Skin Designed by Evanescence at IBSkin.com

Здравствуйте, гость ( Вход | Регистрация )


 
Добавить ответ в эту темуОткрыть тему
> Вирус..., в патче
Fetus
сообщение 26.7.2009, 18:51
Сообщение #1


Иконка группы


Группа: Пользователи
Сообщений: 5
Регистрация: 6.4.2009
Пользователь №: 25520



    


собственно, сабж.
Вирус в скачанном с сайта патче. Пойман Касперским.

Trojan-PSW.Win32.LdPinch.agop
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
OPIUM45
сообщение 26.7.2009, 19:01
Сообщение #2


Иконка группы


Группа: Пользователи
Сообщений: 109
Регистрация: 26.8.2007
Из: Москва
Пользователь №: 20665



    


Это не вирус, это антибот. А Касперсого в печь!!!
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Zloi_Kloun
сообщение 27.7.2009, 8:40
Сообщение #3


Иконка группы


Группа: Guild Masters
Сообщений: 105
Регистрация: 6.10.2008
Из: Мурманская обл.
Пользователь №: 24567



    


Когда уже научаться юзать поиск? Эту темы про вирус в клиенте/патче поднимают уже ппц скоко... ><
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Cosmos
сообщение 11.8.2009, 20:09
Сообщение #4


Иконка группы


Группа: Пользователи
Сообщений: 4
Регистрация: 11.8.2009
Пользователь №: 26018



    


Цитата(OPIUM45 @ 26.7.2009, 20:01) *
Это не вирус, это антибот. А Касперсого в печь!!!


Объясните тогда это: Trojan-PSW.Win32.LdPinch.sf

Rootkit: Да

Trojan-PSW.Win32.LdPinch.sf стал знаменит из-за его массовой рассылки по ICQ и шума, который был поднят в различных
Интернет-источниках о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе.
Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками антивируса VBA, возможно, есть другие похожие вариации). Запуск висура достигается средствами социальной инженерии, обычно в виде предложения "посмотреть прикольный flash ролик".
Файл имеет признаки защиты от сигнатурного поиска - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского.
Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок:
a=**адрес получателя**&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= .....
на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование.
Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys


За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно.

Лечение
Лечение придполагает удаление данной троянской программы, и обязательную замену всех паролей, причем чем быстрее произойдет их замена, тем лучше.

Удаление предполагает следующие шаги:
1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам
2. Удалить файл system32\drivers\SYSpnch.sys
3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения

И почему не наодном другом сервере включая Оффициальный где также есть антибот касперский молчит??
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Электрик
сообщение 14.8.2009, 0:51
Сообщение #5


Иконка группы


Группа: Главные администраторы
Сообщений: 3310
Регистрация: 13.2.2007
Пользователь №: 17053



    


разные защиты, разные антивирусы реагируют по разному.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Cosmos
сообщение 17.8.2009, 6:34
Сообщение #6


Иконка группы


Группа: Пользователи
Сообщений: 4
Регистрация: 11.8.2009
Пользователь №: 26018



    


Отправил автопатчер в лаб. Касперского.

ответ: В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь

(IMG:http://img149.img.bn/img149/9404/virusg.th.jpg)
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
jingaa
сообщение 17.8.2009, 19:59
Сообщение #7


Иконка группы


Группа: Пользователи
Сообщений: 869
Регистрация: 6.5.2007
Из: Мск
Пользователь №: 18840



    


У них там каждый день по 1000 таких файлов приходит и на все файлы бот отвечает "В присланном
Вами файле обнаружено новое вредоносное программное обеспечение. Его детектирование будет
включено в очередное обновление антивирусных баз. Благодарим за оказанную помощь"

Если бы ответ был дан вам индивидуально, то содержал бы как минимум обращение по имени, если
оно есть в загаловке письма и/или объяснения и рекомендации.

З.Ы. Я провел на РусРо 2 года и до сих пор не пострадали ни кошелеки веб мани, ни ася, ни контакт,
ни что бы то ни было еще. Хотя может быть и правда в патчере троян (IMG:style_emoticons/default/smile.gif)


Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Zloi_Kloun
сообщение 18.8.2009, 9:02
Сообщение #8


Иконка группы


Группа: Guild Masters
Сообщений: 105
Регистрация: 6.10.2008
Из: Мурманская обл.
Пользователь №: 24567



    


ога.. а еще читаем тут... и надеюсь, что люди, прежде чем начинать новые топики, все таки научатся пользоваться поиском по форуму.... ну или погуглить там.... тоже не мешало бы.. (IMG:style_emoticons/default/emo_ro27.gif)
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
CeBeP9Hka
сообщение 21.8.2009, 8:45
Сообщение #9


Иконка группы


Группа: Пользователи
Сообщений: 4
Регистрация: 11.4.2009
Пользователь №: 25537



    


Как добавить вирус в доверенную зону у Eset smart security nod 32 подскажите ?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Электрик
сообщение 1.9.2009, 13:07
Сообщение #10


Иконка группы


Группа: Главные администраторы
Сообщений: 3310
Регистрация: 13.2.2007
Пользователь №: 17053



    


Найдите в настройках антивируса - доверенные файлы, а потом оттуда покажите путь до клиента.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения

Добавить ответ в эту темуОткрыть тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 


RSS Текстовая версия Сейчас: 28.3.2024, 19:10
Ragnarok RusRO. Бесплатный сервер онлайн игры. Рейтинг@Mail.ru

Рейтинг серверов Айон