если вам от друзей пришла ссылка похожая на
http://fayst.co[что-то там, укороченно чтобы не зашли случайно]

Если в этой ссылке присутствует это слово "fayst", а по ссылке вы видите черно-белую картинку, то вы только что на свой комп активировали червя, который ловит все пароли, кредитки, банковские пароли и шлёт куда-то там... Срочно меняйте ВСЕ пароли, если вы на это попались... У меня 3 кореша уже без аси остались, да и я сам случайно попался, забылся и зашёл по ссылке, не подумав... И что самое интересное, антивирусник молчал, пока не обновил его, вроде удалось выловить создаёт четыре файла ехешник в корне папке C:/System_restore/..., или C:/Windows/System Restore/.., точно уже не помню, но помню что папка System Restore, фаqлы выглядят на подобии A0012E00.exe и их там 4 таких подобных

НОД 32 вам в помощь...

Хм, спасибо, что предупредил :)

Спасибо за инфу.

Хотя всегда по сообщению видно что это точно не друг кидает,а вирусы лезут =)

Такого не было, мне вот что пришло


190941922 (16:03:53 22/12/2008)
Пелингатор - программа позволяющая определить местоположение сигнала мобильного теелефона по его номеру ЦЕНЗУРА.


С одной стороны очень интерует, с другой был уверен что какой нить вирус, скачал, установил, прога не пашет. И щяс сижу и думаю какой же я лох, потому что 100 % должен быть вирусом) Хоть мой любимый НОД32 не чего не показал, все оч. боязно )

любителям нод32 поищите тут топ недавно был как человек искренне удивлялся что у него не обнаруживался вирус
p.s. 2 автор, подобного рода сообщений с вирусами существуют тысячи имхо не стоит про каждое создавать топ

Спасибо за инфу

По ссылке заходили через IE7?
А system restore - там лежат файлы восстановления системы. Т.е. файлы от прошлой точки восстановления)

Небыло еще такого), а если и будет, я по этим ссылкам все равно не хожу , бред %)

оО сп что сообщил. мне приходило чтото подобное

Я например всякие левые сцылки игнорирую просто и все.

Во во, надо быть одарённым чтобы по ссылкам из спама кликать :)

Во во, надо быть одарённым чтобы по ссылкам из спама кликать :)

ты вообще мой пост первый читал? какой спам?

ответить нужно в стиле ЗопясалЪ?
ПС: сами открываете как хрен знает кто всякие левые ссылки, а потом голову ломаете, как я месяца два назад - что пароль от аськи не подходит :lol:

Да таких ссылок миллион присылается в день.
Просто нужно запомнить "Халявы нет!", "Какая людям выгода, если это бесплатно?!".
Всё. Эти правила лучше всяких антивирей :)

Мне такое уже наверно месяца 3 шлют, подругу взломали, а она на аську забила, так примерно каждый недели две с её аськи такие ссылки приходят.

Блин , никогда не заходил по ссылкам в которых не уверен 0_о и не буду..и поражаюсь тем людям , которые заходят


Мне такое уже наверно месяца 3 шлют, подругу взломали, а она на аську забила, так примерно каждый недели две с её аськи такие ссылки приходят.

А в игнор кинуть , не?)

Спасибо за инфо приходило пару раз такая лабуда

Найден этот вирусняк и разобран на запчасти вот чего оно умеет.
Написан на c++ и сжат утелитой PECompact v2, при этом имеет 68 кб размер в запакованном виде ипри распаковке получается 231 кб. Попадает на компутер с использование брешей в браузерах имеет 2 варианта в виде exe файла и обёртки exe интергированное в картинку jpg с смещёнными секциями что позволяет обойти браузер и программы просмотра и исполнить сцинарии на уезвимых dcom компонентах и запустить даддную срань на машине. После запуска приписывает себя с ряд ключей реестра и тухнет с ожиданием т.е. не работает минимальное кол-во времени по принципу запустился и выгрузился таким образом непроявляет себя в оперативной памяти (для запуска себя использует стандартный планировцик заданий винды в фоновом режиме) при каждом запуске собирает инфу из различных файлов в том числе и системных, как мне удалось выяснить в первую очередь смотрит установленные клиенты вебманей и других платёжных систем их сертификации и старается выдрать из них всё по максимуму смотрит системные хеши и кукисы самое противное что умеет дешифровать пароли от ряда программ таких как зебат, автоглюк, маил агент, квип, аська, жабер а теперь как всё это уходит с вашего компа в чужие руки прога открывает в фоновом режиме драузер и постит на сайт злоумышленников всё собранное далее прописывает себя в один из каталогов аськи или квипа и передаёт используя апи функции всё собранное на ацке злыдней через директ конект после этого меняет вам посвы в ацке независимо онлайн она или офлайн при этом новый пасв генерится с учётом всяких %$&@#! в дальнейшем ацка используется как спамбот или для распространения. Единственно ечто прога неумеет так это менять примари мейлы на сервисах так что можно ацку у кого примари есть вертухать в зад но только после лечения антивирусом (сам вирус забугорный) пока касперский и вебер 5 а также авг его невидят зато прекрасно ловятся вебером 4.44 и блокируется правда на основе включенного экврестического анализа. В общем вот так вот. Почему начал разбор этой фигни потому как ацку вот так вот прокакал, но удалось вернуть + пришлось все пасвы сменить, кому интересно разбор проги проводился атладчиком ОлеДебугер с установленных плагином хетчдамп от китаёз.

Так что вешица довольно злобная и с пренибрежением советую не относится, подхватил я эту шляпу на одном из сайтов весьма пристойного содержания, так что неисключено что зрерюга умеет вставлять себя на страницы сайтов при условии что заразился тот у кого есть достук к фтп и юзает он его в качестве подключёного диска или стандартными метадами винды, хотя активности по протаколу ftp я лично незаметил зато pop3/smtp/RIP засвитились по полной.......

231 кб :o , ее че китайским кодом писали? какие-нить доп. библиотеки несет на борту?
p.s. точно забугорная? ВМ за бугром не жалуют.. да и аську тоже, намного в меньшей степени чем у нас..
p.p.s. можно поснифить пакеты скидывания отчетов и зафлудить кулцхацкеру логи?
p.p.s. какой-нить порт слушает?

Во ето тема %)))))))))))))

На лолах мутят нормальние деньги наверное :lol: :lol: :lol:

231 кб :o , ее че китайским кодом писали? какие-нить доп. библиотеки несет на борту?
p.s. точно забугорная? ВМ за бугром не жалуют.. да и аську тоже, намного в меньшей степени чем у нас..
p.p.s. можно поснифить пакеты скидывания отчетов и зафлудить кулцхацкеру логи?
p.p.s. какой-нить порт слушает?

1) Забугорная точно на все 100% немогу ответить какие системы платёжные разёюзывает
2) пакеты снифить можно только вот запускается он на короткий промежуток времени и собирает информацию после того как искать и тырить больше нечего открывает наглым образом с флагом sh_hide осла и используя хендлы окна шлёт запрос на сервак при этом сами запросы не кодируются всё открытым текстом шпалит
3) Зафлудить наверное можно честно не вдавался в исследования эти
4) Пытается открыть 81 порт для дирек конекта если неможет считать настройки с программ использующих уже соединение, протокол RIP поднимается когда вообще никаке соединение невозможно инициализировать при открытых почтовых программах пытается повесить хук на их соединения с использованием стандартных апи функций. при этом устанавливает глабальный хук в системе на экспорер опять таки использует все хуки из апи функций винды ничего своего на борту нету ни старонних длл ни прочего всё делает через стандартные средства винды при этом поиск файлов проводит с проверкой на сьёмный диск, виртуальный диск тоесть не палит себя юзанием флопика или сидирома флешки и всё остальное подключенное юзает только в момент открытой сессии при этом если пишет себя на флешку выдаёт себя за документ ворда 2007 подменяя собой тело документа и переименовывает себя в название документа при попадании на компутер всегда имеет имя NOP.exe в рекавери разделы пишет себя как A000180.exe или
S-1-5-21-2025429268-343818391-725345542-1003.exe

Отдал в Dr.Web - уже появились процедуры личения как обстаят дела у кашморовского незнаю но и им закинул тоже. Вебер определяет данную пакость под кодывом неймом Trojan.pincher.XXXX где x - номер модификации

вобщем-то простоват и очень даже жирноват троянец по сегодняшним меркам.. конечно си - ни делфи, но не 230-же кб..
а вот поснифить пакеты и потом зафлудить злоумышленнику логи троянца было бы кстати.. почти не слышал чтобы против этого кто-то предусматривал ставить защиту, да и передаваемые данные шифруются не часто (лишний раз подтвердилось), что только облегчает задачу..

p.s. отдавать надо было на virustotal там бы сразу всем разослало.. по времени правда может больше занять..

дык это он распаковынный уже 230 весит а упакован PE пакером уже как видим вес довольно таки сносный тем более ему на вес посрать всеровно в картинку интегрирован чем она жирнее тем лучше и не вызывает подозрений. В общем хоть и простоват но довольнотаки злобный я думаю тут как раз расчёт был на нуль дневную версию тоесть гопнули что можно да и ладно так сказать тем более что разберается он на раз никаких приёмов затрудняющих антиотладку я ненашёл да и процедуры размножения скудные по нынешним меркам - хотя может просто пробный забер как делал это вирус "нетски" но тот хоть замерял промежутки времени всякие инструкции h21 ставил пытался делить на нуль и самое прикольное делал перекрёстные ссылки да ещё и за целостностью своей следил тоесть код 21 (nop) было уже не поставить или джам сделать а этот просто со вкусом так сказать на зло........ в максимальным результатом. А вот засрать им сервак предложение хорошее да и бумаю тоже врятли там проверки есть можно поднять делфю да написать цикл срать сгенерённое говно чтобы у них там место кончилось и рыли потом километровое говно

]Срочно меняйте ВСЕ пароли, если вы на это попались... У меня 3 кореша уже без аси остались, да и я сам случайно попался, забылся и зашёл по ссылке, не подумав...

Стоит сказать еще срочно меняйте пароли после того, как избавитесь от вирусняка. Там может быть + еще и кей логгер.

дык это он распаковынный уже 230 весит а упакован PE пак<...>

Слушай а про реестр я не знал, это что получается удалить эти A1000280.exe файлы, или как их там, это ещё только пол дела? Как же от него полностью избавиться то?

ПС
ИМХО надо на Линукс переходить, там никаких вирусов нет...

Удаление из ключей реестра не выход тем более что это точка восстановления системы в которую этот годёнышь попадает а так как система при каждой загрузке всегда загружет последнюю контрольную точку то соответственно и загрузит вирус который будет себя вальготно чуствовать, Самый простой выход это отключить службу планировщика заданий тем более что её некто не пользуется а она по дефолту всегда запущена и поджирает память отключив её вирус не сможет ей воспользовотся и как следствие запустится при помощи неё по расписанию, в коде лично я незаметил ни каких попыток активации этой службы самим вирусом а если она и есть то система вам об этом сообщит если не привычными кнопками с окошечком то в системном журнале точно.

Кстати есть уже и первые (кроме меня) страдальцы у нас в городе от этой шляпы.

через какой браузер лезет? IE или вообще любой?

понял, спасибо за предупреждение

под кодывом неймом Trojan.pincher.XXXX где x - номер модификацииТроян наверное года 2000-го, вот не лень же упырям заниматься херью...

троян этот летит через любой браузер.

хотя если юзить огнелису или оперу и отключить поддержку куки, то вполне вероятно не подцепишь.

я тож словил этого зверя, точнее не совсем словил. ползал под пингвином, заматерился нод 32 (билд 3727)
и удалил, обозначился под именем троян.снифер.фз-что-то там.

П.С. Вообще в и-нете ползать под пингвином одно удовльствие

не понял, при чем тут куки. Можешь объяснить.

я тож словил этого зверя, точнее не совсем словил. ползал под пингвином, заматерился нод 32 (билд 3727)
и удалил
что, кроме линукса ты понимаешь под "пингвином"?