Войти через loginza
Закрыть панель

История начинается ….   неожиданно …

Все было как обычно — заходим на сайт — ищем нужный журнал. Ссылка ведет на весьма известный файлообменник fileshare.in.ua.

Качаем.

И.

Сюрприз :)

Рамка всем известного вируса вымогателя

Отставляем панику.
Мышка кроме рамки недоступна, но клавиатура работает.
Пуск - выполнить - cmd
Дальше команда списка процессов :
tasklist
или поэкранно :
tasklist | more
Видим нечто необычное :
0.3534388206875574.exe
Дальше команда снятия процесса :
taskkill /F /IM 0.3534388206875574.exe
Рамка пропала.
Но курсор все так же в области рамки.
Дальше я снял еще пару процессов, в том числе и :
taskkill /F /IM java.exe
Закрыл консоль (cmd).
Все встало на свои места.
Дальше стандартно. Сканер + антивирус.
Как ни странно антивирус (Microsoft Security Essentials) увидел эту «заразу» :


Но вот в чем вопрос : Почему он не пресек это на этапе загрузки ?
Дальше сканер :

Все. Очищаем остатки — перезагружаемся.
А все могло быть намного хуже. Например, если сразу перезагрузить компьютер — то вместо рабочего стола только рамка. Тогда только LiveCD и поиск тела и остатков вируса.
Мораль : не паникуйте раньше времени — иногда вирус можно убрать даже без помощи антивируса.

 

Сам не получал такого, скорее всего из-за того, что пользуюсь не ICQ , а интернет пейджером Trillian.

Но из разных источников начала приходить информация, что от друзей и знакомых приходит входящий файл Snatch.exe.

Это якобы игрушка.

На самом деле это программа кейлоггер (keylogger) — Trojan.Win32.Snatch.

Будьте аккуратны и не принимайте файлы от незнакомых (а от знакомых обязательно проверяйте антивирусом).

После запуска этого файла, доступ к учетной записи ICQ блокируется, а теперь с Вашего номера пойдет рассылка этого файла по всему Вашему списку контактов.

Пароль к учетной записи так же придется восстанавливать через систему утерянных паролей.

 

Вирусописатели, а так же их родители.

Пам пам , парам пам !

Публикую тройку свежих троянцев по версии securitylab :

1.Trojan.Win32. Zum

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на Visual Basic.
Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows под следующим именем:
%WinDir%\Systray32.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свою копию в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Systray32.exe»=»%WinDir%\Systray32.exe»

Деструктивная активность

При запуске троянец отбражает свое окно:

При наведении на него курсора мыши, троянец открывает в браузере установленном по умолчанию следующую ссылку:
http://www.fu***rld2000.de/

2.Trojan.Win32. Oficla.m

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.

Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\<rnd>.tmp
Где <rnd> — случайная цифра.

Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3079141585b787f8d1
Троянец запускает процесс «svchost.exe» и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:
http://fact***od.ru/microsoft/bb.php
На момент создания описания ссылка не работала.

Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.

Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем:
%System%\<rnd>.<rnd>
Где <rnd> — случайная последовательность букв латинского алфавита, например «rihd.pno».

Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe rundll32.exe %System%\<rnd>.<rnd>»

3.Trojan.JS. Fraud.ae

Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 8607 байт.

Деструктивная активность

Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файлах с именами «vaq1k90d2j.fff» и «wzx2j98d2j.fff». Данные файлы размещаются в корневом каталоге на сервере злоумышленника. Далее троянец прорисовывает в браузере окно «Проводника» и затем имитирует полное сканирование компьютера на наличие вредоносных файлов:

Троянец импортирует список строк, которые представляют собой полные пути к системным файлам и произвольные детекты вредоносных объектов, из стороннего файла-скрипта, который размещается на сервере злоумышленника. Далее лжеантивирус предлагает пользователю выполнить лечение зараженных объектов:

После нажатия на кнопки «Лечить все», «Включить защиту» – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платный номер «1350»


Если введенный код – меньше 6 символов, троянец выдает сообщение:

Если введенный код удовлетворяет всем условиям – вредонос осуществляет HTTP запрос по следующей ссылке:
http://<X>/enter.php?code=<введенный_код>
&checkcode=1&rand=<rnd2>
где X – доменное имя сервера злоумышленника, rnd2 – случайное число. На момент создания описания ссылка не работала.

При закрытии окна браузера, троянец выводит сообщение: