Словил какой то вирус

Discussion in 'Безопасность и Анонимность' started by Zloy.DeD, 19 Sep 2013.

  1. Zloy.DeD

    Zloy.DeD New Member

    Joined:
    21 Apr 2013
    Messages:
    24
    Likes Received:
    2
    Reputations:
    -5
    Короче пришло такое сообщение в скайпе!!
    Открыл ссылку только потому что прислал мой хороший друг!!

    В итоге скачал этот файл открыл и тоже начал отправлять такие сообщения!!!
    Что делать я хз и что этот вирус делает?? Если есть создатель этого вируса то хочу с ним поговорить )) ругать не буду))
    [​IMG]

    Отчет с ВТ https://www.virustotal.com/ru/file/f1ecdb14e5ed13f25fd885d9217328e2a2216495084cea8b86947898978e2906/analysis/
     
  2. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    Это лоадер.
     
    _________________________
  3. Zloy.DeD

    Zloy.DeD New Member

    Joined:
    21 Apr 2013
    Messages:
    24
    Likes Received:
    2
    Reputations:
    -5
    Спасибо за ответ, что он делает страшного??


    ЗЫ ссылка на файл http://rghost.ru/48829764
    если кому интересно потестить
     
  4. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    Да много чего может, основное предназначение это грузить другой зловред жертвам.

    Вот тут про него.
    https://damagelab.org/index.php?showtopic=22061
     
    _________________________
  5. Zloy.DeD

    Zloy.DeD New Member

    Joined:
    21 Apr 2013
    Messages:
    24
    Likes Received:
    2
    Reputations:
    -5

    Спасибо большое!
     
  6. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    советую фаерволл поставить, ато может он уже какиэто данные у вас уже ворует))
     
  7. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Да уже могли все давно слить. Или компьютер ТС сейчас Бот. В любом случае просканируй все AVZ и скинь сюда лог.
     
  8. Zloy.DeD

    Zloy.DeD New Member

    Joined:
    21 Apr 2013
    Messages:
    24
    Likes Received:
    2
    Reputations:
    -5
  9. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Теперь дропни все из папки Temp.
    После чего если у тебя установлена Java(вероятнее всего), удаляешь все как указано на скриншоте.
    [​IMG]

    p/s AVZ нашел exe загрузчика?
     
    #9 GoodGoogle, 19 Sep 2013
    Last edited: 19 Sep 2013
  10. Zloy.DeD

    Zloy.DeD New Member

    Joined:
    21 Apr 2013
    Messages:
    24
    Likes Received:
    2
    Reputations:
    -5
    Я через АВЗ их удалил)
     
  11. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Значок квипа инфиум убил,в прочем как и жирный по размеру эксе на делфи (((=
    Во временной директории, еще не размножившись, он создает adobe2.tmp, содержимое которого:

    Code:
    website=1


    В автозапуск добавляет сам лоадер - flashapp.exe, который так же распаковывается в папку temp со скрытыми атрибутами.Чистый его вес - 28 кило.

    Из вышеописанного можно сделать вывод, что он работает с флеш, а точнее заменяет его на себя.
    Так же он добавляет себя в исключения файервола винды через реестр:
    Code:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List


    Ну и конечно же еще он идентифицирует версию системы и решает, что делать дальше на основе этого.

    Дополнение:
    Так же, по идее скрытым образом или нет, но выдается сообщение с содержанием ссылки:
    Code:
    Hey! Check out this new program that I found, you are going to laugh your ass off! Here you go: http://thebrotherhood.ze.cx/Wink32.exe
    Этот эксе вовсе не эксе, а html файл, который ссылается на
    Code:
    http://www.gamerdna.com/groups/profile/Blood-Moon-Brotherhood
     
    #11 t3cHn0iD, 20 Sep 2013
    Last edited: 20 Sep 2013
    1 person likes this.