Недавно коллега подхватил в тырнете трояна. В результате вместо рабочего стола после загрузки получил простыню во весь экран со словами типа "Windows заблокирован, для разблокирования отправьте СМС с кодом ххххххххххх на номер хххххххх". Манагер задач по трем кнопкам не вызывался.
Поиск инфы в тырнете показал следующее:
1) трояны такого типа появились с апреля сего года в разных модификациях
2) вторая волна была в июле
3) автор - один (похоже), продает трояна за деньги
4) троян модифицируется, некоторые версии не дают запустить систему в безопасном режиме, частично блокируют запуск антивирусов, исползуют разные имена файлов
5) модификаций много, антивирусы не поспевают; на сайте каспера в списке новых вирусов по десятку модов в день
Собственные изыскания показали, что заражение произошло нетипично: юзер сам ничего не загружал и не запускал, троян пролез через взломанный (?) сайт, используя javascript-эксплойт.
Отсюда вытекло:
1) на автоматическое лечение антивирусом надеяться можно, но нужно ждать несколько дней (это было неприемлемо - комп был нужен для работы)
2) нужно быть готовым к новым модификациям и борьбе с оными.
В нашем случае очень помогло то, что безопасный режим все-таки работал, кроме того на компе был ТоталКоммандер. В безопасном режиме провели первые изыскания, нашли латентных троянов в игрищах, но главного злодея не отловили (свежий CureIt).
Поскольку ТоталКом был запущен на момент перезагрузки, то он запустился и после рестарта, чем я и попользовался (напомню - эксплорер был заблокрован).
В поисках гада очень помогла утилита AVZ, точнее - ее диспетчер процессов.
"Наша" модификация трояна использовала зараженный файл svchost.exe, помещенный в папку windows (настоящий svchost живет в windows\system32) и автозапускавшийся через реестр.
Кстати, AVZ при поиске вирусов трояна тоже не опознала. Так что лечить пришлось ручками.
По поводу трояна-вымогателя (СМС)
0: Злец:
А Касперский что?
И вообще, антивирь какой стоял-то? Не догнал из текста.
Я бы до кучи ещё пробил, кому из агрегаторов принадлежит номер и настучал ему, чтобы уроды не получили бабла, и чтобы за ними ещё начали охотиться менты из того самого управления. Да, и ментам заяву можно.
А Касперский что?
И вообще, антивирь какой стоял-то? Не догнал из текста.
Я бы до кучи ещё пробил, кому из агрегаторов принадлежит номер и настучал ему, чтобы уроды не получили бабла, и чтобы за ними ещё начали охотиться менты из того самого управления. Да, и ментам заяву можно.
-
Старый_прохиндей
Т.е. в диспечире процессов windows этого не было видно или он блокирован как эксплорер?
и номер с префиксом скинь в личку
и номер с префиксом скинь в личку
BadBlock пишет:
> А Касперский что?
Что именно касперский что?
> И вообще, антивирь какой стоял-то? Не догнал из текста.
NOD32 2.7 с базами от 25 сентября. Троян пойман 30-го.
За 10 минут до трояна среагировал на эксплойт, юзер выбрал "блокировать".
Со свежими базами трояна НЕ ОБНАРУЖИЛИ:
NOD32
CureIt
AVZ
На сайте каспера в списке свежих вирусов по десять-двадцать новых Troyan-Ransom в день.
Правда, на большинство обновки за день готовят. Но 4 штуки от 28 сентября до сих пор не внесены в апдейты.
> А Касперский что?
Что именно касперский что?
> И вообще, антивирь какой стоял-то? Не догнал из текста.
NOD32 2.7 с базами от 25 сентября. Троян пойман 30-го.
За 10 минут до трояна среагировал на эксплойт, юзер выбрал "блокировать".
Со свежими базами трояна НЕ ОБНАРУЖИЛИ:
NOD32
CureIt
AVZ
На сайте каспера в списке свежих вирусов по десять-двадцать новых Troyan-Ransom в день.
Правда, на большинство обновки за день готовят. Но 4 штуки от 28 сентября до сих пор не внесены в апдейты.
Старый_прохиндей пишет:
> Т.е. в диспечире процессов windows этого не было видно или он блокирован как эксплорер?
При входе в обычном режиме были блокированы эксплорер, диспетчер процессов, редактор реестра, еще куча системных ресурсов. В том числе, и консольных.
> и номер с префиксом скинь в личку
Э... переведи.
> Т.е. в диспечире процессов windows этого не было видно или он блокирован как эксплорер?
При входе в обычном режиме были блокированы эксплорер, диспетчер процессов, редактор реестра, еще куча системных ресурсов. В том числе, и консольных.
> и номер с префиксом скинь в личку
Э... переведи.
-
Паша_с_Уралмаша
- Поблагодарили: 3 раза
у меня был такой, вылетал на "runtime error", если ему набрать в поле кода активации буквы любые.
лечил веббером, долечивал нортоном. пока вроде нормально все.
лечил веббером, долечивал нортоном. пока вроде нормально все.
0: Злец:
>троян пролез через взломанный (?) сайт, используя javascript-эксплойт.
Эксплойт в каком браузере?
>троян пролез через взломанный (?) сайт, используя javascript-эксплойт.
Эксплойт в каком браузере?
УгроФинн пишет:
> аваст умеет сканить диск до загрузки винды.
Мля, мужики..
Да просканить вапще не вопрос был. Хоть до, хоть после, хоть в safe mode, хоть на другой машине. Я ж говорю - не было его в тот момент в базах, а эвристика трояна не будет ловить - это ж не вирус.
В принципе, была мызль антитрояна какого-нить запустить, но поскольку уже был на пути к победе, продолжил свои изыскания.
Кстате, с AVZ работал в первый раз - очччень удобная вещь.
> аваст умеет сканить диск до загрузки винды.
Мля, мужики..
Да просканить вапще не вопрос был. Хоть до, хоть после, хоть в safe mode, хоть на другой машине. Я ж говорю - не было его в тот момент в базах, а эвристика трояна не будет ловить - это ж не вирус.
В принципе, была мызль антитрояна какого-нить запустить, но поскольку уже был на пути к победе, продолжил свои изыскания.
Кстате, с AVZ работал в первый раз - очччень удобная вещь.
-
Старый_прохиндей
Злец пишет:
>> и номер с префиксом скинь в личку
>
> Э... переведи.
отправьте СМС с кодом ххххххххххх на номер хххххххх".
код он же префикс.
>> и номер с префиксом скинь в личку
>
> Э... переведи.
отправьте СМС с кодом ххххххххххх на номер хххххххх".
код он же префикс.
BadBlock пишет:
> 0: Злец:
>>троян пролез через взломанный (?) сайт, используя javascript-эксплойт.
>
> Эксплойт в каком браузере?
ХЗ, чего он там пользует.. Скорей всего, IE, хотя опера там тоже есть.. Ну, оперу я ставил полтора года назад, с тех пор никто ее, естественно, не обновлял.
Уле, комп домашний, никто толком не обслуживает.
> 0: Злец:
>>троян пролез через взломанный (?) сайт, используя javascript-эксплойт.
>
> Эксплойт в каком браузере?
ХЗ, чего он там пользует.. Скорей всего, IE, хотя опера там тоже есть.. Ну, оперу я ставил полтора года назад, с тех пор никто ее, естественно, не обновлял.
Уле, комп домашний, никто толком не обслуживает.
Старый_прохиндей пишет:
> Злец пишет:
> отправьте СМС с кодом ххххххххххх на номер хххххххх".
> код он же префикс.
А.. Дык комп-то на другом конце города. Картинка там, конечно, должна была остаться, да только я из-за нее вряд ли туда поскачу..
А нафига? Этих номеров и кодов немеряно. У дрВеба на сайте целая коллекция, но "нашего" там не было.
> Злец пишет:
> отправьте СМС с кодом ххххххххххх на номер хххххххх".
> код он же префикс.
А.. Дык комп-то на другом конце города. Картинка там, конечно, должна была остаться, да только я из-за нее вряд ли туда поскачу..
А нафига? Этих номеров и кодов немеряно. У дрВеба на сайте целая коллекция, но "нашего" там не было.
прикольно-прикольно. Действительно, 20 лет вирусописатели тешили свое самолюбие и трудное детство. А теперь будут просто зарабатывать бабло.
Причем предлагаю писать каунтдаун до формата цэ. И давать 1 минуту на смску.
Причем предлагаю писать каунтдаун до формата цэ. И давать 1 минуту на смску.
12: djdance:
форматЦе это скучно, долго что ли систему перставить ? (Хотя вспоминая LG....
) А вот сообщение типа "отправка фоток найденых на компе в публичный нет через 5 мин" или на крайняк "форматирование диска D и E начнется через минуту" Или еще есть народ который на С все хранит ?
форматЦе это скучно, долго что ли систему перставить ? (Хотя вспоминая LG....
) А вот сообщение типа "отправка фоток найденых на компе в публичный нет через 5 мин" или на крайняк "форматирование диска D и E начнется через минуту" Или еще есть народ который на С все хранит ?
13: X3:
> Или еще есть народ который на С все хранит ?
если D и прочие диски - логические, то я такое люто против.
> Или еще есть народ который на С все хранит ?
если D и прочие диски - логические, то я такое люто против.
Нажать и подержать 4 секунды кнопку питания, или вовсе выдернуть комп из розетки занимает меньше минуты. ))
Ну логически рассуждая этот троян ничего такого делать не должен, а должен тихо умереть, почистив за собой все логи, чтобы доказательно базы не осталось.
Ну а ХЗ я думаю еще скажут спасибо за креативность мышления
Ну а ХЗ я думаю еще скажут спасибо за креативность мышления
-
Байкал
15: BadBlock:
>Нажать и подержать 4 секунды кнопку питания, или вовсе выдернуть комп из розетки занимает меньше минуты. ))
а паника у женщинов?они в основном всякую заразу хапают!
>Нажать и подержать 4 секунды кнопку питания, или вовсе выдернуть комп из розетки занимает меньше минуты. ))
а паника у женщинов?они в основном всякую заразу хапают!
14: djdance:
Че так ? У меня всегда отдельный раздел под систему. И никаких документов и своих файлов я там не храню. Переставлять проще.
Че так ? У меня всегда отдельный раздел под систему. И никаких документов и своих файлов я там не храню. Переставлять проще.
-
sammy
> 4) троян модифицируется, некоторые версии не дают запустить систему в безопасном режиме, частично блокируют запуск
> антивирусов, исползуют разные имена файлов
из того места где простыня вылазит, жмем контрл+Р т.е. принтер! изыскания показали что все такие подлецы позволяют его открыть!
у меня после 15минут тыканий в справки\настройки и т.д. всетаки вылез проводник через который я и поймал за жопу известный всем exe!!!
> антивирусов, исползуют разные имена файлов
из того места где простыня вылазит, жмем контрл+Р т.е. принтер! изыскания показали что все такие подлецы позволяют его открыть!
у меня после 15минут тыканий в справки\настройки и т.д. всетаки вылез проводник через который я и поймал за жопу известный всем exe!!!
18: X3:
если он логический, то чо толку? сделай папку
если он логический, то чо толку? сделай папку
20: djdance:
логический. Ставлю диск с виндой, делаю формат С и ставлю на чистый диск.
логический. Ставлю диск с виндой, делаю формат С и ставлю на чистый диск.
21: X3:
ну я не любитель винду переставлять, у меня чаще винты падают (2-3 года и обязательно где-то нагнется, ттт)
ну я не любитель винду переставлять, у меня чаще винты падают (2-3 года и обязательно где-то нагнется, ттт)
22: djdance:
ну я тут менял все, XP, Vista. Щас вот семерка, правда уже на новом винте
ну я тут менял все, XP, Vista. Щас вот семерка, правда уже на новом винте
23: X3:
семерка это да, семерку надо поюзать... [уходит в задумчивости куда б ее водрузить]
семерка это да, семерку надо поюзать... [уходит в задумчивости куда б ее водрузить]
25: djdance:
Попробуй. Забавная штука. По мне так симпатичнее и удобнее висты.
Попробуй. Забавная штука. По мне так симпатичнее и удобнее висты.
Вчера поставил её на мсаровский ноут. )) Главное – меньше хавает и быстрее работает. Прямо на глаз с нуля на дуалкоре целероне залетала значительно быстрее, чем виста на коре2дуо.
27: BadBlock:
блииин. ну не травите душу. у меня лицензионный предустановленный хр, так шож мне его теперь, килять и менять на пиратский семдьмой? как-то совсем печально
блииин. ну не травите душу. у меня лицензионный предустановленный хр, так шож мне его теперь, килять и менять на пиратский семдьмой? как-то совсем печально
28: djdance:
Я тоже думал, придётся мучиться с выбором. Однако кое-кто, не будем показывать пальцем, неудачно выключил ноут прямо посреди первоначальной настройки Висты, и она издохла вся из себя.
Недолго думая, решил попробовать, что там у нас с семеркой, раз уж такое дело.
XP менять на семерку особого смысла не вижу.
Те же яйца, только с бантиками.
Я тоже думал, придётся мучиться с выбором. Однако кое-кто, не будем показывать пальцем, неудачно выключил ноут прямо посреди первоначальной настройки Висты, и она издохла вся из себя.
Недолго думая, решил попробовать, что там у нас с семеркой, раз уж такое дело.XP менять на семерку особого смысла не вижу.
Те же яйца, только с бантиками.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей
