В асе новый вирусняк!

[GM Wizard]

231 кб , ее че китайским кодом писали? какие-нить доп. библиотеки несет на борту?
p.s. точно забугорная? ВМ за бугром не жалуют.. да и аську тоже, намного в меньшей степени чем у нас..
p.p.s. можно поснифить пакеты скидывания отчетов и зафлудить кулцхацкеру логи?
p.p.s. какой-нить порт слушает?

1) Забугорная точно на все 100% немогу ответить какие системы платёжные разёюзывает
2) пакеты снифить можно только вот запускается он на короткий промежуток времени и собирает информацию после того как искать и тырить больше нечего открывает наглым образом с флагом sh_hide осла и используя хендлы окна шлёт запрос на сервак при этом сами запросы не кодируются всё открытым текстом шпалит
3) Зафлудить наверное можно честно не вдавался в исследования эти
4) Пытается открыть 81 порт для дирек конекта если неможет считать настройки с программ использующих уже соединение, протокол RIP поднимается когда вообще никаке соединение невозможно инициализировать при открытых почтовых программах пытается повесить хук на их соединения с использованием стандартных апи функций. при этом устанавливает глабальный хук в системе на экспорер опять таки использует все хуки из апи функций винды ничего своего на борту нету ни старонних длл ни прочего всё делает через стандартные средства винды при этом поиск файлов проводит с проверкой на сьёмный диск, виртуальный диск тоесть не палит себя юзанием флопика или сидирома флешки и всё остальное подключенное юзает только в момент открытой сессии при этом если пишет себя на флешку выдаёт себя за документ ворда 2007 подменяя собой тело документа и переименовывает себя в название документа при попадании на компутер всегда имеет имя NOP.exe в рекавери разделы пишет себя как A000180.exe или
S-1-5-21-2025429268-343818391-725345542-1003.exe

[GM Wizard]

Отдал в Dr.Web - уже появились процедуры личения как обстаят дела у кашморовского незнаю но и им закинул тоже. Вебер определяет данную пакость под кодывом неймом Trojan.pincher.XXXX где x - номер модификации

[Cyanide]

вобщем-то простоват и очень даже жирноват троянец по сегодняшним меркам.. конечно си - ни делфи, но не 230-же кб..
а вот поснифить пакеты и потом зафлудить злоумышленнику логи троянца было бы кстати.. почти не слышал чтобы против этого кто-то предусматривал ставить защиту, да и передаваемые данные шифруются не часто (лишний раз подтвердилось), что только облегчает задачу..

p.s. отдавать надо было на virustotal там бы сразу всем разослало.. по времени правда может больше занять..

[GM Wizard]

дык это он распаковынный уже 230 весит а упакован PE пакером уже как видим вес довольно таки сносный тем более ему на вес посрать всеровно в картинку интегрирован чем она жирнее тем лучше и не вызывает подозрений. В общем хоть и простоват но довольнотаки злобный я думаю тут как раз расчёт был на нуль дневную версию тоесть гопнули что можно да и ладно так сказать тем более что разберается он на раз никаких приёмов затрудняющих антиотладку я ненашёл да и процедуры размножения скудные по нынешним меркам - хотя может просто пробный забер как делал это вирус "нетски" но тот хоть замерял промежутки времени всякие инструкции h21 ставил пытался делить на нуль и самое прикольное делал перекрёстные ссылки да ещё и за целостностью своей следил тоесть код 21 (nop) было уже не поставить или джам сделать а этот просто со вкусом так сказать на зло........ в максимальным результатом. А вот засрать им сервак предложение хорошее да и бумаю тоже врятли там проверки есть можно поднять делфю да написать цикл срать сгенерённое говно чтобы у них там место кончилось и рыли потом километровое говно

[kenga]

]Срочно меняйте ВСЕ пароли, если вы на это попались... У меня 3 кореша уже без аси остались, да и я сам случайно попался, забылся и зашёл по ссылке, не подумав...

Стоит сказать еще срочно меняйте пароли после того, как избавитесь от вирусняка. Там может быть + еще и кей логгер.

[Evil Storm [Returned]]

дык это он распаковынный уже 230 весит а упакован PE пак<...>

Слушай а про реестр я не знал, это что получается удалить эти A1000280.exe файлы, или как их там, это ещё только пол дела? Как же от него полностью избавиться то?

ПС
ИМХО надо на Линукс переходить, там никаких вирусов нет...

[GM Wizard]

Удаление из ключей реестра не выход тем более что это точка восстановления системы в которую этот годёнышь попадает а так как система при каждой загрузке всегда загружет последнюю контрольную точку то соответственно и загрузит вирус который будет себя вальготно чуствовать, Самый простой выход это отключить службу планировщика заданий тем более что её некто не пользуется а она по дефолту всегда запущена и поджирает память отключив её вирус не сможет ей воспользовотся и как следствие запустится при помощи неё по расписанию, в коде лично я незаметил ни каких попыток активации этой службы самим вирусом а если она и есть то система вам об этом сообщит если не привычными кнопками с окошечком то в системном журнале точно.

Кстати есть уже и первые (кроме меня) страдальцы у нас в городе от этой шляпы.

[Berkut]

через какой браузер лезет? IE или вообще любой?

[bat]

понял, спасибо за предупреждение

[Pincher]

под кодывом неймом Trojan.pincher.XXXX где x - номер модификации

Троян наверное года 2000-го, вот не лень же упырям заниматься херью...

[R@mBoTnik]

троян этот летит через любой браузер.

хотя если юзить огнелису или оперу и отключить поддержку куки, то вполне вероятно не подцепишь.

я тож словил этого зверя, точнее не совсем словил. ползал под пингвином, заматерился нод 32 (билд 3727)
и удалил, обозначился под именем троян.снифер.фз-что-то там.

П.С. Вообще в и-нете ползать под пингвином одно удовльствие

[Berkut]

не понял, при чем тут куки. Можешь объяснить.

[Cyanide]

я тож словил этого зверя, точнее не совсем словил. ползал под пингвином, заматерился нод 32 (билд 3727)
и удалил

что, кроме линукса ты понимаешь под "пингвином"?