Автор: Fetus 26.7.2009, 18:51
собственно, сабж.
Вирус в скачанном с сайта патче. Пойман Касперским.
Trojan-PSW.Win32.LdPinch.agop
Автор: OPIUM45 26.7.2009, 19:01
Это не вирус, это антибот. А Касперсого в печь!!!
Автор: Zloi_Kloun 27.7.2009, 8:40
Когда уже научаться юзать поиск? Эту темы про вирус в клиенте/патче поднимают уже ппц скоко... ><
Автор: Cosmos 11.8.2009, 20:09
Цитата(OPIUM45 @ 26.7.2009, 20:01)
Это не вирус, это антибот. А Касперсого в печь!!!
Объясните тогда это: Trojan-PSW.Win32.LdPinch.sf
Rootkit: Да
Trojan-PSW.Win32.LdPinch.sf стал знаменит из-за его массовой рассылки по ICQ и шума, который был поднят в различных
Интернет-источниках о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе.
Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками антивируса VBA, возможно, есть другие похожие вариации). Запуск висура достигается средствами социальной инженерии, обычно в виде предложения "посмотреть прикольный flash ролик".
Файл имеет признаки защиты от сигнатурного поиска - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского.
Вирус никак не проявлет своего запуска, поведение - типичное для пинча -
собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок:
a=**адрес получателя**&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= .....
на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование.
Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys
За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно.
Лечение
Лечение придполагает удаление данной троянской программы, и обязательную замену всех паролей, причем чем быстрее произойдет их замена, тем лучше.
Удаление предполагает следующие шаги:
1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам
2. Удалить файл system32\drivers\SYSpnch.sys
3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения
И почему не наодном другом сервере включая Оффициальный где также есть антибот касперский молчит??
Автор: Электрик 14.8.2009, 0:51
разные защиты, разные антивирусы реагируют по разному.
Автор: Cosmos 17.8.2009, 6:34
Отправил автопатчер в лаб. Касперского.
ответ: В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь
http://img149.img.bn/i/virusg.jpg/
Автор: jingaa 17.8.2009, 19:59
У них там каждый день по 1000 таких файлов приходит и на все файлы бот отвечает "В присланном
Вами файле обнаружено новое вредоносное программное обеспечение. Его детектирование будет
включено в очередное обновление антивирусных баз. Благодарим за оказанную помощь"
Если бы ответ был дан вам индивидуально, то содержал бы как минимум обращение по имени, если
оно есть в загаловке письма и/или объяснения и рекомендации.
З.Ы. Я провел на РусРо 2 года и до сих пор не пострадали ни кошелеки веб мани, ни ася, ни контакт,
ни что бы то ни было еще. Хотя может быть и правда в патчере троян
Автор: Zloi_Kloun 18.8.2009, 9:02
ога.. а еще читаем http://rusro.org/forum/index.php?showtopic=27099&pid=330608&st=0&#entry330608... и надеюсь, что люди, прежде чем начинать новые топики, все таки научатся пользоваться поиском по форуму.... ну или погуглить там.... тоже не мешало бы..
Автор: CeBeP9Hka 21.8.2009, 8:45
Как добавить вирус в доверенную зону у Eset smart security nod 32 подскажите ?
Автор: Электрик 1.9.2009, 13:07
Найдите в настройках антивируса - доверенные файлы, а потом оттуда покажите путь до клиента.