13 ответов в этой теме

[v.martyanov]

Люди добрыя! Извините что я к вам обращаюся... Ну и так далее :-)

Вдруг кто-то из вас сталкивался за последнюю неделю с Trojan.Blackmailer? Это такой троян, который в браузере Internet Explorer вешает внизу страницы порно-баннеры и просит отправить SMS для отключения плагина. Или же полность заменяет страницу на порнуху тоже с просьбой отправить SMS.

Если вы сталкивались с ним - пожалуйста, ответьте на несколько простых вопросов:
1) какого числа появились симптомы заражения? (если еще и время - вообще прекрасно).
2) какие действия предшествовали появлению симптомов? Перезагрузка компьютера, установка нового софта, посещение сайтов?
3) как детектировался троян Dr.Web'ом? Если детектировался другими вендорами - какими и как?
4) любая дополнительная информация по инциденту.

Зачем все это? В последние дни существенно повысилась доля семейства Trojan.Blackmailer в статистике зараженных файлов. Теперь стоит вопрос о путях проникновения заразы на компьютеры пользователей. И без помощи пользователей, увы, можно долго искать ответ на этот вопрос. Сейчас наиболее вероятны два пути: через уязвимости в софте (без активного участия пользователя) и под видом полезного софта, то есть с активным участием. Ответы на вопросы помогут нам подтвердить или опровергнуть эти гипотезы.

Спасибо за помощь!

[ILNARus]

В последнее время постоянно мучают звонками из-за этого. Появляется, насколько понял, в основном после инета, и не обязательно по ххх сайтам. У некоторых дети просто сидят ВКонтакте. Просто объясняю как отключить в Надстройках и советую скачать Куриет для проверки.

[niX]

У нас в сети организации на одном рабочем месте сработала эвристика Вэба по этому вирусу. Был отправлен в Вирлаб (номер тикета 842443), образец добавлен. Информации тоже крайне мало:
1. появился в Doduments and Settints\Имя пользователя\dffli.dll
2. пользователь с правами администратора
3. пользователь активно использует интернет
4. другими вендорами детектировался сигнатурно

[mrbelyash]

У нас в сети организации на одном рабочем месте сработала эвристика Вэба по этому вирусу. Был отправлен в Вирлаб (номер тикета 842443), образец добавлен. Информации тоже крайне мало:
1. появился в Doduments and Settints\Имя пользователя\dffli.dll
2. пользователь с правами администратора
3. пользователь активно использует интернет
4. другими вендорами детектировался сигнатурно

Какая ось? Заплатки стояли?Какой браузер обычно использовался?Почтовые программы?

[niX]

Какая ось? Заплатки стояли?Какой браузер обычно использовался?Почтовые программы?

Windows 2000 Professional, заплатки от Shadow, IE 6.0, Почта через браузер.

[z3z3]

1. Появился 4 апреля в примерно в 23:30 по Москве.
2. На протяжении двух часов до этого пользовался IE для заказа билетов с сайта alitalia.com На этот сайт залез с яндекса. В 23:30 zone alarm стал кричать что кто-то что меняет, а потом лезет в интернет. Cureit в безопастном режиме нашел этот Trojan.blackmailer и еще двух.
После лечения zone alarm кричит что такой-то файл пытается изменить дайвер или сервис:WUAUSERV.
Нажимаю запретить- включаю wifi, zone alarm пишет что теперь intel 802.1 server пытается изменить дайвер или сервис:WUAUSERV.
Такого раньше не было
3. Запустил потом бесплатного касперского- он нашел 1 троян, какой не помню.
Проблема не решилась

[Borka]

Проблема не решилась

Раз проблема не решилась, создавайте тему в этом же разделе и показывайте логи по правилам.

[v.martyanov]

1. Появился 4 апреля в примерно в 23:30 по Москве.
2. На протяжении двух часов до этого пользовался IE для заказа билетов с сайта alitalia.com На этот сайт залез с яндекса. В 23:30 zone alarm стал кричать что кто-то что меняет, а потом лезет в интернет. Cureit в безопастном режиме нашел этот Trojan.blackmailer и еще двух.
После лечения zone alarm кричит что такой-то файл пытается изменить дайвер или сервис:WUAUSERV.
Нажимаю запретить- включаю wifi, zone alarm пишет что теперь intel 802.1 server пытается изменить дайвер или сервис:WUAUSERV.
Такого раньше не было
3. Запустил потом бесплатного касперского- он нашел 1 троян, какой не помню.
Проблема не решилась

Установка софта не производилась? Плагины всякие, кодеки - ничего не ставили?

[z3z3]

Никаких программ, кодеков и т.п. не ставил. Только когда заходил на сайт alitalia, IE говорил что содержимое может быть небезопасно (но это официальный сайт перевозчика).
Впервые с таким столкнулся- смотришь страницу и тут начинает ругаться зон аларм и т.д.. У меня сложилось впечатление что от меня тут ничего не зависило. И показалось что проблема возникла из-за IE. Может совпадение.

[pig]

Не совпадение. Сайт взломан, зверя пропихнули через дыру в IE.

[Wit12]

Не совпадение. Сайт взломан, зверя пропихнули через дыру в IE.

ясен троянский конь ....


ie6 

вроде статья была что 8-ку лихо уделали

[v.martyanov]

Никаких программ, кодеков и т.п. не ставил. Только когда заходил на сайт alitalia, IE говорил что содержимое может быть небезопасно (но это официальный сайт перевозчика).
Впервые с таким столкнулся- смотришь страницу и тут начинает ругаться зон аларм и т.д.. У меня сложилось впечатление что от меня тут ничего не зависило. И показалось что проблема возникла из-за IE. Может совпадение.

Ясно, спасибо за информацию.

[Дитрий Р52]

Добрый вечер.
Принесли компьютер с подобными симптомами (по рассказу пользователя), завтра притащат еще 1.
На принесенном компьютере наблюдаются странности: при проверке свежим DrWeb Cure IT компьютер перезагружается;
В безопасном режиме ничего не находит.
При этом компьютер не видит flash накопители.
Заражение произошло видимо 6 апреля, после серфинга по Интернету.
ОС Windows XP SP3, критические обновления мартовские.
Установлен НОД32, обновлялся в марте.

Сообщение было изменено Дитрий Р52: 07 Апрель 2009 - 21:17

[Borka]

Добрый вечер.
Принесли компьютер с подобными симптомами (по рассказу пользователя), завтра притащат еще 1.
На принесенном компьютере наблюдаются странности: при проверке свежим DrWeb Cure IT компьютер перезагружается;
В безопасном режиме ничего не находит.
При этом компьютер не видит flash накопители.
Заражение произошло видимо 6 апреля, после серфинга по Интернету.
ОС Windows XP SP3, критические обновления мартовские.
Установлен НОД32, обновлялся в марте.

Создавайте тему в разделе лечения и делайте логи по правилам.