Trojan.blackmailer
#1
Отправлено 03 Апрель 2009 - 13:29
Вдруг кто-то из вас сталкивался за последнюю неделю с Trojan.Blackmailer? Это такой троян, который в браузере Internet Explorer вешает внизу страницы порно-баннеры и просит отправить SMS для отключения плагина. Или же полность заменяет страницу на порнуху тоже с просьбой отправить SMS.
Если вы сталкивались с ним - пожалуйста, ответьте на несколько простых вопросов:
1) какого числа появились симптомы заражения? (если еще и время - вообще прекрасно).
2) какие действия предшествовали появлению симптомов? Перезагрузка компьютера, установка нового софта, посещение сайтов?
3) как детектировался троян Dr.Web'ом? Если детектировался другими вендорами - какими и как?
4) любая дополнительная информация по инциденту.
Зачем все это? В последние дни существенно повысилась доля семейства Trojan.Blackmailer в статистике зараженных файлов. Теперь стоит вопрос о путях проникновения заразы на компьютеры пользователей. И без помощи пользователей, увы, можно долго искать ответ на этот вопрос. Сейчас наиболее вероятны два пути: через уязвимости в софте (без активного участия пользователя) и под видом полезного софта, то есть с активным участием. Ответы на вопросы помогут нам подтвердить или опровергнуть эти гипотезы.
Спасибо за помощь!
Личный сайт по Энкодерам - http://vmartyanov.ru/
#2
Отправлено 03 Апрель 2009 - 13:53
#3
Отправлено 04 Апрель 2009 - 06:30
1. появился в Doduments and Settints\Имя пользователя\dffli.dll
2. пользователь с правами администратора
3. пользователь активно использует интернет
4. другими вендорами детектировался сигнатурно
#4
Отправлено 04 Апрель 2009 - 06:38
У нас в сети организации на одном рабочем месте сработала эвристика Вэба по этому вирусу. Был отправлен в Вирлаб (номер тикета 842443), образец добавлен. Информации тоже крайне мало:
1. появился в Doduments and Settints\Имя пользователя\dffli.dll
2. пользователь с правами администратора
3. пользователь активно использует интернет
4. другими вендорами детектировался сигнатурно
Какая ось? Заплатки стояли?Какой браузер обычно использовался?Почтовые программы?
#5
Отправлено 05 Апрель 2009 - 10:07
Windows 2000 Professional, заплатки от Shadow, IE 6.0, Почта через браузер.Какая ось? Заплатки стояли?Какой браузер обычно использовался?Почтовые программы?
#6
Отправлено 06 Апрель 2009 - 00:30
2. На протяжении двух часов до этого пользовался IE для заказа билетов с сайта alitalia.com На этот сайт залез с яндекса. В 23:30 zone alarm стал кричать что кто-то что меняет, а потом лезет в интернет. Cureit в безопастном режиме нашел этот Trojan.blackmailer и еще двух.
После лечения zone alarm кричит что такой-то файл пытается изменить дайвер или сервис:WUAUSERV.
Нажимаю запретить- включаю wifi, zone alarm пишет что теперь intel 802.1 server пытается изменить дайвер или сервис:WUAUSERV.
Такого раньше не было
3. Запустил потом бесплатного касперского- он нашел 1 троян, какой не помню.
Проблема не решилась
#7
Отправлено 06 Апрель 2009 - 00:44
Раз проблема не решилась, создавайте тему в этом же разделе и показывайте логи по правилам.Проблема не решилась
Борис А. Чертенко aka Borka.
#8
Отправлено 06 Апрель 2009 - 12:40
1. Появился 4 апреля в примерно в 23:30 по Москве.
2. На протяжении двух часов до этого пользовался IE для заказа билетов с сайта alitalia.com На этот сайт залез с яндекса. В 23:30 zone alarm стал кричать что кто-то что меняет, а потом лезет в интернет. Cureit в безопастном режиме нашел этот Trojan.blackmailer и еще двух.
После лечения zone alarm кричит что такой-то файл пытается изменить дайвер или сервис:WUAUSERV.
Нажимаю запретить- включаю wifi, zone alarm пишет что теперь intel 802.1 server пытается изменить дайвер или сервис:WUAUSERV.
Такого раньше не было
3. Запустил потом бесплатного касперского- он нашел 1 троян, какой не помню.
Проблема не решилась
Установка софта не производилась? Плагины всякие, кодеки - ничего не ставили?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#9
Отправлено 06 Апрель 2009 - 20:43
Впервые с таким столкнулся- смотришь страницу и тут начинает ругаться зон аларм и т.д.. У меня сложилось впечатление что от меня тут ничего не зависило. И показалось что проблема возникла из-за IE. Может совпадение.
#11
Отправлено 07 Апрель 2009 - 10:44
ясен троянский конь ....Не совпадение. Сайт взломан, зверя пропихнули через дыру в IE.
ie6
вроде статья была что 8-ку лихо уделали
#12
Отправлено 07 Апрель 2009 - 11:45
Никаких программ, кодеков и т.п. не ставил. Только когда заходил на сайт alitalia, IE говорил что содержимое может быть небезопасно (но это официальный сайт перевозчика).
Впервые с таким столкнулся- смотришь страницу и тут начинает ругаться зон аларм и т.д.. У меня сложилось впечатление что от меня тут ничего не зависило. И показалось что проблема возникла из-за IE. Может совпадение.
Ясно, спасибо за информацию.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#13
Отправлено 07 Апрель 2009 - 21:15
Принесли компьютер с подобными симптомами (по рассказу пользователя), завтра притащат еще 1.
На принесенном компьютере наблюдаются странности: при проверке свежим DrWeb Cure IT компьютер перезагружается;
В безопасном режиме ничего не находит.
При этом компьютер не видит flash накопители.
Заражение произошло видимо 6 апреля, после серфинга по Интернету.
ОС Windows XP SP3, критические обновления мартовские.
Установлен НОД32, обновлялся в марте.
Сообщение было изменено Дитрий Р52: 07 Апрель 2009 - 21:17
#14
Отправлено 07 Апрель 2009 - 21:31
Создавайте тему в разделе лечения и делайте логи по правилам.Добрый вечер.
Принесли компьютер с подобными симптомами (по рассказу пользователя), завтра притащат еще 1.
На принесенном компьютере наблюдаются странности: при проверке свежим DrWeb Cure IT компьютер перезагружается;
В безопасном режиме ничего не находит.
При этом компьютер не видит flash накопители.
Заражение произошло видимо 6 апреля, после серфинга по Интернету.
ОС Windows XP SP3, критические обновления мартовские.
Установлен НОД32, обновлялся в марте.
Борис А. Чертенко aka Borka.
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых