Регистрация | Последние сообщения | Персональный список | Поиск | Настройка конференции | Личные данные | Правила конференции | Список участников | Top 64 | Статистика раздела | faq | Что нового v.2.3 | Чат
Skunk Forum - Техника, Наука, Общество » Общекомпьютерный »
Ахтунг! По ICQ распространяется новый вирус (+)

Версия для печати (настроить)

Новая тема | Написать ответ

Подписаться

Автор Тема:   Ахтунг! По ICQ распространяется новый вирус (+)
Mixa1024
Moderator

Сообщений: 3317
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 23 Октября 2006 20:03ИнфоПравкаОтветитьIP

Цитирую камрада:
цитата:
Прив!
Зацепил я трояна(как последний лох), НОД32 его пропусти и теперь при попытке запустить НОД тот на ГЛУХО виснить и ни в какую, что посоветуите - инф. файлы отловленны и убиты руками в досе, но всеравно при загрузке НОДА(был убит и переуснановлен после чистки) опять висит. Есть подозрение что засела эта сука гыдето в системе.
История залета - сижу ... смотрю сайт ... и тут не с того ни с сего от кореша залетает линк(в асю) на сцылку и я (как последний долпоёп) прусь туда - линк ICQCRYPT.EXE вес 61 кило - и понеслось говно по трубам!!!!
Одно слово ЛОХ! И это после 10 лет в инете - ЛОХ!
ЧЕм убить!


Скрин:

Весельчак У
Moderator

Сообщений: 8068
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 23 Октября 2006 20:29ИнфоПравкаОтветитьIP

Интересно, оно только через ICQ распространяется, или и по совместимым клиентам?

Биомеханик
Member

Сообщений: 3663
Регистрация: Сентябрь 2001

написано 23 Октября 2006 20:40ИнфоПравкаОтветитьIP

Весельчак У, тебе приходит ссылка. Неважно каким клиентом ты пользуешься, ICQ, QiP или Miranda..

jz
Moderator

Сообщений: 908
Откуда: SkunksWorks
Регистрация: Сентябрь 2005

написано 23 Октября 2006 22:30ИнфоПравкаОтветитьIP

Mixa1024
ЧЕм убить!
Надо уточнять, что именно. Ибо имя им - легион, а ссылки постоянно меняются (такой fqdn я бы вообще за пароль принял))..
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка
ссылка

Общая особо опасная технология в том, что троян запускается с помощью незараженного процесса (например, iexplore.exe + в параметр запуска = себя любимого, да ещё и замаскированного, скажем, в .tmp). Регулярно перезапускается с помощью заражения вышестоящего процесса (csrss.exe, к примеру), и пересоздаёт как PID iexplore.exe, так и .tmp-"параметр" => taskmgr, даже в SafeMode, бессилен. Вредна, естественно, только для любителей (и особо любительниц) сидеть в аськах / чатах, качать всё что попало, на всё подряд отвечать "да" - и всё это, естественно, под правами админа. На тот же LovGate до сей поры нет ничего вразумительного - мутирует быстро. Однако общие черты ясны - быстро создаёт PE EXE файлы со своими копиями во всех "популярных" директориях (%windir%, %system% и пр., не щадя также каталоги приложений), дописывает себя во все исполняемые файлы, к которым обращается система. Результат - если тут же не вырубили комп и не приступили к реанимации, или хотя бы не отрубили от Инета - прибывшему "врачу скорой помощи" остаётся только "констатировать смерть" ОС. Лучшее, само собой, профилактика - те самые старые добрые бэкапы, точки восстановления, снимки HDD by ADinf и пр. Можно попытаться идентифицировать конкретный "штамм" и лечить определённым хотфиксом от вендора антивирусного ПО - но задумайтесь, не лучше ли было бы разграничить права и думать, куда кликаете?

jz
Moderator

Сообщений: 909
Откуда: SkunksWorks
Регистрация: Сентябрь 2005

написано 23 Октября 2006 22:41ИнфоПравкаОтветитьIP

ЗЫ:
ссылка
Но, прошу заметить, комплекс действий утилиты против текущих версий, например, .ay, весьма неполон..

Весельчак У
Moderator

Сообщений: 8073
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 25 Октября 2006 02:24ИнфоПравкаОтветитьIP

Биомеханик
А ежели ссылка именно ссылка, а не исполнимый файл? Да и что делать с файлом у меня всегда спрашивает.

VoLK

Сообщений: 16026
Откуда: Россия
Регистрация: Ноябрь 2000

написано 25 Октября 2006 20:11ИнфоПравкаОтветитьIP

Нажимать на исполняемые файлы это надо быть ну очень крутым пацаном...

Биомеханик
Member

Сообщений: 3675
Регистрация: Сентябрь 2001

написано 25 Октября 2006 20:28ИнфоПравкаОтветитьIP

Весельчак У, а прочитать сопутствующее послание?

И немного подумать?

цитата:
You have to see our corporate party's pictures, we are all shocked,
you have got to see this!
<link ripped>

Весельчак У
Moderator

Сообщений: 8085
Откуда: Санктъ-Питербурхъ
Регистрация: Декабрь 2000

написано 27 Октября 2006 12:21ИнфоПравкаОтветитьIP

Биомеханик
Вот я и не понимаю, как можно его подхватить. Принцип заражения-то прежний.

Биомеханик
Member

Сообщений: 3716
Регистрация: Сентябрь 2001

написано 09 Ноября 2006 21:24ИнфоПравкаОтветитьIP

Свежее поползло?

цитата:
09.11.2006 20:23 *****: Привет. Как жизнь?
Короче держи офигительную программу http://webdraws.com/anime/mini-movie.exe рекомендую!

[Это сообщение изменил Mixa1024 (изменение 09 Ноября 2006 22:09).]

burymore
Moderator

Сообщений: 4258
Откуда: Советский Союз
Регистрация: Сентябрь 2004

написано 09 Ноября 2006 22:51ИнфоПравкаОтветитьIP

Биомеханик
Короче держи офигительную программу

И что, ща следует сходить по твоей сцылке и хапнуть виря

Mixa1024
Moderator

Сообщений: 3367
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 09 Ноября 2006 23:01ИнфоПравкаОтветитьIP

burymore
Я исправил его ссылку, во избежание случайных кликов.

Биомеханик
Member

Сообщений: 3717
Регистрация: Сентябрь 2001

написано 10 Ноября 2006 11:19ИнфоПравкаОтветитьIP

burymore

Ума нет - считай калека.

Mixa1024
Moderator

Сообщений: 3395
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 26 Ноября 2006 15:01ИнфоПравкаОтветитьIP

ссылка
ссылка

Вкратце: неизвестные гамасеки собрали "новую" версию QIP, с трояном, который спамит и угоняет аськины аккаунты

Sanaa
Moderator

Сообщений: 6227
Откуда: Tallinn, Estonia
Регистрация: Май 2001

написано 26 Ноября 2006 16:31ИнфоПравкаОтветитьIP

угоняет аськины аккаунты
а разве его можно угнать не зная примари мыло?

Mixa1024
Moderator

Сообщений: 3397
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 26 Ноября 2006 18:07ИнфоПравкаОтветитьIP

Sanaa
Угоняет логин и пароль.

Sanaa
Moderator

Сообщений: 6229
Откуда: Tallinn, Estonia
Регистрация: Май 2001

написано 26 Ноября 2006 18:58ИнфоПравкаОтветитьIP

Mixa1024
и что дальше? "забыл пароль" на свое мыло и получишь обратно

Mixa1024
Moderator

Сообщений: 3399
Откуда: Moscow, Russia
Регистрация: Март 2003

написано 26 Ноября 2006 19:21ИнфоПравкаОтветитьIP

Sanaa
Я посмотрю, ты не слышал байтораздирающие истории про угон асечных паролей у руководителей крупных фирм и рассылок "от них" по контакт-листу просьб срочно перевести 10000$ на некий WM кошелек?

Sanaa
Moderator

Сообщений: 6231
Откуда: Tallinn, Estonia
Регистрация: Май 2001

написано 26 Ноября 2006 19:48ИнфоПравкаОтветитьIP

асечных паролей у руководителей крупных фирм
мне уже смешно

Биомеханик
Member

Сообщений: 3759
Регистрация: Сентябрь 2001

написано 05 Декабря 2006 17:21ИнфоПравкаОтветитьIP

Сижу, никого не трогаю, просматриваю контакт-лист в ICQ.

Хоп! Кто-то незнакомый.

Диалог:

05.12.2006 17:19 Биомеханик: Здравствуйте. А что вы у меня в контакт-листе делаете?
05.12.2006 17:19 Маша: For more details about me and my photos you can throw a glance at my home page And can I have a look at your photos? )

Надо ли говорить куда и на что ведёт ссылка якобы на хоумпейдж??

Ваш ответ:

Коды форума
Смайлики


Ник:    Пароль       
Отключить смайлики

Все время MSK

Склеить | Разбить | Закрыть | Переместить | Удалить

Новая тема | Написать ответ
Последние сообщения         
Перейти к:

Свяжитесь с нами | skunksworks.net

Copyright © skunksworks.net, 2000-2018

Разработка и техническая поддержка: skunksworks.net


Рейтинг@Mail.ru Яндекс.Метрика