Trojan.siggen.2002 как распространяется?
#41
Отправлено 13 Январь 2009 - 15:10
#42
Отправлено 13 Январь 2009 - 15:19
Проверьте эти файлы на http://www.virustotal.com/ , если drweb не видит - ссылка "Прислать вирус" вверху страницы. Здесь приведите номера из ответов вирлаба. Пожалуйста, всегда так делайте, когда пишете о вирусах на этом форуме.Кому интересно все 4 файла у мну есть в зипе. Могу выслать подарочек если хотите
rawvolt, та же просьба.
#43
Отправлено 13 Январь 2009 - 15:26
http://www.virustotal.com/ru/analisis/dcac...f8e5fee77c00974
#44
Отправлено 13 Январь 2009 - 15:26
Проверьте эти файлы на http://www.virustotal.com/ , если drweb не видит - ссылка "Прислать вирус" вверху страницы. Здесь приведите номера из ответов вирлаба. Пожалуйста, всегда так делайте, когда пишете о вирусах на этом форуме.Кому интересно все 4 файла у мну есть в зипе. Могу выслать подарочек если хотите
rawvolt, та же просьба.
а зачем virustotal?только что проверил drweb его видит определяет 2 файла как Trojan.Siggen.2002 и Win32.Hllw.Shadow.based!
но странно что там граф. файлы, я пока только сталкивался с .dll и иными системными расширениями (не помню просто)!!!
щас вышлю!!!!
#45
Отправлено 13 Январь 2009 - 15:33
#46
Отправлено 13 Январь 2009 - 15:37
#47
Отправлено 13 Январь 2009 - 15:45
TECHNICAL FILE INFORMATION :
File Type Description : Portable Executable (PE)
Entry Point RVA: 0000456Bh
Entry Point RAW: 0000396Bh
FILE CHARACTERISTICS :
File is executable (i.e. no unresolved external references)
COFF line numbers have been removed
COFF symbol table entries for local symbols have been removed
Machine based on 32-bit-word architecture
File is a DLL
Видите? Файл этот дллка И все 4 точ такиеже в анализе
А вот вам информация о файле У нормального должно хоть чтото быть в инфе У этого чистый лист
\Inetpub\iyyg[1].png
on Microsoft Windows XP Workstation version 5.2600
No file version information available
Creation Date : 13/01/2009 14:27:11
Last Modif. Date : 12/01/2009 15:51:54
Last Access Date : 13/01/2009 14:43:07
FileSize : 4380 bytes ( 4.277 KB, 0.004 MB )
ТАК ЧТО Я СЧИТАЮ ЧТО АНТИВИРИ ДОЛЖНЫ НАХОДИТЬ ЧТОТО ВО ВСЕХ 4 ФАЙЛАХ
#48
Отправлено 13 Январь 2009 - 15:52
Вот вам анализ одного из 4 файлов Но такая структура у всех 4 файлов ЧТо наводит на подозрение
TECHNICAL FILE INFORMATION :
File Type Description : Portable Executable (PE)
Entry Point RVA: 0000456Bh
Entry Point RAW: 0000396Bh
FILE CHARACTERISTICS :
File is executable (i.e. no unresolved external references)
COFF line numbers have been removed
COFF symbol table entries for local symbols have been removed
Machine based on 32-bit-word architecture
File is a DLL
Видите? Файл этот дллка И все 4 точ такиеже в анализе
А вот вам информация о файле У нормального должно хоть чтото быть в инфе У этого чистый лист
\Inetpub\iyyg[1].png
on Microsoft Windows XP Workstation version 5.2600
No file version information available
Creation Date : 13/01/2009 14:27:11
Last Modif. Date : 12/01/2009 15:51:54
Last Access Date : 13/01/2009 14:43:07
FileSize : 4380 bytes ( 4.277 KB, 0.004 MB )
ТАК ЧТО Я СЧИТАЮ ЧТО АНТИВИРИ ДОЛЖНЫ НАХОДИТЬ ЧТОТО ВО ВСЕХ 4 ФАЙЛАХ
Если по признакам DLL и нет FileInfo начать ловить, то юзеры взвоют. Это совершенно недостаточные критерии.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#49
Отправлено 13 Январь 2009 - 15:53
найден кем? на virustotal файлы надо проверять по одному. Я Вас просил отправить подозрительные файлы в вирлаб доктора, Вы это сделали? лучше с результатами анализа virustotal .Из 4 файлов вирус найден только в файле размером 167 324 Хотя те файлы при анализе их содержимого очень и очень подозрительные
и уберите ссылку на вирусы (возможно) с форума.
#50
Отправлено 13 Январь 2009 - 15:55
только те файлы, которых drweb не видита зачем virustotal?только что проверил drweb его видит определяет 2 файла как Trojan.Siggen.2002 и Win32.Hllw.Shadow.based!
щас вышлю!!!!
#51
Отправлено 13 Январь 2009 - 15:56
Я не буду спорить Скажу только одно Для меня это 100%-достаточный критерий Тем более что графический ну никак не должен быть исполняемым!Если по признакам DLL и нет FileInfo начать ловить, то юзеры взвоют. Это совершенно недостаточные критерии.
Второе Не я один так считаю
Третье Каспер у меня на все 4 файла матюкался
#52
Отправлено 13 Январь 2009 - 16:30
Антивирь убрал Хочу увидеть что дальше будет
#53
Отправлено 13 Январь 2009 - 17:49
Кстати, если запустить сканер удаленно в ES , то так же ошибка чтения dllэто в логе спайдера (spidernt.log)? сканер должен был получить доступ к файлу.Я вычислил файл с вирусом, просматривая логи ДрВеба и найдя там строчку "C:\WINNT\system32\nklghqkb.dll - ошибка чтения!" (имя dll-ки уникально для каждого компа.
#54
Отправлено 13 Январь 2009 - 17:58
Какой сканер - GUI или Энерпрайз?Кстати, если запутить сканер удаленно в ES , то так же ошибка чтения dll
Борис А. Чертенко aka Borka.
#55
Отправлено 13 Январь 2009 - 18:30
ЭнтерпрайзКакой сканер - GUI или Энерпрайз?
#56
Отправлено 13 Январь 2009 - 20:13
ПРОВЕРЯЙТЕ ВСЕ. УДАЛЯЙТЕ ВСЕ. ПОМНИЕТ ЧТО ФЛЭШКА ПОГУБИТ ЭТОТ МИР!!!
P.S. мои эксперименты с доступами к файлам в папке \Temporary Internet Files\Content.IE5\ не привели к положительным результатам. Вирусы все равно пробираются. Ставьте файервол. Или закрывайте службы на 135 137,138,139 445 портах
#57
Отправлено 13 Январь 2009 - 21:43
Тогда понятно, откуда ошибка - насколько мне помнится, в Энтерпрайз-сканере нет Шилда. А если проверить GUI-сканером?ЭнтерпрайзКакой сканер - GUI или Энерпрайз?
Борис А. Чертенко aka Borka.
#58
Отправлено 13 Январь 2009 - 21:46
А при чем тут это? Если вирус приходит с флешки...P.S. мои эксперименты с доступами к файлам в папке \Temporary Internet Files\Content.IE5\ не привели к положительным результатам. Вирусы все равно пробираются. Ставьте файервол. Или закрывайте службы на 135 137,138,139 445 портах
Борис А. Чертенко aka Borka.
#59
Отправлено 13 Январь 2009 - 22:33
А при чем тут это? Если вирус приходит с флешки...P.S. мои эксперименты с доступами к файлам в папке \Temporary Internet Files\Content.IE5\ не привели к положительным результатам. Вирусы все равно пробираются. Ставьте файервол. Или закрывайте службы на 135 137,138,139 445 портах
Дело в том что вирус приходит не только с флэшки. Он заражает систему как с флэшки так и через дыру в сетевом сервисе винды. При атаке из сети в папку :\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\
пролазят те 4 файла о которых я писал выше. При этом если в сетке эпидемия, то если не поставить файервол или отключить службы работающие на 135 137,138,139 445 порту (все сразу или в какой другой вариации) то все начинай сначала. Вобщем лезет через все щели.
#60
Отправлено 13 Январь 2009 - 22:36
Так тогда проще сетевой кабель вынуть...Дело в том что вирус приходит не только с флэшки. Он заражает систему как с флэшки так и через дыру в сетевом сервисе винды. При атаке из сети в папку :\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\А при чем тут это? Если вирус приходит с флешки...P.S. мои эксперименты с доступами к файлам в папке \Temporary Internet Files\Content.IE5\ не привели к положительным результатам. Вирусы все равно пробираются. Ставьте файервол. Или закрывайте службы на 135 137,138,139 445 портах
пролазят те 4 файла о которых я писал выше. При этом если в сетке эпидемия, то если не поставить файервол или отключить службы работающие на 135 137,138,139 445 порту (все сразу или в какой другой вариации) то все начинай сначала. Вобщем лезет через все щели.
Борис А. Чертенко aka Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых