Перейти к содержанию
Shell

Trojan Winsock

Recommended Posts

Shell

Добрый день.

Если посчитаете что тему нужно переместить - сделайте пожалуйста.

В пятницу уже после 18 часов у нас товарищи впоймали Winsock.252 (по вируслисту). Симптомы - при заходе уже в домен надпись об отправке смс. Аську вирус угоняет и с юина начинается рассылка со ссылкой на gif файл. Аська при этом не запущена с этих компов. Похоже вирус не просто добавляется в загрузку, но и инжектит часть файлов. После удаления исполняемого файла и записи в рестре комп не грузится в нормальном режиме все равно. Экземпляр есть. Отправил в security response в пятницу. Ответа не пришло (даже о регистрации). Завтра, чую нутром будет весело. SEP не детектит вирус никак. Из вируслиста этот вирь увидели только Dr.Web и аваст. Описания вируса нет, увы.

Тикет завтра с утра сделаю в суппорте, но думаю ваша помощь совсем не лишней будет.

Кстати, в поиске натыкаюсь на многочисленные ссылки на вирус. Странно, что даже касперский его не видит (пусть извинит за слово "даже" меня суппорт, но вс мы знаем о локальности вирусов и реакции на их добавления в базу в зависимости от страны). Если нужен кому то экземпляр виря - напишите в ПМ, выдам но только для исследовательских целей.

P.S. Вру. каспер онлайн детектором определил

svcoost.exe - инфицирован Trojan-Ransom.Win32.BlueScreen.gn

KIS с базами от 26.09 - не видит, с 27.09 - успешно определил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Отправил в security response в пятницу. Ответа не пришло (даже о регистрации)

По GOLD ссылке отправляли? Из Карантина самого SEP отправляли? Проактивку пробовали включать на максимум на зараженных машинах? IPS установлена и включена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Кирилл, вирус не в карантине SEP. Сервер карантина не поднимался. Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

IPS настроена и включена. Срабатываний нет.

Только что отправил через голд.

[TRACKING]: Symantec Security Response Automation: Tracking #12926714

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

Не нужно отправлять по этой ссылке, это самая медленная обработка для тех у кого нет поддержки, нужно отправлять через BASIC или Essential в зависимости от уровня вашей поддержки как минимум - http://www.anti-malware.ru/forum/index.php?showtopic=4239

Если подозрительный файл есть его можно вручную добавть в Карантин на SEP клиенте и также отправить нам

Проактивку использовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Проактивка была включена, но по дефолту (Low)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Проактивка была включена, но по дефолту (Low)

Попробуйте выкрутить ползунок до 100, и посмотреть на реакцию SEP-а.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

получил ответ.

[CLOSING]: Symantec Security Response Automation: Tracking #12926714

We have analyzed your submission. The following is a report of our findings for each file you have submitted:

filename: svcoost.exe

machine: Machine

result: This file is detected as Trojan.Ransomlock.

Customer notes:

Trojan Winsock (Trojan-Ransom.Win32.BlueScreen.gn)

Developer notes:

svcoost.exe is a non-repairable threat.

Symantec is now building a new set of definitions to include the threat you have submitted. The approximate time to complete this process is one hour. We recommend checking the ftp site periodically over the next 60 to 90 minutes to download these definitions as soon as they are available.

и все же не весь функционал трояна описан http://www.symantec.com/security_response/...-99&tabid=2

я четко видел как с асек начинается рассылка ссылок на гифку. вроде других троянов не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone

http://www.securitylab.ru/news/385947.php

26.09.09

"Это новая троянская программа Trojan-Dropper.Win32.Smser.eb, разработанная на Visual Basic каким-то школьником или студентом. Она отображает картинку (в аттаче), и устанавливает в систему другую программу для кражи паролей, после чего самоудаляется", - пояснил ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк.

"Эта троянская программа уже добавлена в базы и будет детектироваться со следующими обновлениями", - добавил он.

Другой разработчик антивирусов - "Доктор Веб" называет данный вирус Trojan.Winlock.252.

"Заражая компьютер пользователя, Trojan.Winlock.252 блокирует доступ к системе, требуя отправить платное SMS на специальный номер. Кроме того, эта троянская программа является контейнером, который содержит вредоносный объект (так называемый "пинч"), который крадет все пароли, хранящиеся на компьютере жертвы, и пересылает их злоумышленникам", - говорит руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Ссылки приходящие по аське иемеют формат

никого не узнаёшь на этой фотке? гг))

http://www.tag4u.ru/img/-removed-. gif

заметно что фотка в фотошопе отредактирована или нет?

http://spice3g.ru/img/-removed-. gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
×