Shell

Trojan Winsock

В этой теме 9 сообщений

Добрый день.

Если посчитаете что тему нужно переместить - сделайте пожалуйста.

В пятницу уже после 18 часов у нас товарищи впоймали Winsock.252 (по вируслисту). Симптомы - при заходе уже в домен надпись об отправке смс. Аську вирус угоняет и с юина начинается рассылка со ссылкой на gif файл. Аська при этом не запущена с этих компов. Похоже вирус не просто добавляется в загрузку, но и инжектит часть файлов. После удаления исполняемого файла и записи в рестре комп не грузится в нормальном режиме все равно. Экземпляр есть. Отправил в security response в пятницу. Ответа не пришло (даже о регистрации). Завтра, чую нутром будет весело. SEP не детектит вирус никак. Из вируслиста этот вирь увидели только Dr.Web и аваст. Описания вируса нет, увы.

Тикет завтра с утра сделаю в суппорте, но думаю ваша помощь совсем не лишней будет.

Кстати, в поиске натыкаюсь на многочисленные ссылки на вирус. Странно, что даже касперский его не видит (пусть извинит за слово "даже" меня суппорт, но вс мы знаем о локальности вирусов и реакции на их добавления в базу в зависимости от страны). Если нужен кому то экземпляр виря - напишите в ПМ, выдам но только для исследовательских целей.

P.S. Вру. каспер онлайн детектором определил

svcoost.exe - инфицирован Trojan-Ransom.Win32.BlueScreen.gn

KIS с базами от 26.09 - не видит, с 27.09 - успешно определил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отправил в security response в пятницу. Ответа не пришло (даже о регистрации)

По GOLD ссылке отправляли? Из Карантина самого SEP отправляли? Проактивку пробовали включать на максимум на зараженных машинах? IPS установлена и включена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл, вирус не в карантине SEP. Сервер карантина не поднимался. Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

IPS настроена и включена. Срабатываний нет.

Только что отправил через голд.

[TRACKING]: Symantec Security Response Automation: Tracking #12926714

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

Не нужно отправлять по этой ссылке, это самая медленная обработка для тех у кого нет поддержки, нужно отправлять через BASIC или Essential в зависимости от уровня вашей поддержки как минимум - http://www.anti-malware.ru/forum/index.php?showtopic=4239

Если подозрительный файл есть его можно вручную добавть в Карантин на SEP клиенте и также отправить нам

Проактивку использовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Проактивка была включена, но по дефолту (Low)

Попробуйте выкрутить ползунок до 100, и посмотреть на реакцию SEP-а.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

получил ответ.

[CLOSING]: Symantec Security Response Automation: Tracking #12926714

We have analyzed your submission. The following is a report of our findings for each file you have submitted:

filename: svcoost.exe

machine: Machine

result: This file is detected as Trojan.Ransomlock.

Customer notes:

Trojan Winsock (Trojan-Ransom.Win32.BlueScreen.gn)

Developer notes:

svcoost.exe is a non-repairable threat.

Symantec is now building a new set of definitions to include the threat you have submitted. The approximate time to complete this process is one hour. We recommend checking the ftp site periodically over the next 60 to 90 minutes to download these definitions as soon as they are available.

и все же не весь функционал трояна описан http://www.symantec.com/security_response/...-99&tabid=2

я четко видел как с асек начинается рассылка ссылок на гифку. вроде других троянов не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://www.securitylab.ru/news/385947.php

26.09.09

"Это новая троянская программа Trojan-Dropper.Win32.Smser.eb, разработанная на Visual Basic каким-то школьником или студентом. Она отображает картинку (в аттаче), и устанавливает в систему другую программу для кражи паролей, после чего самоудаляется", - пояснил ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк.

"Эта троянская программа уже добавлена в базы и будет детектироваться со следующими обновлениями", - добавил он.

Другой разработчик антивирусов - "Доктор Веб" называет данный вирус Trojan.Winlock.252.

"Заражая компьютер пользователя, Trojan.Winlock.252 блокирует доступ к системе, требуя отправить платное SMS на специальный номер. Кроме того, эта троянская программа является контейнером, который содержит вредоносный объект (так называемый "пинч"), который крадет все пароли, хранящиеся на компьютере жертвы, и пересылает их злоумышленникам", - говорит руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ссылки приходящие по аське иемеют формат

никого не узнаёшь на этой фотке? гг))

http://www.tag4u.ru/img/-removed-. gif

заметно что фотка в фотошопе отредактирована или нет?

http://spice3g.ru/img/-removed-. gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • AM_Bot
      Совет округа Ислингтон, что на севере Лондона, признан виновным в нарушении защиты информации почти 90 тыс. человек. Чиновники не обеспечили безопасность транспортного приложения и теперь должны будут заплатить большой штраф, пишет газета Evening Standard. Читать далее
    • AM_Bot
      Недавно обнаруженный вымогатель скрывает свои компоненты внутри легитимных изображений. Таким образом вредоносу удается избежать обнаружения антивирусом. Читать далее
    • AM_Bot
      Сенсорные экраны и другие компоненты, часто заменяемые в смартфонах и планшетах, могут скрыть вредоносные чипы, способные предоставить злоумышленникам полный контроль над устройством. Читать далее
    • kvoter
      Уважаемые посетители и завсегдатаи  уважаемого Форума! Прошу совета вашего.Суть проблемы : В этом году приобрёл бюджетный ноутбук ASUS 541.До этого  времени пользовался обычным, уже старым ПК. Никаких смартфонов-айфонов не имею.Просто где-то лежит старый кнопочный мобильник....Пользуюсь. Роутер(UPVEL- UR309) подсоединил к PON-терминалу в обычной шлакобетонной квартире.(Нас "массово" переводили на оптоволокно). Примерно полгода назад обратил внимание на то,что индикатор Wi-Fi постоянно светится.Этот роутер я покупал в крупнейшей сети нашего города уже как два года тому назад про запас(цена устроила-низкая) и сразу решил,что никаким Wi-Fi пользоваться не буду. Проложил витые пары по квартирке и подключился к обычным сетевым портам на роутере. Но настроить мне ничего так и не удалось.Вызвал Специалиста от Главнейшего провайдера страны,который предоставляет услугу Интернета гражданам. Спец, примерно, около часа настраивал этот несчастный роутер.Отключил и Wi-Fi .Спасибо ему! Никак ничего и не светилось. Но вот уже как полгода, примерно, "зажегся" этот индикатор.Я звонил в техПоддержку UPVEL;своего Провайдера;техПоддерку компании MICROSOFT(у меня на машинках Лицензионная Win10.Да и всего мало-но Лицензия) Самое интересное-вот недавно вытащил из разъёмов Роутера все кабели:"огонёк" Wi-Fi продолжал светиться. И ответ был  мне от одного консультанта:"всё работает-ну и чУдно!И больше не беспокойте нас!" (Сразу скажу-с Некоторыми из СервисЦентров я знаком:ничего из другого, даже нового оборудования(я физ.лицо, ну или "частное", не починили,только за диагностику "содрали три шкуры"... И вызов Настройщика прилично теперь по цене стоит. Может -действительно на этот"глазок" забить? Жизнь ведь продолжается...
    • AM_Bot
      Хакеры из Китая обнаружили метод обхода блокировки iOS, позволяющий получить действующий ПИН-код от смартфона. Описание способа взлома разместил на своём канале популярный видеоблогер EverythingApplePro. Читать далее