По сети блуждает хитрая зараза

[Дмитрий]

Недавно нашел следующую вещь . Оная свяазана с самораспоковывающимися архивами. Дело в том, что ламеры внедряют в них вирусы, притом очень примитивным способом. Вирус чаще всего не определяется антивиром.

Принцип действия: вы открываете архив, происходит автоматическое извлечение (( папку для извлечения вы не можете выбрать ), после извлечения открывается .bat файл ( признак его открытия - мигнувшее окошко ms-dos ) и запускается инсталяция приложения, которое якобы было в архиве, но вместе с ним к вам прописывается вирус, который внедряется в автозагрузку ))

И вот - ваш компьютер заражен.

Вывод: не открывайте архивы, скачанные с неизвестного сайта.

Как бороться: на самом деле очень просто - нужно скачать программу 2ipStartGuard ( она находится на сайта 2ip.ru в разделе софт ). Это программа будет отслеживать приложения, которые прописываются в автозагрузку. Такой метод помогает для вирусов типа "раконтроль". Другие типы вирусов отслеживаются антивирусами типа Drweb и Каспером.
Также можно скачать Comodо Firewall. Он будет отслеживать приложения и их действия.

P.S. Лучше не скачивайте никаких файлов с подозрительных сайтов.

 

[aiss]

и с каких пор ламеры стали писать вири ?

 

[Дмитрий]

Я посмотрел на них один день и уже склеил такую хрень

А вирь берется готовый

 

[aiss]

самокритично
гы

 

[Дмитрий]

Могу выложить эту какулю, но думаю не надо

 

[BlaiR]

выложите на "поиграться" готовый пример. Пожалуйста только напишите название вируса внутри.

 

[Дмитрий]

Вот

Вот что я сделал - скрыл под скайп запуск
http://narod.ru/disk/23856273000/skype.exe.html


WARNING !!! НИ В КОЕМ СЛУЧАЕ НЕ НАЖИМАТЬ РАЗАРХИВИРОВАТЬ - ВИРУС ЗАРАБОТАЕТ !!!

 

[Merser]

Это после "узнай что пишет в смс твоя девушка", "прошпионь за человеком через мобильник", "узнай как сделать большой грудь", аудионаркотиков и прочей подобной хрени за смс, новая фишка. Открой архив за смс. Не знаю сколько будет популярна, надеюсь народ быстро раскусит и не даст себя обманывать.

 

[Дмитрий]

Это после "узнай что пишет в смс твоя девушка", "прошпионь за человеком через мобильник", "узнай как сделать большой грудь", аудионаркотиков и прочей подобной хрени за смс, новая фишка. Открой архив за смс. Не знаю сколько будет популярна, надеюсь народ быстро раскусит и не даст себя обманывать.

Немного похоже, но тут автоматом как только нажимаешь все - вирус заселяется

 

[Merser]

Trojan-Dropper там внутри.

 

[Дмитрий]

Чем проверял ?

DrWeb ничего не дал

И еще - ты тупо проверил файл или он автоматом заорал ?

 

[Merser]

Avira Antivir Premium тоже не закричала. Отправил им файл на разбор.
Проверил Malwarebytes' Anti-Malware - он и выдал. Если бы сканер был постоянно включен - наверное, заорал бы.

 

[Дмитрий]

Стоп - ты нажал просканировать файл или при закачке заорал ?

Кстати - функции виря ( от его создателя ):

1. Улучшил систему аудита пароля.
2. Возможность бродить по локальным дискам вашей и удаленной машины.
3. Встроенный ProcessExplorer (для вашей и удаленной машины).
4. Возможно создавать файлы\ папки на вашей и удаленной машине.
5. Возможно удалять файлы\ папки на вашей и удаленной машине.
6. Возможно переименовывать файлы\ папки на вашей и удаленной машине.
7. Возможно редактировать файлы на вашей и удаленной машине.
8. Возможно выключать (двумя способами) вашу и удаленную машину.
9. Возможно перезагружать вашу и удаленную машину.
10. Возможно отправлять файлы с вашей машины на уделенную и обратно.
11. При необходимости можно отключить сервер (программу).
12. Сервер сам инсталлируется и прописывается в автозагрузку (реестр - Run).
13. После того, как сервер инсталировался и вы подключились - можно менять порт прослушки и пароль на вход.
    На время тестрования отключил
14. Возможно высылать IP зараженного компьтера на ваш e-mail.

Админов просьба не ругаться - выложил, чтобы ознакомить пользователей с угрозами интернета.

 

[Merser]

Стоп - ты нажал просканировать файл или при закачке заорал ?

Просканировать. Из контекстного меню.

 

[BlaiR]

Eset NOD32 Antivirus 4 на компе родителей промолчал.... Пойду завтра на работе отдам старому доброму касперычу 6 на съедение )
Хотя проверка онлайн тестом когда я отдаю уже распакованый файл server.exe ничего не даёт. файл чист...

 

[Дмитрий]

Для вируса есть вторая часть - станция управления. А сам вирус при включении отсылает ip жертвы. Этот ИП вводится в станцию - и все. Вы можете делать с чужим компьютером почти все что угодно.

 

[Merser]

Не прошло и дня, а из Авиры пришел ответ, по поводу отправленного файла.

Welcome back, Mr Сергей!

Список файлов и результатов приведены ниже:

ID файла Имя файла Объем (байты) Результат
25852182 skype.exe 914.18 KB MALWARE

Точные результаты по каждому файлу вы найдете в следующем разделе:

Имя файла Результат
skype.exe MALWARE


Файл 'skype.exe' отмечен как 'MALWARE'. Наши аналитики присвоили этой угрозе название DR/Setty.D. Относительно "DR/" речь идет о программе, которая может самостоятельно создать в системе вирус или вредоносное ПО.Образец распознавания будет добавлен при одном из следующих обновлений файла определения вирусов (VDF).

 

[Дмитрий]

Не прошло и дня, а из Авиры пришел ответ, по поводу отправленного файла.

Все правильно. Но я не думаю, что если ты скачаешь простой скайп, то будешь отсылать его на проверку и сканировать.

И еще - скорее всего они ничего не смогут сделать, так как вирус является полиформом.

 

[Petra32]

http://www.virustotal.com/file-scan...1cdbfb48a682345b3ca1cfe7c329ca6770-1282217484

 

[Дмитрий]

Его кажется еще и каспер стал находить. Хотя у кого как.