5 июня 2009 года
Компания «Доктор Веб» - российский разработчик средств информационной
безопасности – сообщает о появлении в Интернете опасного троянца,
уничтожающего все файлы и папки на зараженном компьютере. Первые
случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня
2009 года.
Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные
и съемные диски в порядке от Z до A. В найденном диске троянец
начинает удалять папки и файлы, перебирая их названия по алфавиту.
Если удалить файл не удается, к примеру, по причине его использования,
троянец делает его скрытым. Особая опасность заключается в том, что
действия Trojan.KillFiles.904 касаются всех файлов и папок,
находящихся на жестком диске компьютера жертвы, за исключением
системных. Таким образом, пользователь может потерять все данные на
дисках, при этом его операционная система продолжит свою работу.
Уникальным для современных вредоносных программ свойством данного
троянца является нанесение максимального урона пользователю. В отличие
от получивших в последнее время широкое распространение
программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо
финансовых вложениях и не пытается что-либо украсть – он просто
уничтожает всю информацию, хранящуюся в зараженной системе.
Можно предположить, что данный троянец, появившийся в начале июня 2009
года, продолжает традицию вируса Win32.HLLW.Kati, также известного как
Penetrator, который повреждает файлы форматов Microsoft Word и Excel,
а также фотографии и мультимедийные файлы. За тем исключением, что
Trojan.KillFiles.904 представляет еще большую угрозу.
В связи с опасностью инфицирования Trojan.KillFiles.904, компания
«Доктор Веб» рекомендует использовать исключительно лицензионное
антивирусное ПО с последними обновлениями.
Читать оригинал
По Интернету разгуливает троянец - убийца файлов
Автор
News Robot
, июн 05 2009 03:00
20 ответов в этой теме
#2
Black Angel
-
- Virus Hunters
- 997 Сообщений:
Virus Hunter
Отправлено 05 Июнь 2009 - 17:31
Что-то не нашел описание в базе. Но если мы его ловим, значит все хорошо.
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#3
Valery Ledovskoy
-
- Posters
- 1 367 Сообщений:
Poster
Отправлено 05 Июнь 2009 - 21:22
Что-то не нашел описание в базе. Но если мы его ловим, значит все хорошо.
А в новости недостаточное описание?
http://ledovskoy.com - Приятно познакомиться (с) 
#4
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 05 Июнь 2009 - 21:46
Ну, например, нет механизма проникновения. То есть после "Проникая в компьютер жертвы..." и дальше - понятно, а вот откуда и как "Проникая в компьютер жертвы..." - нема.А в новости недостаточное описание?Что-то не нашел описание в базе. Но если мы его ловим, значит все хорошо.
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#5
Alexander Goryachev
-
- Virus Hunters
- 1 389 Сообщений:
Космонавт
Отправлено 05 Июнь 2009 - 23:01
А когда он начинает удалять? Сразу после запуска или сидит некоторое время? Если выжидает, то какие способы сокрытия использует?
#6
Grigory Lisin
-
- Virus Analysts
-
- 533 Сообщений:
Advanced Member
Отправлено 06 Июнь 2009 - 11:43
А когда он начинает удалять? Сразу после запуска или сидит некоторое время? Если выжидает, то какие способы сокрытия использует?
Сразу начинает удалять...
#7
Alexander Goryachev
-
- Virus Hunters
- 1 389 Сообщений:
Космонавт
Отправлено 06 Июнь 2009 - 16:23
Grigory Lisin
Мда...А когда он начинает удалять? Сразу после запуска или сидит некоторое время? Если выжидает, то какие способы сокрытия использует?
Сразу начинает удалять...
#8
partizanen
-
- Posters
- 65 Сообщений:
Newbie
Отправлено 08 Июнь 2009 - 11:04
пока нет сигнатур в базе - пути проникновения сабжа в студию.а то сами себе буратино окажемся
#9
headliner
-
- Members
- 547 Сообщений:
Advanced Member
Отправлено 08 Июнь 2009 - 11:16
Кто сказал, что его нет в базах? Если вышла новость значит он точно ловится!
#10
Black Angel
-
- Virus Hunters
- 997 Сообщений:
Virus Hunter
Отправлено 08 Июнь 2009 - 11:17
Сигнатуры в базе должны быть, раз зверь известен и ему дано имя Trojan.KillFiles.904пока нет сигнатур в базе - пути проникновения сабжа в студию.а то сами себе буратино окажемся
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#11
sergeyko
-
- Dr.Web Staff
-
- 3 925 Сообщений:
Guru
Отправлено 08 Июнь 2009 - 16:28
А думать в студии не принято?пока нет сигнатур в базе - пути проникновения сабжа в студию.а то сами себе буратино окажемся
Sergey Komarov
R&D www.drweb.com
R&D www.drweb.com
#12
sleb
-
- Posters
- 159 Сообщений:
Member
Отправлено 08 Июнь 2009 - 19:29
И всё таки действительно очень хочется узнать про механизмы проникновения и другие подробности (если известно). Это же не какой-нибудь очередной ботнет или sms-вымогатель, зараза крайне серьёзная по последствиям для отдельно взятой машины, хочется знать о ней побольше...
Some are born to sweet delight, some are born to endless night. © William Blake
#14
Пол Банки
-
- Posters
- 1 997 Сообщений:
Poster
Отправлено 15 Июнь 2009 - 13:48
вот что интересует в первую очередь - можно ли как-то несигнатурно пресечь попытки вандалов. планы компании?
а то знаете ли, начни эта зараза появляться чаще и вся антивирусная иддилия рухнет...
запоминается худшее, вирусов было достаточно, но "поцелуй негра" не забыть...
а то знаете ли, начни эта зараза появляться чаще и вся антивирусная иддилия рухнет...
запоминается худшее, вирусов было достаточно, но "поцелуй негра" не забыть...
#15
sergeyko
-
- Dr.Web Staff
-
- 3 925 Сообщений:
Guru
Отправлено 15 Июнь 2009 - 13:55
Есть идеи, как отличить юзера от сетупа или апдейт винды от вируса? Несигнатурно, разумеется.вот что интересует в первую очередь - можно ли как-то несигнатурно пресечь попытки вандалов. планы компании?
Sergey Komarov
R&D www.drweb.com
R&D www.drweb.com
#16
Пол Банки
-
- Posters
- 1 997 Сообщений:
Poster
Отправлено 15 Июнь 2009 - 14:03
понятия не имею.Есть идеи, как отличить юзера от сетупа или апдейт винды от вируса? Несигнатурно, разумеется.вот что интересует в первую очередь - можно ли как-то несигнатурно пресечь попытки вандалов. планы компании?
из вопроса на вопрос понял, что дело дрянь и заниматься им никто не будет. так?
#17
Alexander Goryachev
-
- Virus Hunters
- 1 389 Сообщений:
Космонавт
Отправлено 15 Июнь 2009 - 16:28
sergeyko
). Заранее в параметрах режима указываем файлы и папки, которые будут мониториться. При попытке удаления файлов и папок это действие будет блокироваться, а на экран выводиться та же самая капча. Да, скорее всего, это будет раздражать, но много ли автоматических операций удаления (самой ОС) происходит во время обычной работы за компьютером? Тем более, мы в настройках прописали определённые файлы и папки. А нам вышло предупреждение как раз о попытке удаления именно их. Так что возможно сработает.
А если так? В родительский контроль/другой модуль добавляем функцию контроля операций с файлами. Например, включение определённого режима при выходе в интернет (т.к. получить удаляющего всё трояна оттуда легче; ну для примера возьмём интренетЦитата (сергейка @ 15/06/2009 14:48) *
вот что интересует в первую очередь - можно ли как-то несигнатурно пресечь попытки вандалов. планы компании?
Есть идеи, как отличить юзера от сетупа или апдейт винды от вируса? Несигнатурно, разумеется.
). Заранее в параметрах режима указываем файлы и папки, которые будут мониториться. При попытке удаления файлов и папок это действие будет блокироваться, а на экран выводиться та же самая капча. Да, скорее всего, это будет раздражать, но много ли автоматических операций удаления (самой ОС) происходит во время обычной работы за компьютером? Тем более, мы в настройках прописали определённые файлы и папки. А нам вышло предупреждение как раз о попытке удаления именно их. Так что возможно сработает.
#18
Пол Банки
-
- Posters
- 1 997 Сообщений:
Poster
Отправлено 15 Июнь 2009 - 16:39
лично меня система по теме топика не интересна - архивы есть. а вот данные...тут или винт на 500 мб покупать надо либо вполне хватит капчи/пароля на удаление папок с данными...
#19
sergeyko
-
- Dr.Web Staff
-
- 3 925 Сообщений:
Guru
Отправлено 15 Июнь 2009 - 17:25
Ну все, кроме оповещения и так можно сделать. Защитить папки родконтролем и никакие килфайлз вам не страшны.sergeyko
А если так? В родительский контроль/другой модуль добавляем функцию контроля операций с файлами. Например, включение определённого режима при выходе в интернет (т.к. получить удаляющего всё трояна оттуда легче; ну для примера возьмём интренетЦитата (сергейка @ 15/06/2009 14:48) *
вот что интересует в первую очередь - можно ли как-то несигнатурно пресечь попытки вандалов. планы компании?
Есть идеи, как отличить юзера от сетупа или апдейт винды от вируса? Несигнатурно, разумеется.
Sergey Komarov
R&D www.drweb.com
R&D www.drweb.com
#20
Alexander Goryachev
-
- Virus Hunters
- 1 389 Сообщений:
Космонавт
Отправлено 15 Июнь 2009 - 19:12
sergeyko
Если их текущим способом защитить, то к ним вообще доступа не будет. А так и доступ есть, и защита.
Так неинтересно.Ну все, кроме оповещения и так можно сделать. Защитить папки родконтролем и никакие килфайлз вам не страшны.
Если их текущим способом защитить, то к ним вообще доступа не будет. А так и доступ есть, и защита.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
