947.php

26.09.09

"Это новая троянская программа Trojan-Dropper.Win32.Smser.eb, разработанная на Visual Basic каким-то школьником или студентом. Она отображает картинку (в аттаче), и устанавливает в систему другую программу для кражи паролей, после чего самоудаляется", - пояснил ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк.

"Эта троянская программа уже добавлена в базы и будет детектироваться со следующими обновлениями", - добавил он.

Другой разработчик антивирусов - "Доктор Веб" называет данный вирус Trojan.Winlock.252.

"Заражая компьютер пользователя, Trojan.Winlock.252 блокирует доступ к системе, требуя отправить платное SMS на специальный номер. Кроме того, эта троянская программа является контейнером, который содержит вредоносный объект (так называемый "пинч"), который крадет все пароли, хранящиеся на компьютере жертвы, и пересылает их злоумышленникам", - говорит руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Ссылки приходящие по аське иемеют формат

никого не узнаёшь на этой фотке? гг))

http://www.tag4u.ru/img/-removed-. gif

заметно что фотка в фотошопе отредактирована или нет?

http://spice3g.ru/img/-removed-. gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • aleks87
      Форум Казино http://igrokicasino.forum.cool
      Форум игроков казино http://igrokicasino.forum.cool/
      Форум бездепозитных бонусов казино http://igrokicasino.forum.cool/
      Топ Форум онлайн казино http://igrokicasino.forum.cool/
    • Dilyaako
      можно вообще сделать ход конём - подарить самогонный аппарат начального уровня . будет чем заняться в декрете. даже можно будет продавать, хотя бы местным) качественные напитки всегда спрос иметь будут. ну и в целом хобби найти было бы неплохо, чтобы не заскучала)
    • alexkirilov2018
      Добро пожаловать на сайт! Портал новостей «Листай.ру» создан с целью отражения общественной новостной повестки в России и мире. У нас на сайте любой пользователь может ознакомиться со свежей и актуальной информацией по большинству значимых общественных тем в стране. Среди таких тем: Политика, экономика, пенсионные вопросы, ЖКХ, деньги, вопросы изменений в действующее законодательство РФ, дачные темы, спорт, техника и многое другое.
    • alexkirilov2018
      Наказывать нужно за расклейку таких вот украшений!
    • Gannadey
      Мы когда переехали в этот поселок, то тоже, само собой задавались этим вопросом. Так как работа у меня связана с интернетом, то мне бы хотелось, помимо дешевых тарифов и хорошего интернета, ещё и быстрое подключение. Полазил по сайтам провайдеров и фразочки типа " подключение в течении 3-4х дней" меня никак не устраивали. Но нашёл здесь https://it-yota.ru/uslugi/internet-mosoblast/dmitrovskij-rajon/poselok-nekrasovskij.html , что подключают в тот же день, глянул и на тарифы, условия и всё меня устроило. Подключили и вправду в тот же день, всё работает отлично. Сбоев и обрывов сети не было. 
×