Версия для печати темы

Автор: Fetus 26.7.2009, 18:51

собственно, сабж.
Вирус в скачанном с сайта патче. Пойман Касперским.

Trojan-PSW.Win32.LdPinch.agop

Автор: OPIUM45 26.7.2009, 19:01

Это не вирус, это антибот. А Касперсого в печь!!!

Автор: Zloi_Kloun 27.7.2009, 8:40

Когда уже научаться юзать поиск? Эту темы про вирус в клиенте/патче поднимают уже ппц скоко... ><

Автор: Cosmos 11.8.2009, 20:09

Объясните тогда это: Trojan-PSW.Win32.LdPinch.sf

Rootkit: Да

Trojan-PSW.Win32.LdPinch.sf стал знаменит из-за его массовой рассылки по ICQ и шума, который был поднят в различных
Интернет-источниках о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе.
Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками антивируса VBA, возможно, есть другие похожие вариации). Запуск висура достигается средствами социальной инженерии, обычно в виде предложения "посмотреть прикольный flash ролик".
Файл имеет признаки защиты от сигнатурного поиска - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского.
Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок:
a=**адрес получателя**&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= .....
на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование.
Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys


За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно.

Лечение
Лечение придполагает удаление данной троянской программы, и обязательную замену всех паролей, причем чем быстрее произойдет их замена, тем лучше.

Удаление предполагает следующие шаги:
1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам
2. Удалить файл system32\drivers\SYSpnch.sys
3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения

И почему не наодном другом сервере включая Оффициальный где также есть антибот касперский молчит??

Автор: Электрик 14.8.2009, 0:51

разные защиты, разные антивирусы реагируют по разному.

Автор: Cosmos 17.8.2009, 6:34

Отправил автопатчер в лаб. Касперского.

ответ: В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь

http://img149.img.bn/i/virusg.jpg/

Автор: jingaa 17.8.2009, 19:59

У них там каждый день по 1000 таких файлов приходит и на все файлы бот отвечает "В присланном
Вами файле обнаружено новое вредоносное программное обеспечение. Его детектирование будет
включено в очередное обновление антивирусных баз. Благодарим за оказанную помощь"

Если бы ответ был дан вам индивидуально, то содержал бы как минимум обращение по имени, если
оно есть в загаловке письма и/или объяснения и рекомендации.

З.Ы. Я провел на РусРо 2 года и до сих пор не пострадали ни кошелеки веб мани, ни ася, ни контакт,
ни что бы то ни было еще. Хотя может быть и правда в патчере троян

Автор: Zloi_Kloun 18.8.2009, 9:02

ога.. а еще читаем http://rusro.org/forum/index.php?showtopic=27099&pid=330608&st=0&#entry330608... и надеюсь, что люди, прежде чем начинать новые топики, все таки научатся пользоваться поиском по форуму.... ну или погуглить там.... тоже не мешало бы..

Автор: CeBeP9Hka 21.8.2009, 8:45

Как добавить вирус в доверенную зону у Eset smart security nod 32 подскажите ?

Автор: Электрик 1.9.2009, 13:07

Найдите в настройках антивируса - доверенные файлы, а потом оттуда покажите путь до клиента.