По Интернету разгуливает троянец - убийца файлов
#1
Отправлено 05 Июнь 2009 - 03:00
Компания «Доктор Веб» - российский разработчик средств информационной
безопасности – сообщает о появлении в Интернете опасного троянца,
уничтожающего все файлы и папки на зараженном компьютере. Первые
случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня
2009 года.
Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные
и съемные диски в порядке от Z до A. В найденном диске троянец
начинает удалять папки и файлы, перебирая их названия по алфавиту.
Если удалить файл не удается, к примеру, по причине его использования,
троянец делает его скрытым. Особая опасность заключается в том, что
действия Trojan.KillFiles.904 касаются всех файлов и папок,
находящихся на жестком диске компьютера жертвы, за исключением
системных. Таким образом, пользователь может потерять все данные на
дисках, при этом его операционная система продолжит свою работу.
Уникальным для современных вредоносных программ свойством данного
троянца является нанесение максимального урона пользователю. В отличие
от получивших в последнее время широкое распространение
программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо
финансовых вложениях и не пытается что-либо украсть – он просто
уничтожает всю информацию, хранящуюся в зараженной системе.
Можно предположить, что данный троянец, появившийся в начале июня 2009
года, продолжает традицию вируса Win32.HLLW.Kati, также известного как
Penetrator, который повреждает файлы форматов Microsoft Word и Excel,
а также фотографии и мультимедийные файлы. За тем исключением, что
Trojan.KillFiles.904 представляет еще большую угрозу.
В связи с опасностью инфицирования Trojan.KillFiles.904, компания
«Доктор Веб» рекомендует использовать исключительно лицензионное
антивирусное ПО с последними обновлениями.
Читать оригинал
#2
Отправлено 05 Июнь 2009 - 17:31
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#3
Отправлено 05 Июнь 2009 - 21:22
Что-то не нашел описание в базе. Но если мы его ловим, значит все хорошо.
А в новости недостаточное описание?
#4
Отправлено 05 Июнь 2009 - 21:46
Ну, например, нет механизма проникновения. То есть после "Проникая в компьютер жертвы..." и дальше - понятно, а вот откуда и как "Проникая в компьютер жертвы..." - нема.А в новости недостаточное описание?Что-то не нашел описание в базе. Но если мы его ловим, значит все хорошо.
Борис А. Чертенко aka Borka.
#5
Отправлено 05 Июнь 2009 - 23:01
#6
Отправлено 06 Июнь 2009 - 11:43
А когда он начинает удалять? Сразу после запуска или сидит некоторое время? Если выжидает, то какие способы сокрытия использует?
Сразу начинает удалять...
#7
Отправлено 06 Июнь 2009 - 16:23
Мда...А когда он начинает удалять? Сразу после запуска или сидит некоторое время? Если выжидает, то какие способы сокрытия использует?
Сразу начинает удалять...
#8
Отправлено 08 Июнь 2009 - 11:04
#9
Отправлено 08 Июнь 2009 - 11:16
#10
Отправлено 08 Июнь 2009 - 11:17
Сигнатуры в базе должны быть, раз зверь известен и ему дано имя Trojan.KillFiles.904пока нет сигнатур в базе - пути проникновения сабжа в студию.а то сами себе буратино окажемся
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#11
Отправлено 08 Июнь 2009 - 16:28
А думать в студии не принято?пока нет сигнатур в базе - пути проникновения сабжа в студию.а то сами себе буратино окажемся
R&D www.drweb.com
#12
Отправлено 08 Июнь 2009 - 19:29
#14
Отправлено 15 Июнь 2009 - 13:48
а то знаете ли, начни эта зараза появляться чаще и вся антивирусная иддилия рухнет...
запоминается худшее, вирусов было достаточно, но "поцелуй негра" не забыть...
#15
Отправлено 15 Июнь 2009 - 13:55
Есть идеи, как отличить юзера от сетупа или апдейт винды от вируса? Несигнатурно, разумеется.вот что интересует в первую очередь - можно ли как-то несигнатурно пресечь попытки вандалов. планы компании?
R&D www.drweb.com
#16
Отправлено 15 Июнь 2009 - 14:03
понятия не имею.Есть идеи, как отличить юзера от сетупа или апдейт винды от вируса? Несигнатурно, разумеется.вот что интересует в первую очередь - можно ли как-то несигнатурно пресечь попытки вандалов. планы компании?
из вопроса на вопрос понял, что дело дрянь и заниматься им никто не будет. так?
#17
Отправлено 15 Июнь 2009 - 16:28
А если так? В родительский контроль/другой модуль добавляем функцию контроля операций с файлами. Например, включение определённого режима при выходе в интернет (т.к. получить удаляющего всё трояна оттуда легче; ну для примера возьмём интренет ). Заранее в параметрах режима указываем файлы и папки, которые будут мониториться. При попытке удаления файлов и папок это действие будет блокироваться, а на экран выводиться та же самая капча. Да, скорее всего, это будет раздражать, но много ли автоматических операций удаления (самой ОС) происходит во время обычной работы за компьютером? Тем более, мы в настройках прописали определённые файлы и папки. А нам вышло предупреждение как раз о попытке удаления именно их. Так что возможно сработает.Цитата (сергейка @ 15/06/2009 14:48) *
вот что интересует в первую очередь - можно ли как-то несигнатурно пресечь попытки вандалов. планы компании?
Есть идеи, как отличить юзера от сетупа или апдейт винды от вируса? Несигнатурно, разумеется.
#18
Отправлено 15 Июнь 2009 - 16:39
#19
Отправлено 15 Июнь 2009 - 17:25
Ну все, кроме оповещения и так можно сделать. Защитить папки родконтролем и никакие килфайлз вам не страшны.sergeyko
А если так? В родительский контроль/другой модуль добавляем функцию контроля операций с файлами. Например, включение определённого режима при выходе в интернет (т.к. получить удаляющего всё трояна оттуда легче; ну для примера возьмём интренет ). Заранее в параметрах режима указываем файлы и папки, которые будут мониториться. При попытке удаления файлов и папок это действие будет блокироваться, а на экран выводиться та же самая капча. Да, скорее всего, это будет раздражать, но много ли автоматических операций удаления (самой ОС) происходит во время обычной работы за компьютером? Тем более, мы в настройках прописали определённые файлы и папки. А нам вышло предупреждение как раз о попытке удаления именно их. Так что возможно сработает.Цитата (сергейка @ 15/06/2009 14:48) *
вот что интересует в первую очередь - можно ли как-то несигнатурно пресечь попытки вандалов. планы компании?
Есть идеи, как отличить юзера от сетупа или апдейт винды от вируса? Несигнатурно, разумеется.
R&D www.drweb.com
#20
Отправлено 15 Июнь 2009 - 19:12
Так неинтересно. Если их текущим способом защитить, то к ним вообще доступа не будет. А так и доступ есть, и защита.Ну все, кроме оповещения и так можно сделать. Защитить папки родконтролем и никакие килфайлз вам не страшны.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых