Держите карантин курита с двумя файлами... детектятся только доктором

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Пока SONAR справляется, хотелось бы проверить в действии наподобие таких вот зверюг: [Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Снимок взял с форума ЛК

Ну я про то же!!!!
где взять зверей то??? где их можно прикормить...:connie_caveman-1:
говорят обитают в контакте, ну я там нуб, если честно, не знаю с чего искать там... и как искать.
и еще говорят обитают на порно сайтах в виде флеш плееров, но я уже задолбался искать, а еще больше задолбался смотреть на порнуху, на всю жизнь короче насмотрелся :rolleyes24:

.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Razboynik, Сергей, я похоже нашёл причину, почему нельзя было скачать флэш с офсайт:
Вредоносный код, использовавшийся в недавних кибер-атаках ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) на Google и другие компании, выложен в Интернете. По последним данным, кроме Google, атака была направлена еще как минимум на 33 компании, включая Adobe ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

Использовавшийся в этих атаках вредоносный код был прислан для анализа и опубликован ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) на сайте Iseclab.org.

По словам представителя компании McAfee Дейва Маркуса (Dave Marcus), по состоянию на пятницу, данный код был включен как минимум в одну хакерскую утилиту, свободно доступную в Интернете, и был замечен в онлайновых атаках. Маркус отметил, что данный вредоносный код нацелен прежде всего на пользователей операционной системы Windows XP и браузера Internet Explorer 6, но он может быть модифицирован для работы с более поздними версиями браузера. При этом, как отмечают специалисты, использование данного кода на Windows Vista и Windows 7 маловероятно, благодаря улучшенной технологии защиты памяти в этих ОС.

Абидна, чесна слово, абидна... :plakat':
я везде исщу...
а мне в аське девчонка знакомая пишет:
"Это Вера.Можешь сказать что значит это запись и как её решить? Внимание!Internet security Обнаружил вредоносное ПО на вашем компе. Вы не зарегистрировали вашу копию Internet security Установив данное по вы согласились с лицензионным соглашением предложенного для проверки системы на наличие вредоносных программ.на основании лицензии вы должны удалить ПО до окончания пробного периода или оплатить.и идет отчет времени.и просят отправить смс для получения кода активации. Как удалить это не знаю((помоги"
"Я:
пока сообщи на какой номер, какую смску отправить?
и где подцепила зверюшку?

Ника (20:20:53 17/01/2010)
Где не знаю.в пятницу вечером вкл комп и выскочила эта фигня.отправить к206524000на номер 4460"

ну почему те, кто не хочет забеременеть пользуются дырявой резинкой... :girl_haha:

saffers, а что особенного в этой версии блокера? Вот немогу скачать, как обычно, кликаем на просмотр, затем установка "флэш" .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Rampant,
сам не проверял, но пишут, вот что:
Характеристика зловреда:
меняет системные политики: запрет запуска regedit, диспетчера задач, восстановление системы, устанавливает блокировку на запуск и установку большинства популярных антивирусов.
Блокируется запуск любой программы *.exe, за исключением IE, Explorer
Запуск переименованных cureit.exe (в c688vasa.exe) и avz.exe (в explorer.exe на рабочем столе) приводил к жёсткому выключению компьютера в любом режиме работы Windows, включая полиморфную версию avz.
Очень хочу его заполучить.:mat:

Да серьёзно, тогда только использование лайв сиди, а затем восстановление системы через АВЗ.

Rampant,новая модификация? NOD молчит, да и VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) видят только 4 антивирусника

---------- Добавлено в 22:08 ---------- Предыдущее сообщение было написано в 22:05 ----------

отправить к206524000на номер 4460"а если попробовать сервис от Касперского или DrWeb ввести данные и получить код активации, я именно так и сделал, окно пропало, а после этого спокойно просканировал компьютер DrWeb

Rampant,
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
спасиб конечно, это не Internet Security, а Get Access. С ним все просто.
удалил \system32\userinit.exe
удалил сервис userinit

curier, наверно, они похоже штампуются на конвеере) по второму, надо для начало заполучить эту разновидность, а так трудно судить.

---------- Добавлено в 23:13 ---------- Предыдущее сообщение было написано в 23:11 ----------

Get Access. С ним все просто тем не менее новая модификация, так что рассылаем по вирлабам.

А никто не знает почему перестало пускать на хот-дигиталл-видео, после заражения, и потом лечения?....
виртуалка нормально пингует а IE зайти не может

saffers, похоже хост меняется постоянно) щас под другим именем появится, обычное дело.

рассылаем по вирлабам.

Я бы и рад, но ведь не скачивается ничего.)))
Я на "Просмотр" не могу нажать, у меня флэш-плэйер убит в системе.)

Тайлер, а возможно уже и ненадо, там где выскочит этот сайт, уже будет генериться другой блокер)

Rampant,
думаю дело не в этом, под основной операционкой я на него по прежнему захожу нормально, флеш плеер закачиваю.
а на виртуалке на него зайти не могу...
хотя вроде как я излечился (вернее я считаю что излечился) а какие-то изменения внесенные трояном остались...
при этом в снифере я вижу, что обмен пакетами идет (4 пакета)
дальше Невозможно найти страницу

У меня эта страница вообще перестала открываться, фиг знает в чём дело)

Rampant,
у меня на виртуалке, тоже не открывается, а на хосте - все гуд.

У меня эта страница вообще перестала открываться, фиг знает в чём дело)
Ща скачал нормуль. Бум играться :gy:

---------- Добавлено в 20:56 ---------- Предыдущее сообщение было написано в 20:46 ----------

ВирусТотал
Файл уже проанализирован:MD5: 565d585bf852d4155a17825d0edd047b
First received: 2010.01.17 13:33:38 UTC
Дата: 2010.01.17 18:43:34 UTC [<1D]
Результаты: 4/41

Это говорит о том, что я скачал того-же что и вы. Получается, на том сайте не генерируются новые трояны каждую секунду, а старый предлагают скачать. Как будет детектиться, откроют новый сайт и положат новый троян.

Новый результат VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) так-же и остался - 4/41.

Этот плеер ставит исполняемый файл в System32, запускает, ломится зачем-то в интернет, изменяет поток в майкрософском процессе, затем майкрософский файл (с цифровой подписью) удаляет файл установки (трояна). Выдает типа ошибку. На этом все - блокер он или не ставит, или требуется перезагрузка и блокер появится позже.

изменяет поток в майкрософском процессе

а можно подробнее, что это значит... :mda1:

итак подведем итог...
Internet Security менее распространен в порно сетях, больше в социальных сетях...

я избавил девочку от зверька...
лечение проводил удаленно через интернет посредством teamviewer
после ввода кода зверек самоудалился, даже инфицированные потоки NTFS я не нашел, и записей в реестре тоже не осталось.

пробовал вернуться к моменту заражения...
девочка призналась, что в контакте от подруги ей пришла подозрительная ссылка, она конечно запустила и пыталась поставить какую-то кошечку...
естественно кошечка не сохранилась (видимо самоудалилась) :old:
эта ссылка .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. была добыта, но трояна я не смог все таки получить, т.к. за него щас просят денег :crzswans: жесть...
также девушка призналась, что на электронный ящик ей тоже что-то пришло, очевидно дубль этого сообщения. Но из ящика это сообщение она успела удалить, у страха глаза велики.
Кроме того попутно выяснилось, что учетка подруги закрылась, то ли по причине рассылки троянцев, то ли просто в результате взлома...

вывод делайте сами, а я по-прежнему ищу этого зверька хотя бы трупик :die2:

На второй системе стоит NIS2010 сейчас перескочил на него.Пост №2766 NIS2010 срубил оба файла сигнатурно, похоже вирлаб симантек начинает братся за "дело":mat:
Пост №2769 --как всегда Sonar 2 на высоте:
Недоступно
____________________________
____________________________
На компьютере:
18.01.2010 в 7:43:31
Последнее использование:
18.01.2010 в 7:44:05
Элемент запуска: Нет
Запущен: Да
____________________________
____________________________
Очень мало пользователей
Меньше 10 пользователей в Norton Community использовали этот файл.
____________________________
Высокий
Угроза этого файла высокая.
____________________________
Сведения об угрозе
Защита SONAR отслеживает подозрительные действия программ на компьютере.
____________________________
Источник

Загружено из Недоступно
____________________________
URL недоступен
НЕПРОВЕРЕННЫЙ

Источник
install_flash-player-10_build.9101.exe
____________________________
Действия с файлом
Файл: c:\documents and settings\alexandr\рабочий стол\новая папка\install_flash-player-10_build.9101.exe
Удалено
____________________________
Отпечаток файла:
Недоступно
____________________________

Вот еще один файл, похоже на новый зловред.NIS2010 выдал вот это:
c:\documents and settings\alexandr\мои документы\загрузки\profiles_admin_file.exe
____________________________
____________________________
Подпись:
Недоступно
На компьютере:
18.01.2010 в 11:35:54
Последнее использование:
Недоступно
Элемент запуска: Нет
____________________________
____________________________
Очень мало пользователей
Меньше 10 пользователей в Norton Community использовали этот файл.
____________________________
Очень низкое
Файл был выпущен менее недели назад.
____________________________
Неподтвержденный
Об этом файле нет достаточной информации.
____________________________
Источник

Загружено из .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. (Media Player Plugin)&user=admin
____________________________
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.(Media Player Plugin)&user=admin
НЕПРОВЕРЕННЫ , я нажал запретить выполнение данного приложения. Вообще впервые сталкиваюсь с таким предупреждением сонара. Сам файл:.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
Результат по ВТ:[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Тут полазил немного и увидел, что пострадавший от блокеров народ сам генераторы уже создает или вычисляет математическим методом подбора, масштабы заражения ужасают конечно :


А это уже генератор к блокеру "Internet Security" : [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Добавлю еще два файла, по причине того, что один из них Sanboxie.start File Insight признал легитимным, хотя судя по результатам ВТ это типичные "бэкдуры". Файлы здесь:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
Результат по ВТ:[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Интересная метаморфоза произошла: первоначально при закачке файла Sanboxie.start выскочило зеленое окошко File Insight и сообщило, что файл безопасный, хотя при запуске его , как и второго файла их прибил сонар 2. Интересно наколько сонар использует информацию File Insight для принятия решения?

Интересная метаморфоза произошла: первоначально при закачке файла Sanboxie.start выскочило зеленое окошко File Insight и сообщило, что файл безопасный, хотя при запуске его , как и второго файла их прибил сонар 2. Интересно наколько сонар использует информацию File Insight для принятия решения?
Как я заметил, Сонару по-барабану вердикт File Insight, и их мнения могут различаться. Это две разные технологии и каждая выполняет свою определенную задачу.
Пару раз скачивал троянов, мне тоже выдавало зеленое окошко, а Сонар их прибивал. Здесь нужно быть внимательным и не доверять полностью только одной технологии. File Insight - это только первая линия обороны (если нет детекта), информативная часть. Сонар - это уже поведенческий эвристик, и ему наплевать, что думает File Insight. Ну, а пользователь должен использовать все доступные технологии, тогда вероятность запуска зловреда сведется к минимуму.

Как я заметил, Сонару по-барабану вердикт File Insight
Я тоже так думал до недавнего времени. По этому поводу Кирилл Керценбаум, представитель Симантека, писал, что Сонар принимает во внимание вердикты File Insight (да и в этой теме мну недавно выкладывал пример, где Сонар сослался на эту службу), но весомость этих вердиктов для него весьма мала, а зеленые алерты, по моим наблюдениям, он вообще игнорирует. Вот неблагоприятная инфа может заставить его оглянуться.

Вот только что в асю ссылка

.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Любань, отослал Касперу. Пришел ответ:

Здравствуйте,


Piggy.exe - not-a-virus:PSWTool.Win32.ICQ.bs

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

Вот это скорость ответа - 10 мин! Я в легком шоке...

Сереж, я тоже!

И к тому же, уже удалён с файлообменника, похоже там проверяет касперский.

Нет Валер, пока не видит. Только что обновился.

Эх, не везет мне, только отвернулся :plakat': на полчаса на форуме. Кто-нить переложите свинью, аааа. кто успел стянуть зверька?
Описалово хрюшки:
"В общем, насколько я понял этот вирус за последние пару часов ну ооочень много заразил компьютеров, действует следующим образом, приходит ссылка в аську, человек нажимает сохраняет\запускает файл, пароль аськи тут же меняется, на экране в эксплорере открыта флешка со свиньей и фраза "Вы заражены вирусом H1N1" также меняется инфо контакта на "H1N1 Infected" в поле о себе цифры (нули и единицы), вирус мгновенно меняет пароль и отсылает ссылки всему контакт листу человека, оставляя пользователя аськи в режиме онлайн, он может вести беседу т.е. на вопрос после прихода ссылки "что это?" отвечает фразой типа "это клевая флешка про свинью", на вопрос "спам?" отвечает что-то на подобии "нет, это я тебе пишу О_о" в общем рабочий день закончен, половина офиса осталась без асек, я бы выслал результаты сканов, но сейчас не имею возможности а собственный комп - не заражен..."

Мне вот что в асю пришло:
Запрос авторизации
Раздень подругу .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Запрос авторизации
привет,че опять бездельничаешь? )) не авторизуй,номер не мой,просто фотки тут нашли .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.новогодние глянь *ROFL* там все наши скидыв
* не качается, видать для мобилы расчет, нужен вап-эмулятор или мобила

Запрос авторизации
Приветик слушай я Виктория
И мне оденоко (((
Познакомимся?
Вот фотки мои
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
* о5 троянчик для мобилы, замаскированный под картинку. 100% отправит смску на дорогущую услугу или более хуже подпишет на услугу и будут денежку каждый день вычитать. Аккуратнее дамы и господа

Вот еще два бэкдора , которые сигнатурно ни касперский ни нортон пока не детектят:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
ВТ:[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Тем, кто неуспел скачать Piggy:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Alexander196431, папка - тест, пустая(

Перезаливаю:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
Это я заархивировал папку со зловредами по ошибке после работы сонара:padstalom::girl_haha:

Люди! миленькие!!! а что делать тем, кто уже "поймал" хрюшку?! :acid: пароль не восстанавливается... я теперь H1N1 Infected (((((( Помогите!!!!!!!!!!!! ПОЖАЛУЙСТА!!!!!!!!!!

* ну ж жди, когда появятся рекомендации, может пароль она генерит стандартный для учетки, и потом он станет достоянием общественности
* или алгоритм генерации будет определен, если не хаотический
* или я могу попробовать под снифером посмотреть для тестового номера, какой номер генерится и отправляется в сторону icq сервера
какой у тебя icq клиент?

вот мой номер: 481531865
Спасибо, что откликнулись!:JC_ThankYou:

---------- Добавлено в 20:32 ---------- Предыдущее сообщение было написано в 20:30 ----------

а пользуюсь я QIP 2005

рано радуешься :old:
меня не номер твой интересует, меня интересует каким клиентом ты пользовался? qip, qip infium, icq 6, icq 6.5 или что-то еще?

а пользуюсь я QIP 2005

---------- Добавлено в 20:37 ---------- Предыдущее сообщение было написано в 20:35 ----------

я тут нарыла, что не все клиенты накрыло... Миранду не тронуло... а QIP точно хана (((

ладно, придется подождать....
о результате опытов напишу

Любань, отослал Касперу. Пришел ответ:

Здравствуйте,


Piggy.exe - not-a-virus:PSWTool.Win32.ICQ.bs

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

Авира даже чесаться не стала, не успел вставить файл в форму отправки как сразу вердикт

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

stasy_86,
сообщи точную версию кипа.
опиши что ты делала.
пока свинья не меняет мне пароль. :mda1:

a-squared поросенка хорошо ловит.

Отключили интернет. Запускаем. MD запросил разрешение на запуск (этот скрин можно было не делать, но пусть будет для последовательности)

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Сразу ломанулся в сеть (хотя интернет отключен)

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


После этого появился шедевр

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


От MD никаких алертов не поступает. Прождал несколько минут и снял его в диспетчере задач

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


-------------
Итак, от MD были только алерт на запуск и алерт на сетевое соединение. Я ждал пока он еще что нибудь выкинет, но этого не случилось. Наверное потому, что сети не было и QIP я не включил во время эксперимента. Пароли где хранятся - на сервере или на компе?

Собственно, пошли ссылки... каспер заменяет их тестом "Kaspersky Anti-Virus: forbidden incoming black link "

a-squared поросенка хорошо ловит.


Из 2802 поста a-squared Anti-Malware :
детектит db файл как - Riskware.Win32.VBInject!IK
второй - a-squared тихо , запустил , а он захотел управлять другими процесами и все , сам вырубился ... ?
Прасканировал систему с Prevx3.0 (он детектит этот файл как Medium Risk Malware Downloader) , вывод чисто . Выслал .exe в a-squared лаб. , пока не детектит :(
P.S. У Kaspersky прочитал - Trojan-Banker.Win32.Bancos.nr [Kaspersky Lab] is known to be created as: %CommonPrograms%\startup\startup.exe %System%\scvhost.exe

сегодня (прошли сутки) a-squared детектит : Trojan-Banker.Win32.Bancos!IK )))

а как у вас ?

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

пароли разумеется хранятся на сервере
кип хранит пароли зашифрованными в config.ini, для каждого пользователя отдельно
у меня хрюшка в сеть не лезет, не вижу я этого (((((

saffers, stasy_86, название темы смотрим, и прекращаем флудить!

вот, раз уж были посты на тему Хрюшки, то тут можно восстановить пароль:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
приношу извинения, если оффтопик

вот, раз уж были посты на тему Хрюшки, то тут можно восстановить пароль:
Фигасе там комментариев! Начиная со вчера. Вирус только вчера появился? И уже столько пострадавших. Офигеть! А ведь этот троян достаточно было его не выпустить в сеть, чтобы он ничего не украл. Любой файрвол его остановит.

Небольшая подборка для тестирования и пополнения коллекций:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
ВТ:[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

И уже столько пострадавших.
Вот я лошараа ))) вчера эту свинью под тенью запускал... а седня оказалось у меня аську угналии

Небольшая подборка для тестирования и пополнения коллекций:
*** скрытый текст ***
ВТ:[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Установлен NIS 2010 и как сканер по требованию МВАМ при распаковке архива автоматическая защита Нортона один из зловредов прибила:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
оставшиеся два "бойца" были просканированы Нортоном (никакой реакции, кто бы сомневался) и МВАМ сканером, МВАМ знает этих "мальчишей плохишей"...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
При запуске оставшихся в архиве двух "бойцов" сонар Нортона приговорил одного из них:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Второй из оставшихся "бойцов" не запускался и требовал его открыть какой то программой, ну я пробовал его открывать разными прогами, но ничего не происходило, может я, что то недопонимаю:blush2: вот скрин журнала Нортона...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Непонятное поведение отечественных вендоров .:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
результат на ВТ! ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Непонятное поведение отечественных вендоров
Отправил в Авиру - сразу ответ:
25103848 avz00002.dta 92.35 KB FALSE POSITIVE

The file 'avz00002.dta' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection is removed from our virus definition file (VDF) with the version: 7.1.1.234.

Переведено Гуглом
Avz00002.dta файл 'была определена как' FALSE позитив ". В частности, это означает, что этот файл не является вредоносным, но ложная тревога. Обнаружение удаляется с нашего вирусов файлов (ВДФ) версии: 7.1.1.234

Авира детектила, сняли с детекта т.к. это ложное срабатывание. Наверное, этим и объясняется поведение отечественных вендоров. (А я был удивилен поведению Авиры - тоже не детектит вместе с Каспером и Доктором).

На ВТ обнаружил ещё один он-лайн анализатор [Ссылки могут видеть только зарегистрированные и активированные пользователи]

---------- Добавлено в 16:09 ---------- Предыдущее сообщение было написано в 16:02 ----------

По innounp.exe более менее стало понятно, это распаковщик установовчных файлов [Ссылки могут видеть только зарегистрированные и активированные пользователи] скорей всего антивири поэтому на него и ругаются.

Ну собственно, способ вернуть асю найден, мной опробован... работает на 100%. Самое главное, чтоб сейчас не начался массовый угон людьми, которые знают этот способ. Для проверки вернул контроль над аськой stasy_86. Зашел, поменял пароль на другой, попросил людей из ее контакта передать, что всё хорошо, пусть обращается ко мне, я скажу ей новый пароль. Народ оказался понятливый, и матом меня не покрыли :rofl:

Ща заглянул на стр.139, сходил по ссылке в одном из постов. Вот вам очередная добыча. Обновляем флеш-плеер
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 50 сообщение(ий)) ::.
Результат анализа VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

-------
Думал сайт прекратит работу как только начнут детектировать антивирусы прошлых зверьков. Оказалось, сайт и сегодня работает, рад гостям и всегда есть новые (недетектируемые) "обновления" для флеш-плееров :girl_haha:

Хотел было обновить флеш плеер из поста №2826 но СОНАР 2 сказал:gy:
Недоступно
____________________________
____________________________
На компьютере:
19.01.2010 в 14:58:53
Последнее использование:
19.01.2010 в 14:59:14
Элемент запуска: Нет
Запущен: Да
____________________________
____________________________
Очень мало пользователей
Меньше 10 пользователей в Norton Community использовали этот файл.
____________________________
Высокий
Угроза этого файла высокая.
____________________________
Сведения об угрозе
Защита SONAR отслеживает подозрительные действия программ на компьютер



Источник
install_flash-player-10_build.9101.exe
____________________________
Действия с файлом
Файл: c:\documents and settings\alexandr\рабочий стол\новая папка\install_flash-player-10_build.9101.exe
Удален

"Ща заглянул на стр.139, сходил по ссылке в одном из постов. Вот вам очередная добыча. Обновляем флеш-плеер" Похоже там каждые пол часа генерируется новый блокер, чтобы"обувать похотливых юзверей". Сам только что скачал , но уже другой --152кб.:girl_sigh:
Судя по тестам здесь на форуме,лишь нортон своим сонаром 2 справляется с данным видом зловредов безупречно, все остальные пропускают новые модификации.Неплохо было бы отсылать ссылки на ресурсы , где генерируются блокеры основным вендорам.

не знаю, но ThreatFire и PC Tools Internet Security убивает этот типа иннст. флэша... по поведению, только в путь.... :good1:

Ща заглянул на стр.139, сходил по ссылке в одном из постов. Вот вам очередная добыча. Обновляем флеш-плеер
*** скрытый текст ***

BitDefender Total Security 2010 после распаковки выдал предупреждение обращения в интернет, запретил, а DefenseWall HIPS заблокировал недопустимое действие программы. Вручную удалил скачанный файл. В такой паре безопасно везде лазить.

Новый шедевр из Аськи, результат на VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Привет!Новый Jimm,красивый интерфейс, режим экономии батареек и трафика.
inwap.net/37234

Трудно девчонкам устоять, что бы не скачать Digital Access, ради такого фильма)) и ДрВэбом проверенно)
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::. ВТ! ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Установил Avira Premium Security Suite betta 2 bild 10.0.0.13..Скачал файлик Digital Access из поста №2832. Запускал из песочницы Sandboxie .Началась установка ,авира выбросила предупреждение , что файл "ломится " в инет, предложила запретить .Я как "законопослушный гражданин":yessir:послушался , в результате выскочило предупреждение винды о ошибке установки данного файла . На этом все закончилось:girl_sigh:

Alexander196431, так не интересно, надо было разрешить, щас попробую с новым релизным Авастом, посмотрим ху из ху))

Rampant, в том-то и дело , что авира заблокировала данный файл самостоятельно , без выбора действия со стороны пользователя , и только сообщила , что она сделала:gy:
Там была одна кнопка OK , что означало одобрить действия авиры по поводу блокировки данного файла.

предложила запретить или я что то не понял) это фаер или проактивка сработала?

Заблокировал файер , но в несколько ином режиме . Обычно классически авировский файер дает предупреждение типа разрешить /запретить, а здесь просто :
Blocked application:
Local IP: 192.168.250.178
Local Port: 60676
Remote IP: 95.211.129.17
Remote Port: 36895
Action Code: Connect
Application Path: C:\Sandbox\alexandr\DefaultBox\user\current\Мои документы\Загрузки\Install_Digital-Access_v.9251.exe:
сообщение о блокировании файла:confused1:

Полный провал Аваст 5 релиз! После того как диджитал аццесс подменил userinit, winlogon, ctfmon, ни один мускул не дрогнул, на симпатишном фэйсе новоявленного, мдя..., печально) Смотрим на всё это безобразие)

stV0lVR0VIR19bQF1VUlJcXlNT

Здравствуйте, господа!
Не могли бы вы потестить этот плеер: [Ссылки могут видеть только зарегистрированные и активированные пользователи] пароль virus.
А то у меня NIS вообще на него не реагирует. Ни на сам файл, ни на инсталяцию. При этом деструктивных действий нет - затаился гад :)

Rampant, А можно этот ролик как-то скачать? У меня видео в браузере не воспроизводится :sdaus:

teo, по твоей просьбе:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Тайлер, увы, с этого ресурса никак не скачать, но здесь лучшее качество, чем где-либо, и это является решающим фактором, в создании подобных роликов.

teo, Dr.Web:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

MD: Создание userinit.exe в system32, добавление дескриптора в другой процесс (smss.exe), сетевая активность.

Хм, а что это разные ацессы? тот что я выложил, пока Каспер с Доктором не детектят, Макрософт только добавился) молодцы! ВТ. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Валер, а это то что teo попросил! пост 2839

Их еще много будет, на всех хватит :)
Странно, что у teo Нортон не реагирует. Следствие кряка?

Их еще много будет, на всех хватит :)
Странно, что у teo Нортон не реагирует. Следствие кряка?
У меня 90 дневный триал.
Вот проверка на VT [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Вчера, на него реагировал только DrWeb, и то на VT, однако после инсталяции и проверки CureIt - тишина. NIS - молчит.

Перед этим, баловался с новым Get Access, NIS также молчал, при этом сказал, что этому скачанному файлу можно доверять :)
CureIt его удалил, а вот флэш плеер Get Access вообще ничем не могу убрать, видно придётся откатываться на резервную копию Norton Ghost.

P.S. А у меня ваших ссылок не видно :(

teo, ну их надо заслужить)) шутка) прямые ссылки на подобный софт..., не приветсвуется что ли) поэтому принимаем активное участие в жизни нашего форума, и вам будут доступны разные вкусности)

Перед этим, баловался с новым Get Access, NIS также молчал, при этом сказал, что этому скачанному файлу можно доверять :) CureIt его удалил, а вот флэш плеер Get Access вообще ничем не могу убрать

Мне кажется, СОНАР не должен его пропускать. Что-то тут не то.
Во всех форумных тестированиях результаты были... очень скучные для пользователей Нортона :)

Мне кажется, СОНАР не должен его пропускать. Что-то тут не то.
Во всех форумных тестированиях результаты были... очень скучные для пользователей Нортона :)
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Наверно многим не секрет уже,но если хотите,чтобы комп превратился во что-то необычное
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

По первой ссылке:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
А что должно быть? :)

По второй:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Вроде как Ботнет.Проверять так это или нет,но NIS его знает.

Avira PSSbetta также заблокировала данный файл из поста №2839, но файером:
Blocked application:
Local Port: 36358
Remote IP: 95.211.129.17
Remote Port: 36895
Action Code: Connect
Application Path: C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Install_Digital-Access_v.9251.exe
User: alexandr.
После чего было сообщение винды о невозможности дальнейшей установки данного файла.Запускал через песочницу и через шадув дехвендер результат один и тот же.

Проверка Касперычем ссылок из поста 2851

Со второй ссылкой все тоже самое - Пюрешка блокирует сразу!

У меня обе ссылки выдают вот такое окно.Попытка игнорировать его ничего не дает.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Авира все таки добавила свинью в базы
25554741 Piggy.exe 1.48 MB MALWARE

The file 'Piggy.exe' has been determined to be 'MALWARE'. Our analysts named the threat Worm/QiMiral.X. The term "WORM/" denotes a worm that is able to spread itself for instance over the Internet (using eMail, peer-to-peer networks, IRC networks etc.).Detection is added to our virus definition file (VDF) starting with version 7.10.02.236.

Детектируется с позавчерашнего дня
iVDF version 7.10.02.236 details
This VDF file was published on Tue, 19 Jan 2010 14:32 (GMT+1)

Сначала автодятел отвечает, что файл чист. Но вирусные аналитики все же его посмотрели и добавили в базы.

Подобрал два файла для тестирования и пополнения коллекций.Сами файлы здесь:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
Один из них --zvc.exe у меня не запустился. Второй срубил ThreatFire при запуске.
ВТ:[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Один из них --zvc.exe у меня не запустился.
Не распаковывая отправил в Авиру:
Один файл, setup.exe, приняли на анализ.
Второй файл, zvc.exe, Авира знает - MALWARE (TR/Spy.ZBot.advd).

"Второй файл, zvc.exe, Авира знает - MALWARE (TR/Spy.ZBot.advd)." У меня сигнатурно не детектит ,:girl_sigh:, может потому-что бэтта версия . Второй файл похож по поведению на новый фэйк . Я его заблокировал с помощьюThreatFire полько после предупреждения , что файл собирается
"размножать себя :padstalom:на компьютере"

Все больше проникаюсь уважением к ThreatFire от PC Tools. Запустил файл setup.exe из моего поста №2859. Давал разрешение практически на все действия , до момента ,кода появился "красный" второй центр безопасности винды в треее, перед самым сканированием фейка. Нажал опцию "уничтожить и изолировать процесс". Прошло 20-30 сек и все исчезло. Заглянул в журнал карантина
и увидел , что прога переместила туда около 40 создоваемых фейкам файлов из различных системных директорий , и около 50 зараженных ключей реестра:appl::aaa:

PC Tools - Нортон прикупил. Видимо не зря. Теперь держитесь, остальные :wink:

А много ли ложняков у ThreatFire? Просто если нубам ставить, то нужно выбрать, чтобы он сам помещал файлы в карантин, что немного опасно

Авира все таки добавила свинью в базы
Symantec тоже уже детектит*:mat:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Господа, у кого нибудь инсталлятор троянца смс-вымогателя Internet Security?
Я раздобыл выполняемые файлы этого троянца с зараженной машины.:ura1: Прописал запуск их из рееестра, предварительно разместив заразу в NTFS потоки. Но к сожалению в виртуалке они не запускаются. Видать инсталлятор подготавливает среду для их запуска или причина :wall: в чем-то еще.
В ближайшее время выложу для тестов.

А много ли ложняков у ThreatFire? Просто если нубам ставить, то нужно выбрать, чтобы он сам помещал файлы в карантин, что немного опасно
Он автоматом файлы на карантин не помещает , всегда выдает предуперждения с выбором действия . Насчет ложняков , так сразу ответить трудно, нужно подольше поюзать эту прогу.У меня ругался на воспроизведение потокового видео в Real Plaeyr, предупреждая , что подключение к и-нету идет "незаконным" скрытым способом, характерном для троянцев.

А много ли ложняков у ThreatFire?
польуюсь им 2 месяца, на памяти только один фолс с запуском "линейки"... но на неё почти все антивиры ругаются...

Господа, у кого нибудь инсталлятор троянца смс-вымогателя Internet Security?
Я раздобыл выполняемые файлы этого троянца с зараженной машины.:ura1: Прописал запуск их из рееестра, предварительно разместив заразу в NTFS потоки. Но к сожалению в виртуалке они не запускаются. Видать инсталлятор подготавливает среду для их запуска или причина :wall: в чем-то еще.
В ближайшее время выложу для тестов.
На сколько я знаю, инсталлятор после запуска на исполнение самоуничтожается. Мне очень интересно, каким чудом эта зверушка умудряется выключать системные службы даже на WINDOWS 7 :blush2:

наверно это уже есть у всех. Очередная рассылка по Аське, NOD заблокировал закачку файла
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Приветик я Крестина
Мы стабою как-то говорили по аське
Ты просил мою фотку
file:///C:/Program%20Files/Miranda%20IM%20%5BPilot_Pack%5D%207.0/Skins/IEView/GoneDark/%21tools/icons/picture_go.png[Ссылки могут видеть только зарегистрированные и активированные пользователи]

наверно это уже есть у всех. Очередная рассылка по Аське, NOD заблокировал закачку файла
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
авира также заблокировала:kolyes:
Warning
In order not to compromise your security, this page will not be accessed

The requested URL was identified as a potentially harmful website.
For more information why this page has been blocked, please click here. A description of how to remove the block for this page is available here (in German and English only). Requested URL: [Ссылки могут видеть только зарегистрированные и активированные пользователи]
Category/categories: Malware

.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Похоже на .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. снова "праздник":girl_haha: раздают обновление для флеш плеера. Скачал . Авира 0 эмоций . Решил проверить ThreatFire на данном , актуальном виде зловредов . Он сразу выдал предупреждение о высоком рейтинге опасности данного файла, поэтому нажал "уничтожить и изолировать процесс".В карантин попали сам Instal_Flash_player_ и system32/userinit.exe. Затем решил снова скачать , чтобы отправить в авиру , но оказывается ThreatFire заблокировал и закачку данного файла из вышеупомянутого ресурса.:mat:

Alexander196431,
А как ThreatFire ведет при запуске легитимных программ, есть ли фолсы? А то в свое время он у меня на qip нападал и на др. полезные программы и никак не можно было их внести в исключение...

раздают обновление для флеш плеера
Меня Каспер не пускааает:plakat':

Norton при скачивании файла и "ухом не повел" и лишь при попытке запустить его обратил внимание.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Интересный момент. При попытке перейти на сайт .:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::. NOD выдаёт следующее окно.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

с сайта происходит обновление ключей NOD32 вместе с ключами затягивается и вот такой интересный файл на VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) но при конкретной проверке к примеру Касперским выдаёт detected: Trojan program Trojan-Downloader.JS.Agent.nv file: .:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.

сам файл ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), пароль infected

Alexander196431,
А как ThreatFire ведет при запуске легитимных программ, есть ли фолсы? А то в свое время он у меня на qip нападал и на др. полезные программы и никак не можно было их внести в исключение...
Сейчас актуальной является версия 4.7.0.17. Со временем какие-то фолсы убирают, у меня пока особо не фолсит , кроме реал плеера, при воспроизведении потокового видео , но там выскакивает предупреждение с выбором действия , можно разрешить или запретить.

---------- Добавлено в 17:23 ---------- Предыдущее сообщение было написано в 17:20 ----------

Интересный момент. При попытке перейти на сайт *** скрытый текст *** NOD выдаёт следующее окно.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

с сайта происходит обновление ключей NOD32 вместе с ключами затягивается и вот такой интересный файл на VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) но при конкретной проверке к примеру Касперским выдаёт

сам файл ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), пароль infected
[/URL]
Авира на сайт не пустила
:Warning
In order not to compromise your security, this page will not be accessed

A virus or unwanted program was found in the HTTP data of the requested page.Requested URL: [url][Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Information: Contains recognition pattern of the HTML/Crypted.Gen HTML script virus

Каспер ведет себя интереснее: на сам сайт пускает, однако на нем находит вирус!
Отправил ссылку на сайт в ЛК. Пусть добавляют в базы.

По традиции отправил в Авиру
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
Смотрю,что сам сайт всё время меняются картинки.

Каспер ведет себя интереснее: на сам сайт пускает, однако на нем находит вирус!
Отправил ссылку на сайт в ЛК. Пусть добавляют в базы.

У меня не пускает
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

У меня не пускает
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Значит, уже добавили! Оперативно!

По традиции отправил в Авиру
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.


Смотрю,что сам сайт всё время меняются картинки.



Меня Касперыч не пускает!

ThreatFire заблокировал и закачку данного файла из вышеупомянутого ресурса
У меня он дал скачать, но запустить "обновление" не получилось - система выдала алерт на ошибку:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Что касается Аваста, то он просканировал файл и признал его безопасным.
(гоняю на второй виртуальной системе связку фришный аваст+ThreatFire как бесплатное решение для домохозяек-блондинок))))))

Вот ссылочка на код зловреда Internet Security .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. Пароль к архиву "virus"
expuserini.bin - код зловреда извлеченный из ntfs потока, стартует из HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
или HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
infmdmarn.bin - предположительно защитный механизм зловреда,
запускался как HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs C:\WINDOWS\inf\mdmarn.PNF:SxHVB+H
:old: Все библиотеки, указанные в этом списке, автоматически загружаются в адресное пространство всех запускаемых процессов!

По-прежнему ищу инсталлятор или ссылоску на эту зверюшку :mat:

Отправил в ЛК очередной флеш плеер с .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::., ответ пришел через 7 мин:
Здравствуйте,


Install_Flash-Player-10_build.9102.exe - Trojan-Ransom.Win32.Digitala.cf

Детектирование файла будет добавлено в следующее обновление.

-----------------
С уважением, Виталий Бутузов
Вирусный аналитик, Лаборатория Касперского:mat:

Вот ссылочка на код зловреда Internet Security *** скрытый текст *** Пароль к архиву "virus"
expuserini.bin - код зловреда извлеченный из ntfs потока, стартует из HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
или HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
infmdmarn.bin - предположительно защитный механизм зловреда,
запускался как HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs C:\WINDOWS\inf\mdmarn.PNF:SxHVB+H
:old: Все библиотеки, указанные в этом списке, автоматически загружаются в адресное пространство всех запускаемых процессов!

По-прежнему ищу инсталлятор или ссылоску на эту зверюшку :mat:


Вот ответ из ЛК по этому поводу:

Здравствуйте,


expuserini.bin - Trojan.Win32.FraudPack.ajum
infmdmarn.bin - Trojan-Downloader.Win32.Piker.bjb

В настоящий момент эти файлы детектируются. Пожалуйста, обновите антивирусные базы.

prefetchexploreruserini.bin

Этот файл чист.
pf-файлы создаются Windows и существуют для быстрого доступа к часто запускаемым программам
Нам на исследование следует присылать файлы, на которые ссылается pf-файл,
например, есть файл FILE.EXE-399A8E72.pf, посылать следует FILE.EXE

У меня он дал скачать, но запустить "обновление" не получилось - система выдала алерт на ошибку:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Что касается Аваста, то он просканировал файл и признал его безопасным.
(гоняю на второй виртуальной системе связку фришный аваст+ThreatFire как бесплатное решение для домохозяек-блондинок))))))

Кстати, похоже, что этот лже-плейер выглядит так:

Вышла новая разновидность зверька Internet Security...
Генераторы, кодов для разблокировки не подходят. Немного изменился механизм запуска.
Теперь на ввод кода пишет не "Ждите", а "АНАЛИЗ 7..." цифры после слова Анализ делают обратный отсчет, вторая попытка пишет уже не 7 а 37, третья попытка пишет 190, причем это не секунды, а как минимум в 5-7 раз дольше...
Так что зверек совершенствуется...:appl:

Вы аплодируете авторам данного зловреда? :bayan:

Вышла новая разновидность зверька Internet Security...
Генераторы, кодов для разблокировки не подходят. Немного изменился механизм запуска.
Теперь на ввод кода пишет не "Ждите", а "АНАЛИЗ 7..." цифры после слова Анализ делают обратный отсчет, вторая попытка пишет уже не 7 а 37, третья попытка пишет 190, причем это не секунды, а как минимум в 5-7 раз дольше...
Так что зверек совершенствуется...:appl:

Жестокий реально зверек!
Я бы этих "спецов" :guns: :connie_caveman-1:

И Norton оперативно сработал.Если еще пару часов назад он только предупреждал,то сейчас, на попытку запустить файл,СОНАР отреагировал однозначно.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Скачал "флеш плеер", запустил сразу с закачки. .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Такое обнаружение эвристическое первый раз у себя наблюдаю, версию NIS 2010 не обновили пока, может в базы что добавили?
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Отправил в лабораторию Symantec

mystral, совершенно верно, сейчас проверил на своей реальной (не виртуальной) системе - при закачке выдал именно такое, анализ эвристики в облаках.... Сонар даже не успел вступить в работу.

Вышла новая разновидность зверька Internet Security...
Так что зверек совершенствуется...:appl:
А где взять-то?

на файл из поста 2893 PC Tools Internet Security 2010 промолчал и дал записаться на диск, но при запуски вот что вывелIntelliGuard: Подозрительно ведущий себя объект помещен в карантин
Действие: Помещенные в карантин пользователем
Подробности: Данная программа пытается управлять или внести несанкционированные изменения в другую программу на вашем компьютере.
Риск: ВЫСОКИЙ
Процесс: C:\USERS\Костик\DOCUMENTS\DOWNLOADS\INSTALL_FLASH-PLAYER-10_BUILD.9102.EXE ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

---------- Добавлено в 23:32 ---------- Предыдущее сообщение было написано в 23:28 ----------

Вот что в Googl chrom'e нашел PC Tools IS 2010: Инфекция устранена
Имя инфицированного файла - HeurEngine.MaliciousPacker
Тип - Файл
Уровень риска - Средний
Инфекция - C:\Users\Костик\AppData\Local\Google\Chrome\User Data\Default\old_Cache_000\f_002b32

Гм,поправьте,если ошибаюсь,но контент-провайдеры нарываются на неприятности.Это,разумеется,ИМХО.

Привет! Прикольно читать за реакцией Каспера. Ссылку отправили - через 20 минут уже не пускает. Зверька отправили - через 7 минут уже детект :padstalom:

Norton при скачивании файла и "ухом не повел" и лишь при попытке запустить его обратил внимание.
И Norton оперативно сработал.Если еще пару часов назад он только предупреждал,то сейчас, на попытку запустить файл,СОНАР отреагировал однозначно.
Dimkaa, а не нужно было ждать пару часов. Тогда когда Нортон выдал предупреждение, что "вы загружаете этот файл одним из первых", если бы ты проигнорировал предупреждение и все-равно запустил, Сонар прибил бы его в тот же момент.

Привет! Прикольно читать за реакцией Каспера. Ссылку отправили - через 20 минут уже не пускает. Зверька отправили - через 7 минут уже детект
Молодцы, прогресс налицо. А ведь еще полгода назад их вирлаб жестко критиковали, и сами они соглашались, что качество работы упало.

Пришло сообщение в аську:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. Хоть и от знакомой, но до того молчала давно. Каспер на сайт пустил, дал скачать архив, проверил, сказал, что всё чисто...

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
посмотри, классная вещь!
При запуске сработал СОНАР:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Смотрю, на сайте этот файл скачало уже 8436 человек. Неплохой ботнет получается...
А за аськой походу уже небось не девочка сидит, а дядька незнакомый.:girl_sigh:
Хотя - кто его знает? Может, и фолс.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
посмотри, классная вещь!

Dr.Web: clips01505.scr - инфицирован Trojan.PWS.LDPinch.1941

Смотрю, на сайте этот файл скачало уже 8436 человек. Неплохой ботнет получается...
Серег, это ж вредоносный сайт, там циферки не меняются :kolyes:

это ж вредоносный сайт
А чуваки в ЛК и не знают....

---------- Добавлено в 00:12 ---------- Предыдущее сообщение было написано в 00:10 ----------

Самое интересное, что и Вебер промолчал.. а я ему пальцем ткнул, что проверить...

---------- Добавлено в 00:14 ---------- Предыдущее сообщение было написано в 00:12 ----------

Dr.Web: clips01505.scr - инфицирован Trojan.PWS.LDPinch.1941
У меня portable версия, базы относительно свежие - молчит...

Спасибо за вирусы.
С hot.clickdigitalvideo.com/ скачать ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) не смог, при проверке в облаке ему настал кердык:appl:

Серег, это ж вредоносный сайт, там циферки не меняются
Norton Safe Web показал одну угрозу на сайте, но подобный вердикт далеко не всегда показывает реальную опасность - запаздывание может быть очень велико.

А чуваки в ЛК и не знают....
Всмысле?

Я опять хотел скачать флэшплеер,а там уже версия не 9102,а опять 9101,но при попытке скачать.
Сначало вылезло облачное подозрение,потом - Сонар,а потом - File Insight прибил.
В журнали записей нету,а хотел глянуть,что там к чему.
Во как,все 3 вещи вместе работают!

Всмысле?
Если какая-то гадость меня ждет на сайте, куда я иду - они блочат доступ и вывешивают алерт. А тут пустили, дали скачать, после проверки сказали, что это нифига не вирус...

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
посмотри, классная вещь!
Авира заблокировала страницу при нажатии на скачивание
Предупреждение

Чтобы не повредить Вашей безопасности, доступ к этой странице закрыт.

В данных HTTP запрошенной страницы был
обнаружен вирус или вредоносная программа.

Запрошенный URL: _[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Информация Троянская программа TR/Dropper.Gen

baloo, проверил твою заставку на другой виртуалке, с ТретФайером и авастом. При запуске заставки выскочил алерт Трета:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

По третьей ссылке открыось окно поиска гугла по данной угрозе, и по ссылке на форум Каспера(:rofl:) перешел туда. Вот что там пишут:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Спасибо за вирусы.
С hot.clickdigitalvideo.com/ скачать не смог, при проверке в облаке ему настал кердык
Скачал. Сразу отправил в Авиру. И сразу вердикт
Install_Flash-Pla...01.exe MALWARE

The file 'Install_Flash-Player-10_build.9101.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Agent.140296. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.

У меня Авира не детектит. Номер сигнатур (когда добавили или добавят в базы) в вердикте тоже нет. Очень похоже - сработал автодятел. Теперь сигнатура в базы добавится без вирусных аналитиков.

---------- Добавлено в 23:41 ---------- Предыдущее сообщение было написано в 23:40 ----------

По третьей ссылке открыось окно поиска гугла по данной угрозе, и по ссылке на форум Каспера() перешел туда. Вот что там пишут:
:padstalom:

А вот тот самый отчет по данному сайту Norton Safe Web: [Ссылки могут видеть только зарегистрированные и активированные пользователи]
Как мы видим, как угроза указан именно данный файл-заставка.

Google смотрю тоже не отстаёт, оперативно однако.:appl:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
посмотри, классная вещь!
Avast 5.0.377 Pro, разрешил загрузить и в архиве ничего не нашел, Trustport 2010 заблокировал загрузку - вирус "Gen:Trojan.Heur.mq0@s9!axieOu"

Gen:Trojan.Heur.mq0@s9!axieOu это определение вирлаба BitDefender.
G Data AntiVirus 2010: отказано в доступе к этому веб-сайту.
Страница содер&жит зараженный код: Gen:Trojan.Heur.mq0@s9!axieOu (Engine A).

PC Tools IS 2010 на [Ссылки могут видеть только зарегистрированные и активированные пользователи] промолчал, внутри архива файл расширения .src как правило ничего хорошего не приносит, в ThreadFire есть правило, убивать файлы с таким расширением при записи на HDD... помню зимой этой в декабре был такой прикол, у моих знакомых, у большинства, взломали аси, и приходили такие сообщения "смотри кто на фото" и ссылка я ко бы на картинку,при скачки трансформировался в .src и распаковывался... был в нем вирус, блочил ОС и писал отправь смс... ни каких действий с ОС не возможно было сделать... это тоже распаковщик с поддельной иконкой... [Ссылки могут видеть только зарегистрированные и активированные пользователи]
под Windows 7 x64 файл не прокатил... и ни к каким действиям не привел...

под Windows 7 x64 файл не прокатил... и ни к каким действиям не привел...
Ну, значит, baloo может спать жить спокойно...

под Windows 7 x64 файл не прокатил... и ни к каким действиям не привел...
По классификации Касперского - Trojan.Win32.VBKrypt.ee. Ключевой момент - Win32. Т.е. на х64 не катит.

-----------
А вот DrWeb его обозвал - Trojan.PWS.LDPinch.1941. Тоже все предельно понятно: Trojan - троян; PWS - тырит пароли; LDPinch - понятно, что пинч.

А кстате, ещё ниразу не видел Win64. - вирей.

А вот DrWeb его обозвал - Trojan.PWS.LDPinch.1941. Тоже все предельно понятно: Trojan - троян; PWS - тырит пароли; LDPinch - понятно, что пинч.
а 1941 - намекает на то, что грозит большими разрушениями и потерями, да?:gy:

на собственном примере Email Worm Bagle разновидность не помню, PC tools все разновидности засунул под одну сигнатуру Email Worm Bagle а в описание пишет разновидность по касперу... так вот сидел по 7 x64 и авиру обошел, и только PC tools нашел его по ключу реестра.... сидел сибе спокойно и рассылал свою почту с вложенным самим собой, в обход всего и вся... хотя все они являются Win32

Фишинговая ссылка
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.Проверьте Каспер блокирует как фишинговую? Если нет, отправьте пусть ссылку добавляют в базы.
С той страницы еще три ссылки. Если Каспер пустит на эту страницу, проверьте на блокировку остальные. Все ссылки фишинговые.

Проверьте Каспер блокирует как фишинговую?
На сам сайт пускает, жмём на ссылки вверху страницы, и получаем алерт:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

На сам сайт пускает, жмём на "Защити свой компьютер от вирусов, спама и сбоев.", и получаем алерт:
Там три ссылки:
-Раскрыты секреты сайта Одноклассники.RU!
-Узнай, что у друзей под одеждой
-Защищен ли твой компьютер?

Авира блокирует вторую. Итого, с самим этим сайтом, 4 фишинговые ссылки.

И вот еще на данном сайте нарыл
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. Тоже фишинг.

В Авиру все эти ссылки (за исключением, той которую она блокирует) уже отправил.

--------------------
На сам сайт пускает, жмём на ссылки вверху страницы, и получаем алерт:
Ага! Т.е. Каспер блокирует все три, которые вверху страницы. Отлично! В рунетевской зоне Каспер достаточно хорошо ориентируется :kolyes:

-Раскрыты секреты сайта Одноклассники.RU!
-Узнай, что у друзей под одеждой
-Защищен ли твой компьютер?
Все три блочит. На guard пускает, я там понажимал чуток - каспер молчит, не стал рисковать, закрыл страничку.

Все три блочит.
Уже увидел :good1:
не стал рисковать, закрыл страничку.
А я в песочнице гуляю. Ищу приключений на свою голову на свой комп :girl_haha:

Razboynik, А я в песочнице гуляю.
Завидую... А под х64 песочница не работает...Хотя вчера на вики нашёл инфу, что в Семёрку песочница уже встроена.

Сейчас просканировал комп на вирусы. На время сканирования отходил от компьютера, когда подошел Авира уже заканчивала сканировать. Каково же было мое удивление, когда увидел что Авира обнаружила 6 штук :crzswans:

Только недавно переустанавливал систему (с форматированием системного раздела), гуляю в инет в песочнице, установлен хипс MD.

Посмотрел журнал - оказывается Авира поместила в карантин файлы... которые у меня пролежали свыше 3-х лет.

В те времена интернет был слабенький, лимита трафика всего ничего и поэтому для экономии трафика сохранял некоторые интересные веб страницы (не порно) с полезной информацией - типа журналов делал себе, чтиво. Я тогда и книги с инета качал, но они были в формате doc, а веб страницы которые сохранял - в формате HTML. Чтива набралось достаточно, я уже все давно прочел, а хранится инфа - типа как для библиотеки, в отдельной обычной папке не в архиве.

И вот, спустя три года Авира поместила 6 страниц в карантин с вердиктом - HTML/Revir.Gen. Ложное срабатывание? Или правда что-то нашлось? :scratch_head:

Описание этого вердикта не нашел ни в инете, ни на сайте Авиры. В википедии тоже ничего интересного ([Ссылки могут видеть только зарегистрированные и активированные пользователи]Ревир). Нашел немного подробнее - Что такое ревир? ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) Конечно описания еще нет, ведь сигнатуры только появились - неделю назад проверял Авирой, ничего не обнаруживала. И другие антивири тоже ничего не видели. И тут :guns:

Так восстанови их и проверь на ВТ

у меня пролежали свыше 3-х лет.
Гм... Есть у меня тестовый архивчик с почти 4 тысячами древних вирей.. Хорошо, что он от Каспера надёжно спрятан, иначе антивир с ума сошёл-бы:crzswans:

интересные веб страницы (не порно)
Сделаем вид, что поверили :rofl:

Так восстанови их и проверь на ВТ
Тоже так думаю. Если на ВТ никто не будет детектить, тогда наверное отправлю в вирлаб Каспера, опишу вердикт Авиры - пусть проверят. Тогда буду точно знать - фолс или три года на компе в пыльной папке пролежали без движения зараженные страницы?

Вот так однажды приобрел на рынке CD-Rom, там было написано - "Проверено. Вирусов нет." Аваст тогда стоял, и начал спустя месяц на том диске находить вирусню. Потом появилась Авира - тоже подключилась. Последний новый (!) детект был несколько месяцев назад. Диск не выкидываю, просто по нему интересно наблюдать - как быстро вирусня добавляется в базы.

Но здесь (если это не фолс) - добавили в базы спустя 3 года. Это круто :appl:

Вывод: На сигнатурные базы надейся, но проактивкой программы проверяй. Вирусы могут не детектироваться много лет :old:

---------- Добавлено в 20:51 ---------- Предыдущее сообщение было написано в 20:46 ----------

Сделаем вид, что поверили
Честно скажу, я не смущаюсь когда разговор идет о порнографии. И если бы это были страницы с порно - так и сказал бы.

Почему я отметил, что не порно - обычно именно порно страницы бывают заражены. А это обычное чтиво. Поэтому и удивительно.

Почему я отметил, что не порно
Да я-ж смайлик поставил не просто так.

Один из файлов закинул на ВТ. Результат ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

Только на ВТ Авира эвристикой рубит "HEUR/HTML.Malware", а у меня срубила сигнатурно - "Содержит сигнатуру HTML скрипт-вируса HTML/Revir.Gen". Наверное после совсем недавнего обновления, если на ВТ пока только эвристикой мочит.

Вот вам, балуйтесь
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 20 сообщение(ий)) ::.
Просьба: если отправите в свой вирлаб, обязательно напишите когда они ответят. Мне интересно - это вирус или фолс?
Каспера не трогайте - он мой. Сам ему в вирлаб отправлю и попрошу ответить :wink:

Фишинговая ссылка
*** скрытый текст ***Проверьте Каспер блокирует как фишинговую? Если нет, отправьте пусть ссылку добавляют в базы.
С той страницы еще три ссылки. Если Каспер пустит на эту страницу, проверьте на блокировку остальные. Все ссылки фишинговые.
Серег, Каспер пропустил на весь сайт и на последующие страницы. Послал в вирлаб ссылку, пришел ответ: Здравствуйте,

Этот сайт является фишинговым, он был добавлен в черный список.

Вот вам архивчик с моим старьём, самое странное, что Каспер нашел только 4 виря, DR.Web с базами от 5 января - целых 28!!

.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.


[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

А вот что Norton смог.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Самое интересное, что разные антивиры выдают разные результаты о количестве проверенных объектов.

Из архива: a-squared Free нашёл 312 шт,Авира 96 шт.

a-squared Free нашёл 312 шт,Авира 96 шт :appl:
Кстати, я проверял архив, не распаковывая.

Самое интересное, что разные антивиры выдают разные результаты о количестве проверенных объектов.
Все зависит от настроек. Каждый АВ проверяет определенные типы файлов по-умолчанию, но можно настроить, чтобы проверял все типы файлов

Malwarebytes' Anti-Malware напрягся и нашел 1шт(архив распакован)

baloo, если вирусы старые, то вполне возможно что они уже просто хламнерабочий)))
НОД при попытке скачивания выдал окно
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Мне этого достаточно, чтобы архив не качать и в него не лазить.

Авира выдала при скачивании архива

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Распаковать уже не дает.

:appl:
Кстати, я проверял архив, не распаковывая.
То же самое,архив не распаковывал.

Мне этого достаточно, чтобы архив не качать и в него не лазить.
Эх, вот так-бы все пользователи думали... Мечты, мечты. Вообще, этот архивчик скачал где-то на просторах инета года 3 назад, тестил разные антивиры, да потом так и запихнул куда-то в хлам... И еще: Вебер как-то интересно их обозвал: Siggen

Вижу по скринам, там даже досовские вирусы... Старые сильно, короче :)

Эх, вот так-бы все пользователи думали... Мечты, мечты. Красных окон пугаются даже все знакомые флегматичные блондинки)))) Но если экстрим наше всё - я не виноват)))))
З.Ы. Я кстати в свете последних надрывательств попы в области хотения бабла по смс, дополнительно к НОДу и ЗА поставил ThreatFire. Забавно наблюдать на войну хипсы ЗА и РСtool в первый день обучения))) :crzswans:

на архив из поста 2936 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) PC Tools IS Отреагировал вот так просто и со вкусом : [Ссылки могут видеть только зарегистрированные и активированные пользователи]
выругался он после 137 про сканированных файлов:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
найдя одну угрозу, он решил не продолжать и так сказать предложил убить архив, не указав в каком файле вирус, просто в архиве, заражен, и все тут :)

там даже досовские вирусы... Старые сильно
Я сразу предупредил, что там старьё :gy:

Забавно наблюдать на войну хипсы ЗА и РСtool в первый день обучения
Году наверно в 2001-м была война между Каспером и Др.Вебом на отдельно взятой машинке, поставили под Винтукей, для опытов, так сказать. Веб полез обновлять базы, Каспер ругнулся, что кто-то что-то связанное с вирусами делает, решил пресечь... Веб ругнулся, что кто-то не даёт базы обновить, ну и борьба у них началась... Победил Каспер...:crzswans:

---------- Добавлено в 01:41 ---------- Предыдущее сообщение было написано в 01:40 ----------

PC Tools IS Отреагировал вот так просто и со вкусом
Аналогичный результат. Не стал сканить весь архив, а предложил сразу в морг...

Смотрю, у PC Tools IS хоть и плохой детект, а проактивка делает его не плохим

Скрытый текст требуется (0 сообщение(ий), сейчас у вас 6078): [Ссылки могут видеть только зарегистрированные и активированные пользователи]
Результаты фришного 5-го аваста. Впечатлила скорость проверки - это на моем-то старом тормознутом компе да на виртуалке...

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Смотрю, у PC Tools IS хоть и плохой детект, а проактивка делает его не плохим
Ну как плохой, да есть немного, на новые угрозы медленней реагирует, чем популярные продукты: как Капер например. хотя если проследить за обновами, то в день они добавляют в базу от 5000 до 30000 сигнатур... в облаке известно ~92.000.000 вредоносного фуфла. общая сжатая база у программы ~6.000.000 сигнатур, при этом детектит 1 сигнатурой десятки и более вирусов, подобных или модификаций... а за счет ThreadFire, просто золото.... ИМХО...

3 свежих вируса..
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

З.ы. как тут ставить хайд по кол-ву постов?
[НІDE=кол. постов] [/НІDE]

вот ещё один "ретро" архивчик, несколько файлов 2006-2007-го года выпуска которые существовали у друга на компе до сегоднешнего дня, каспер и веб их не видят или уже исключили из сигнатур, обнаружил с помощью a-squared (хотя может и фолс).
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

notenuf, а пароль на архив???

notenuf, а пароль на архив???
Похоже infected
SEP ругнулся на два файла при распаковке данного архива
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
А вот реакция ClamWin:
F:\!!!_Infected\new_virus\2010_01_24\Quarantine\76D7DAD1d01: Trojan.Bat.Killfiles-19 FOUND
F:\!!!_Infected\new_virus\2010_01_24\Quarantine\CORE2000.EXE: Trojan.Packed-4 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 702130
Engine version: 0.95.3
Scanned directories: 1
Scanned files: 5
Infected files: 2

каспер и веб их не видят
Там банальные кейгены и прочее... Поэтому антивиры и не реагируют. Уже много раз писалось, что на данный софт некоторые антивиры ругаются.

за пароль глубокое "сорри" )) насчет того что это банальные крэки, нуу вполне возможно но с таким страшным названиием "киллфайлс".... да и эти крэки я достал с реально зараженной машины с аномальным поведением... поэтому засомневался

SEP ругнулся на два файла при распаковке данного архива
Товарищ у меня поставил как-то NIS, ну и решил просканиь переносный винт... В результате лишился всех кряков и кейгенов к софту, который собирал несколько лет. Позвонить мне не догадался, и просто снес антивир, из папки карантина ничего не восстановив.

SEP ругнулся на два файла при распаковке данного архива

Авира так же узрела 2 файла.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Товарищ у меня поставил как-то NIS, ну и решил просканиь переносный винт... В результате лишился всех кряков и кейгенов к софту, который собирал несколько лет. Позвонить мне не догадался, и просто снес антивир, из папки карантина ничего не восстановив.
Думаю, Norton в этом винить не стоит, т.к. он делает свою работу, ведь компания Symantec входит в число компаний ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), которые борются с пиратством и поэтому, в данном случае, мы лишь наблюдаем выполнение требований программы BSA ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

Black_N, Думаю, Norton в этом винить не стоит
Ни в коем случае не виню его! Более того, очень многие знакомые сисадмины считают его лучшим продуктом. Да и я был им доволен.

Товарищ у меня поставил как-то NIS, ну и решил просканиь переносный винт... В результате лишился всех кряков и кейгенов к софту, который собирал несколько лет. Позвонить мне не догадался, и просто снес антивир, из папки карантина ничего не восстановив.
Вот поэтому стараюсь ничего не советовать профанам - потом тебя же и обвинят, что хрень насоветовал... а тем, кто больше тебя понимают в компах, советовать, естественно, глупо - вот и получается, что советовать вообще никому не стОит:girl_sigh:

Тема закрыта и перемещена в архив. Продолжение здесь: [Ссылки могут видеть только зарегистрированные и активированные пользователи]