Перейти к содержанию
Shell

Trojan Winsock

Recommended Posts

Shell

Добрый день.

Если посчитаете что тему нужно переместить - сделайте пожалуйста.

В пятницу уже после 18 часов у нас товарищи впоймали Winsock.252 (по вируслисту). Симптомы - при заходе уже в домен надпись об отправке смс. Аську вирус угоняет и с юина начинается рассылка со ссылкой на gif файл. Аська при этом не запущена с этих компов. Похоже вирус не просто добавляется в загрузку, но и инжектит часть файлов. После удаления исполняемого файла и записи в рестре комп не грузится в нормальном режиме все равно. Экземпляр есть. Отправил в security response в пятницу. Ответа не пришло (даже о регистрации). Завтра, чую нутром будет весело. SEP не детектит вирус никак. Из вируслиста этот вирь увидели только Dr.Web и аваст. Описания вируса нет, увы.

Тикет завтра с утра сделаю в суппорте, но думаю ваша помощь совсем не лишней будет.

Кстати, в поиске натыкаюсь на многочисленные ссылки на вирус. Странно, что даже касперский его не видит (пусть извинит за слово "даже" меня суппорт, но вс мы знаем о локальности вирусов и реакции на их добавления в базу в зависимости от страны). Если нужен кому то экземпляр виря - напишите в ПМ, выдам но только для исследовательских целей.

P.S. Вру. каспер онлайн детектором определил

svcoost.exe - инфицирован Trojan-Ransom.Win32.BlueScreen.gn

KIS с базами от 26.09 - не видит, с 27.09 - успешно определил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Отправил в security response в пятницу. Ответа не пришло (даже о регистрации)

По GOLD ссылке отправляли? Из Карантина самого SEP отправляли? Проактивку пробовали включать на максимум на зараженных машинах? IPS установлена и включена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Кирилл, вирус не в карантине SEP. Сервер карантина не поднимался. Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

IPS настроена и включена. Срабатываний нет.

Только что отправил через голд.

[TRACKING]: Symantec Security Response Automation: Tracking #12926714

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

Не нужно отправлять по этой ссылке, это самая медленная обработка для тех у кого нет поддержки, нужно отправлять через BASIC или Essential в зависимости от уровня вашей поддержки как минимум - http://www.anti-malware.ru/forum/index.php?showtopic=4239

Если подозрительный файл есть его можно вручную добавть в Карантин на SEP клиенте и также отправить нам

Проактивку использовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Проактивка была включена, но по дефолту (Low)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Проактивка была включена, но по дефолту (Low)

Попробуйте выкрутить ползунок до 100, и посмотреть на реакцию SEP-а.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

получил ответ.

[CLOSING]: Symantec Security Response Automation: Tracking #12926714

We have analyzed your submission. The following is a report of our findings for each file you have submitted:

filename: svcoost.exe

machine: Machine

result: This file is detected as Trojan.Ransomlock.

Customer notes:

Trojan Winsock (Trojan-Ransom.Win32.BlueScreen.gn)

Developer notes:

svcoost.exe is a non-repairable threat.

Symantec is now building a new set of definitions to include the threat you have submitted. The approximate time to complete this process is one hour. We recommend checking the ftp site periodically over the next 60 to 90 minutes to download these definitions as soon as they are available.

и все же не весь функционал трояна описан http://www.symantec.com/security_response/...-99&tabid=2

я четко видел как с асек начинается рассылка ссылок на гифку. вроде других троянов не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone

http://www.securitylab.ru/news/385947.php

26.09.09

"Это новая троянская программа Trojan-Dropper.Win32.Smser.eb, разработанная на Visual Basic каким-то школьником или студентом. Она отображает картинку (в аттаче), и устанавливает в систему другую программу для кражи паролей, после чего самоудаляется", - пояснил ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк.

"Эта троянская программа уже добавлена в базы и будет детектироваться со следующими обновлениями", - добавил он.

Другой разработчик антивирусов - "Доктор Веб" называет данный вирус Trojan.Winlock.252.

"Заражая компьютер пользователя, Trojan.Winlock.252 блокирует доступ к системе, требуя отправить платное SMS на специальный номер. Кроме того, эта троянская программа является контейнером, который содержит вредоносный объект (так называемый "пинч"), который крадет все пароли, хранящиеся на компьютере жертвы, и пересылает их злоумышленникам", - говорит руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Ссылки приходящие по аське иемеют формат

никого не узнаёшь на этой фотке? гг))

http://www.tag4u.ru/img/-removed-. gif

заметно что фотка в фотошопе отредактирована или нет?

http://spice3g.ru/img/-removed-. gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
    • Vvvyg
      Ну, хоть что-то полезное на форуме появилось ) Почистил.
    • akoK
      А куда все разбежались? Зашел, а тут все спамом затянуто.
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • PR55.RP55
      " 12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения. " " Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. " https://www.comss.ru/page.php?id=10384    
×