Всем внимание! Вирус от нашего пользователя Berch! |
Здравствуйте, гость ( Авторизация | Регистрация )
Всем внимание! Вирус от нашего пользователя Berch! |
01.12.2006, 23:33
Сообщение
#1
|
|
Высший Игровой Бог Репутация: 2288 Группа: Участник Сообщений: 10567 Награды: 10 Регистрация: 06.07.2005 |
Прошу Вашего внимания! Не так давно мне, и не только мне, по протоколу ICQ стали приходить сообщения от berchа - завсегдатая сталкеровских разделов, с просьбой зайти по ссылке, и посмотреть на классную фотку их офисной вечеринки. Подозреваю, что его "аська сломана", и он об этом даже не подозревает. Ссылка "инфицирована", и выглядит так - ]]>
|
 
|
|
|
|
01.12.2006, 23:47
Сообщение
#2
|
|
CEO Репутация: 915 Группа: Участник Сообщений: 4119 Награды: 3 Регистрация: 08.01.2006 |
Цитата офисной вечеринки Цитата berch Даже не студент. Не попадитесь на подобные сообщения, часто это вирус. Was added in 25 seconds: Ялтинец, Спасибо за предупреждение. Сообщение отредактировал Hint - 01.12.2006, 23:48 |
 
|
|
01.12.2006, 23:53
Сообщение
#3
|
|
Продвинутый геймер Репутация: 284 Группа: Забанен Сообщений: 236 Регистрация: 23.09.2005 |
Аськи не сломаны. Эта гнида как-то умудряется в оффлайновом режиме рассылать себя по контактлисту.
|
 
|
|
01.12.2006, 23:56
Сообщение
#4
|
|
CEO Репутация: 915 Группа: Участник Сообщений: 4119 Награды: 3 Регистрация: 08.01.2006 |
СпамерФлудерЁпыгомать,
Сломаны, сломаны... это обычный процветающий троян, который отправившись с первого компа поглащает аськи и все пароли, ломает всё на своём пути. |
 
|
|
01.12.2006, 23:57
Сообщение
#5
|
|
Высший Игровой Бог Репутация: 2288 Группа: Участник Сообщений: 10567 Награды: 10 Регистрация: 06.07.2005 |
СпамерФлудерЁпыгомать, возможно, что в режиме - "невидим для всех".
UPDATE! Только что пришла ссылка опять - ]]> |
 
|
|
02.12.2006, 01:39
Сообщение
#6
|
|
Заслуженный Мастер Игры Репутация: 390 Группа: Участник Сообщений: 1703 Награды: 1 Регистрация: 18.11.2005 |
В QiP'е от того же berch'a пришла ссылка
Цитата Check up this: и здесь ссылка NOD32 сразу закричал, что троян. будьте внимательны! |
 
|
|
02.12.2006, 01:43
Сообщение
#7
|
|
Gameru DA Репутация: 3704 Группа: Администратор Сообщений: 10206 Награды: 4 Регистрация: 03.02.2006 |
20 минут назад удалил берча из контактов. Ничего не приходило. У меня Касперский 6 - но не стал заходить по ссылкам - мало ли что...
-------------------- |
 
|
|
02.12.2006, 09:42
Сообщение
#8
|
|
В розовых очках ) Репутация: 1334 Группа: Участник Сообщений: 557 Награды: 4 Регистрация: 12.11.2003 |
Ялтинец, А мне вторую ссылку знакомый послал. Конечно же по своей невиности открыла.
Да и антивирус тупейший стоит..Вот и молчит.. -------------------- |
 
|
|
02.12.2006, 11:33
Сообщение
#9
|
|
Высший Игровой Бог Репутация: 2288 Группа: Участник Сообщений: 10567 Награды: 10 Регистрация: 06.07.2005 |
OlegatoR,
Цитата 20 минут назад удалил берча из контактов А я пока оставлю, чтобы информировать вас о возможных угрозах. Солнышко, смени антивирус, и будет тебе счастье |
 
|
|
02.12.2006, 12:27
Сообщение
#10
|
|
В розовых очках ) Репутация: 1334 Группа: Участник Сообщений: 557 Награды: 4 Регистрация: 12.11.2003 |
Ялтинец, Для меня это слегка проблематично =)
А что вирус этот делает вообще? А то ой комп жив пока =) -------------------- |
 
|
|
02.12.2006, 12:30
Сообщение
#11
|
|
Высший Игровой Бог Репутация: 2288 Группа: Участник Сообщений: 10567 Награды: 10 Регистрация: 06.07.2005 |
Солнышко, последствия мне не известны.
|
 
|
|
02.12.2006, 12:37
Сообщение
#12
|
|
-=Гробовщик-затейник=- Репутация: 1419 Группа: Участник Сообщений: 5581 Награды: 7 Регистрация: 01.04.2004 |
Ялтинец,
Цитата Ссылка "инфицирована", и выглядит так - ]]> Ссылка не работает): Цитата UPDATE! Только что пришла ссылка опять - ]]> Ловится Dr.Web. Цитата C:\Documents and Settings\Taker\Local Settings\Temporary Internet Files\Content.IE5\YH8VQTQ1\flash[1].exe - инфицирован Win32.HLLM.Limar.based
-------------------- Лучше быть последним среди львов, чем первым среди шакалов
Сжимаю кулак, оттопыриваю средний палец. Ну здравствуй, сонц... Пришел 30.03.2004 Увидел 01.04.2004 Охренел 30.03.2009 :taker: |
 
|
|
02.12.2006, 12:37
Сообщение
#13
|
|
Почти Мастер Репутация: 457 Группа: Участник Сообщений: 1061 Награды: 4 Регистрация: 07.06.2004 |
У меня ни одна ссылка не открылась...
|
 
|
|
02.12.2006, 12:38
Сообщение
#14
|
|
-=Гробовщик-затейник=- Репутация: 1419 Группа: Участник Сообщений: 5581 Награды: 7 Регистрация: 01.04.2004 |
Цитата Win32.HLLM.Limar.based
(Email-Worm.Win32.Warezov.ab, Email-Worm.Win32.Warezov.aj, Email-Worm.Win32.Warezov.y, Generic.Stration.897DECD2, Generic.Stration.C3436AB9, Generic.Stration.CD715647, Generic.Stration.D070A9FB, Generic.Stration.E440BC60, Generic.Stration.F061257B, I-Worm/Generic.PT, I-Worm/Generic.QJ, W32/Stration@MM, W32/Warezov.AA@mm, W32/Warezov.AB@mm, W32/Warezov.S@mm, W32/Warezov.Y@mm, WORM_STRATION.BC, WORM_STRATION.BL, Win32/Stration!generic, Win32/Stration.AQ, Win32/Stration.AT, Win32/Stration.Variant!Worm) Тип вируса: Почтовый червь массовой рассылки Уязвимые ОС: Win95/98/Me/NT/2000/XP Размер файла: 130 - 148 Кбайт, 10-30 Кбайт Упакован: Upack, UPX Техническая информация Распространяется в виде писем с вложениями. Тема письма может быть следующей: Server Report Status Error Test Mail Delivery System Mail server report. Mail Transaction Failed Good day picture Hello Вложение может быть в виде ZIP-архива, EXE-файла или файла с двойным расширением. Имя вложения может быть следующим: 1.Update-KB[число]-х86 с расширением ZIP или EXE. 2. test, body, docs, doc, test, text, readme, file, document, data Тело письма содержит текст: ------------------------------------ Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms). Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring. Best regards, Customers support service -------------------------------------- Mail transaction failed. Partial message is available. -------------------------------------- The message contains Unicode characters and has been sent as a binary attachment. --------------------------------------- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment --------------------------------------- Dear Sir/Madam, We have logged a fraud activity from the IP-address belonging to your computer at more than 17 Web-sites and have received abuses from several companies. The abuse copy is sent as an attachment to this letter. Please learn this. We have added our utilite that would help you to find and remove any spyware from your PC. If you were not lucky using another software, please try this one. Yours faithfully Steven Cooper --------------------------------------- В зависимости от типа вложения в письме при своём запуске червь выпоняет: 1. Выводит на экран "Update successfully installed" (при запуске вложения Update-KB[число]-х86). 2. Запускает Notepad, показывая пользователю беспорядочный набор символов (при запуске вложения в виде файла с двойным расширением). В зависимости от своей модификации при своём запуске червь создаёт следующие файлы: %WinDir%\serv.exe (148 621 байт) %WinDir%\serv.s (148 621 байт) %WinDir%\system32\serv.dll (7 680 байта) %WinDir%\system32\e1.dll (8 704 байта) %WinDir%\system32\jgmdmsxm.dll (28 672 байта) %WinDir%\system32\netacdmo.dll (20 480 байт) %WinDir%\system32\tsd3rasd.exe (16 384 байта) %WINDIR%\System32\wupstInt.dll (28672 байт) %WINDIR%\System32\cssewmpd.exe (16384 байт) %WINDIR%\System32\regaufat.dll (24576 байт) Причём имена файлов динамических библиотек (*.dll) подставляются разные - в зависимости от модификации червя. Червь маскирует свои процессы. Червь завершает процессы некоторых антивирусных продуктов и межсетевых экранов. В частности, червь автоматически устанавливает приложение serv.exe в число "Доверенных" в списке приложений Agnitum Outpost Firewall, если используется политика "Режим обучения". Червь создаёт файл с расширением *.wax, в который записывает почтовые адреса, зарегистрированные в поражённой системе. Для своего последующего запуска червь прописывает себя в автозагрузке, модифицируя секции в реестре: HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run "serv" = C:\Windows\serv.exe s HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs" = wupstInt.dll e1.dll Рассылает свои многочисленные копии, соединяясь по протоколу SMTP с разными серверами. Рекомендации по восстановлению системы 1. Отключить "Восстановление системы". 2. Загрузить ОС Windows в Безопасном режиме (Safe Mode). 3. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить". 4. Восстановить реестр из резервной копии. Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory). -------------------- Лучше быть последним среди львов, чем первым среди шакалов
Сжимаю кулак, оттопыриваю средний палец. Ну здравствуй, сонц... Пришел 30.03.2004 Увидел 01.04.2004 Охренел 30.03.2009 :taker: |
 
|
|
02.12.2006, 12:53
Сообщение
#15
|
|
Высший Игровой Бог Репутация: 2288 Группа: Участник Сообщений: 10567 Награды: 10 Регистрация: 06.07.2005 |
глобарес,
Цитата У меня ни одна ссылка не открылась... Это хорошо! OlegatoR, пожалуйста, позови наших сталкеровцев сюда, пусть отпишуться те, кто с ним общается постоянно/периодически через "аську". Может помогут прояснить ситуацию. |
 
|
|
02.12.2006, 12:56
Сообщение
#16
|
|
-=Гробовщик-затейник=- Репутация: 1419 Группа: Участник Сообщений: 5581 Награды: 7 Регистрация: 01.04.2004 |
Ялтинец,
Цитата авторизуй меня, пожалуйста Ты вроде у меня авторизован): Пошли мне еще раз запрос на авторизацию. -------------------- Лучше быть последним среди львов, чем первым среди шакалов
Сжимаю кулак, оттопыриваю средний палец. Ну здравствуй, сонц... Пришел 30.03.2004 Увидел 01.04.2004 Охренел 30.03.2009 :taker: |
 
|
|
02.12.2006, 13:08
Сообщение
#17
|
|
Высший Игровой Бог Репутация: 2288 Группа: Участник Сообщений: 10567 Награды: 10 Регистрация: 06.07.2005 |
OlegatoR, пожалуйста, позови наших сталкеровцев сюда, пусть отпишуться тем, кто с ним общается постоянно/периодически через "аську".
|
 
|
|
02.12.2006, 13:42
Сообщение
#18
|
|
Выбери снова Репутация: 604 Группа: Участник Сообщений: 1974 Награды: 11 Регистрация: 24.11.2004 |
Что-то по первой ссылке открывается сайт, никакого изображения сохранить не предлогается...
Вторая "работает"... -------------------- |
 
|
|
02.12.2006, 13:47
Сообщение
#19
|
|
Gameru DA Репутация: 3704 Группа: Администратор Сообщений: 10206 Награды: 4 Регистрация: 03.02.2006 |
Касперский находит. Всем срочно обновить базы.
-------------------- |
 
|
|
02.12.2006, 15:56
Сообщение
#20
|
|
Продвинутый геймер Репутация: 268 Группа: Только зарегистрировался Сообщений: 397 Награды: 1 Регистрация: 09.02.2006 |
По первой ссылке уже нет ничего, по второй Касперский 5.0.527 все спокойно отловил
Was added in 2 minutes 46 seconds: Меня другое беспокоит... У меня на винте стали появляться в разных местах ехе'шники с вирусом под видом кодеков. Уже 3 штуки отловил. Притом появиться может через какое-то время после полной проверки Сообщение отредактировал Rainbow - 02.12.2006, 15:59 |
 
|
|
Текстовая версия | Сейчас: 15.05.2024, 05:07 |