Отправил
Trojan.siggen.2002 как распространяется?
Автор
_Sandra_
, янв 08 2009 17:33
65 ответов в этой теме
#42
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 15:19
Проверьте эти файлы на http://www.virustotal.com/ , если drweb не видит - ссылка "Прислать вирус" вверху страницы. Здесь приведите номера из ответов вирлаба. Пожалуйста, всегда так делайте, когда пишете о вирусах на этом форуме.Кому интересно все 4 файла у мну есть в зипе. Могу выслать подарочек если хотите
rawvolt, та же просьба.
#43
KillerBean
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 15:26
Закинул zip с 4 файлами и проверил. Вот ссылка. Я такой результат уже видел
http://www.virustotal.com/ru/analisis/dcac...f8e5fee77c00974
http://www.virustotal.com/ru/analisis/dcac...f8e5fee77c00974
#44
rawvolt
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 15:26
Проверьте эти файлы на http://www.virustotal.com/ , если drweb не видит - ссылка "Прислать вирус" вверху страницы. Здесь приведите номера из ответов вирлаба. Пожалуйста, всегда так делайте, когда пишете о вирусах на этом форуме.Кому интересно все 4 файла у мну есть в зипе. Могу выслать подарочек если хотите
rawvolt, та же просьба.
а зачем virustotal?только что проверил drweb его видит определяет 2 файла как Trojan.Siggen.2002 и Win32.Hllw.Shadow.based!
но странно что там граф. файлы, я пока только сталкивался с .dll и иными системными расширениями (не помню просто)!!!
щас вышлю!!!!
#45
_Sandra_
-
- Posters
- 57 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 15:33
Заплатка от мелкософта (Windows2000-KB957097-x86-RUS.EXE и Windows2000-KB958644-x86-RUS.EXE) решает только часть проблемы, а именно. До них заразные файлы появлялись от 2 процессов (SYSTEM и services.exe). А после заплаток остался только один путь - через SYSTEM
#46
KillerBean
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 15:37
Из 4 файлов вирус найден только в файле размером 167 324 
Хотя те файлы при анализе их содержимого очень и очень подозрительные Они совершенно не графические более Того По содержимому они помойму исполняемые Кто разбирается проверьте Скачать пробуйте здесь ССЫЛКА УБРАНА Если кого заинтересует в личку Файл называется 1.zip
Хотя те файлы при анализе их содержимого очень и очень подозрительные Они совершенно не графические более Того По содержимому они помойму исполняемые Кто разбирается проверьте Скачать пробуйте здесь ССЫЛКА УБРАНА Если кого заинтересует в личку Файл называется 1.zip
#47
KillerBean
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 15:45
Вот вам анализ одного из 4 файлов Но такая структура у всех 4 файлов ЧТо наводит на подозрение
TECHNICAL FILE INFORMATION :
File Type Description : Portable Executable (PE)
Entry Point RVA: 0000456Bh
Entry Point RAW: 0000396Bh
FILE CHARACTERISTICS :
File is executable (i.e. no unresolved external references)
COFF line numbers have been removed
COFF symbol table entries for local symbols have been removed
Machine based on 32-bit-word architecture
File is a DLL
Видите? Файл этот дллка И все 4 точ такиеже в анализе
А вот вам информация о файле У нормального должно хоть чтото быть в инфе У этого чистый лист
\Inetpub\iyyg[1].png
on Microsoft Windows XP Workstation version 5.2600
No file version information available
Creation Date : 13/01/2009 14:27:11
Last Modif. Date : 12/01/2009 15:51:54
Last Access Date : 13/01/2009 14:43:07
FileSize : 4380 bytes ( 4.277 KB, 0.004 MB )
ТАК ЧТО Я СЧИТАЮ ЧТО АНТИВИРИ ДОЛЖНЫ НАХОДИТЬ ЧТОТО ВО ВСЕХ 4 ФАЙЛАХ
TECHNICAL FILE INFORMATION :
File Type Description : Portable Executable (PE)
Entry Point RVA: 0000456Bh
Entry Point RAW: 0000396Bh
FILE CHARACTERISTICS :
File is executable (i.e. no unresolved external references)
COFF line numbers have been removed
COFF symbol table entries for local symbols have been removed
Machine based on 32-bit-word architecture
File is a DLL
Видите? Файл этот дллка И все 4 точ такиеже в анализе
А вот вам информация о файле У нормального должно хоть чтото быть в инфе У этого чистый лист
\Inetpub\iyyg[1].png
on Microsoft Windows XP Workstation version 5.2600
No file version information available
Creation Date : 13/01/2009 14:27:11
Last Modif. Date : 12/01/2009 15:51:54
Last Access Date : 13/01/2009 14:43:07
FileSize : 4380 bytes ( 4.277 KB, 0.004 MB )
ТАК ЧТО Я СЧИТАЮ ЧТО АНТИВИРИ ДОЛЖНЫ НАХОДИТЬ ЧТОТО ВО ВСЕХ 4 ФАЙЛАХ
#48
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 13 Январь 2009 - 15:52
Вот вам анализ одного из 4 файлов Но такая структура у всех 4 файлов ЧТо наводит на подозрение
TECHNICAL FILE INFORMATION :
File Type Description : Portable Executable (PE)
Entry Point RVA: 0000456Bh
Entry Point RAW: 0000396Bh
FILE CHARACTERISTICS :
File is executable (i.e. no unresolved external references)
COFF line numbers have been removed
COFF symbol table entries for local symbols have been removed
Machine based on 32-bit-word architecture
File is a DLL
Видите? Файл этот дллка И все 4 точ такиеже в анализе
А вот вам информация о файле У нормального должно хоть чтото быть в инфе У этого чистый лист
\Inetpub\iyyg[1].png
on Microsoft Windows XP Workstation version 5.2600
No file version information available
Creation Date : 13/01/2009 14:27:11
Last Modif. Date : 12/01/2009 15:51:54
Last Access Date : 13/01/2009 14:43:07
FileSize : 4380 bytes ( 4.277 KB, 0.004 MB )
ТАК ЧТО Я СЧИТАЮ ЧТО АНТИВИРИ ДОЛЖНЫ НАХОДИТЬ ЧТОТО ВО ВСЕХ 4 ФАЙЛАХ
Если по признакам DLL и нет FileInfo начать ловить, то юзеры взвоют. Это совершенно недостаточные критерии.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#49
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 15:53
найден кем? на virustotal файлы надо проверять по одному. Я Вас просил отправить подозрительные файлы в вирлаб доктора, Вы это сделали? лучше с результатами анализа virustotal .Из 4 файлов вирус найден только в файле размером 167 324
и уберите ссылку на вирусы (возможно) с форума.
#50
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 15:55
только те файлы, которых drweb не видита зачем virustotal?только что проверил drweb его видит определяет 2 файла как Trojan.Siggen.2002 и Win32.Hllw.Shadow.based!
щас вышлю!!!!
#51
KillerBean
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 15:56
Я не буду спорить Скажу только одно Для меня это 100%-достаточный критерий Тем более что графический ну никак не должен быть исполняемым!Если по признакам DLL и нет FileInfo начать ловить, то юзеры взвоют. Это совершенно недостаточные критерии.
Второе Не я один так считаю
Третье Каспер у меня на все 4 файла матюкался
#52
KillerBean
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 16:30
Думаю дай я проверю флэшку . Проверил. Сидят голубчики и jwgkvsq.vmx и autorun.inf. Будем анализировать далее.
Антивирь убрал Хочу увидеть что дальше будет
. Проверил. Сидят голубчики и jwgkvsq.vmx и autorun.inf. Будем анализировать далее.Антивирь убрал Хочу увидеть что дальше будет
#53
Andrey_Kr
-
- Posters
- 666 Сообщений:
Advanced Member
Отправлено 13 Январь 2009 - 17:49
Кстати, если запустить сканер удаленно в ES , то так же ошибка чтения dllэто в логе спайдера (spidernt.log)? сканер должен был получить доступ к файлу.Я вычислил файл с вирусом, просматривая логи ДрВеба и найдя там строчку "C:\WINNT\system32\nklghqkb.dll - ошибка чтения!" (имя dll-ки уникально для каждого компа.
#54
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 13 Январь 2009 - 17:58
Какой сканер - GUI или Энерпрайз?Кстати, если запутить сканер удаленно в ES , то так же ошибка чтения dll
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#55
Andrey_Kr
-
- Posters
- 666 Сообщений:
Advanced Member
Отправлено 13 Январь 2009 - 18:30
ЭнтерпрайзКакой сканер - GUI или Энерпрайз?
#56
KillerBean
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 20:13
Заразил себя с флэшки с работающим аутпостом. Флэшка как я уже писал заражена файлами autorun.inf который запускает файл jwgkvsq.vmx из папки "флэшка:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\" Файл и папка ессно скрытые. При включенном в системе режиме автозапуска со съемных (а может и не только) носителей происходит заражение в момент включения флэшки(при работающей системе или во время запуска системы со вставленной флэшкой). Тут же я не смог заходить на антивирусные сайты. Тут же в системе появилась служба про которую я писал выше. Тут же в папке windows\system32\ появился файл znaycdv.dll размером 167 324. При зараженной машине попытался удалить с флэшки файлы с вирусом. После перезагрузки все оказалось на своих местах. То есть флэшка была снова с вирусами.
ПРОВЕРЯЙТЕ ВСЕ. УДАЛЯЙТЕ ВСЕ. ПОМНИЕТ ЧТО ФЛЭШКА ПОГУБИТ ЭТОТ МИР!!!
P.S. мои эксперименты с доступами к файлам в папке \Temporary Internet Files\Content.IE5\ не привели к положительным результатам. Вирусы все равно пробираются. Ставьте файервол. Или закрывайте службы на 135 137,138,139 445 портах
ПРОВЕРЯЙТЕ ВСЕ. УДАЛЯЙТЕ ВСЕ. ПОМНИЕТ ЧТО ФЛЭШКА ПОГУБИТ ЭТОТ МИР!!!
P.S. мои эксперименты с доступами к файлам в папке \Temporary Internet Files\Content.IE5\ не привели к положительным результатам. Вирусы все равно пробираются. Ставьте файервол. Или закрывайте службы на 135 137,138,139 445 портах
#57
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 13 Январь 2009 - 21:43
Тогда понятно, откуда ошибка - насколько мне помнится, в Энтерпрайз-сканере нет Шилда. А если проверить GUI-сканером?ЭнтерпрайзКакой сканер - GUI или Энерпрайз?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#58
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 13 Январь 2009 - 21:46
А при чем тут это? Если вирус приходит с флешки...P.S. мои эксперименты с доступами к файлам в папке \Temporary Internet Files\Content.IE5\ не привели к положительным результатам. Вирусы все равно пробираются. Ставьте файервол. Или закрывайте службы на 135 137,138,139 445 портах
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#59
KillerBean
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 13 Январь 2009 - 22:33
А при чем тут это? Если вирус приходит с флешки...P.S. мои эксперименты с доступами к файлам в папке \Temporary Internet Files\Content.IE5\ не привели к положительным результатам. Вирусы все равно пробираются. Ставьте файервол. Или закрывайте службы на 135 137,138,139 445 портах
Дело в том что вирус приходит не только с флэшки. Он заражает систему как с флэшки так и через дыру в сетевом сервисе винды. При атаке из сети в папку :\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\
пролазят те 4 файла о которых я писал выше. При этом если в сетке эпидемия, то если не поставить файервол или отключить службы работающие на 135 137,138,139 445 порту (все сразу или в какой другой вариации) то все начинай сначала. Вобщем лезет через все щели.
#60
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 13 Январь 2009 - 22:36
Так тогда проще сетевой кабель вынуть...Дело в том что вирус приходит не только с флэшки. Он заражает систему как с флэшки так и через дыру в сетевом сервисе винды. При атаке из сети в папку :\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\А при чем тут это? Если вирус приходит с флешки...P.S. мои эксперименты с доступами к файлам в папке \Temporary Internet Files\Content.IE5\ не привели к положительным результатам. Вирусы все равно пробираются. Ставьте файервол. Или закрывайте службы на 135 137,138,139 445 портах
пролазят те 4 файла о которых я писал выше. При этом если в сетке эпидемия, то если не поставить файервол или отключить службы работающие на 135 137,138,139 445 порту (все сразу или в какой другой вариации) то все начинай сначала. Вобщем лезет через все щели.
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
