Срочно! Вирус идентифицирован
Г
Горыныч
троян собирает ВСЕ пароли которые находит в винде...
- пишецца с %windir%\system\sysmon\sysmon.exe
- запускаецца как сервис но в диспетчере процессов невиден прибить процесс можно любым альтернативным просмотрищиком процессов
- там же пишет лог файл который пытаецца кудата заслать.. куда пока что не разобралси...
- коннектицца к login.icq.com под вашим ICQ нумером и начинает рассылать всем ссылку на цайт с трояном
- лог файлик называецца "~pass.log"
- сам троян "sysmon.exe"
- пишецца с %windir%\system\sysmon\sysmon.exe
- запускаецца как сервис но в диспетчере процессов невиден прибить процесс можно любым альтернативным просмотрищиком процессов
- там же пишет лог файл который пытаецца кудата заслать.. куда пока что не разобралси...
- коннектицца к login.icq.com под вашим ICQ нумером и начинает рассылать всем ссылку на цайт с трояном
- лог файлик называецца "~pass.log"
- сам троян "sysmon.exe"
Все точно.
Так оно и было. У меня OutPost этого врага выловил. Я ему быстро, гаду, кислород перекрыл. Но раза 2-3 он все-таки успел на аську законектится. Я сам разрешил сдуру вручную. По доброте душевной. )))
Гы-гы-гы! А ведь я его нашел и убил быстрее, чем Касперский про него написал.
[Сообщение изменено пользователем 24.02.2004 16:25]
b
bmb
подскажите, где взять другой просмотрщик процессов плиз
R
Raymaster
не один из этих файлов не нашел!
%windir%\system\sysmon\sysmon.exe
в эту директорию идите и выносите там все нах, я так и сделал, теперь все путем :-)
в эту директорию идите и выносите там все нах, я так и сделал, теперь все путем :-)
X
~XO~
Worm.Win32.Bizex я это поймал.... касперский его просто УДАЛИЛ...
так и надо?
так и надо?
A
Antigen
Касперский ещё одно обновление выложил.
Теперь sysmon.exe определяет
Теперь sysmon.exe определяет
m
masterO99
http://www.avp.ru/news.html?id=145892317
Червь "Bizex" атакует пользователей ICQ [24.02.2004]
Зарегистрирована первая глобальная эпидемия ICQ-червя
"Лаборатория Касперского" предупреждает об обнаружении нового сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди пользователей интернет-пейджера ICQ.
На компьютер жертвы доставляется ICQ-сообщение, где, в частности, предлагается посетить хакерский веб-сайт. Для маскировки пользователю показываются мультфильмы из популярного сериала "Joecartoon". Тем временем в систему незаметно проникает Java-вирус, который, используя брешь в ICQ, незаметно рассылает от имени владельца компьютера ссылку на вышеуказанный веб- сайт.
"Лаборатория Касперского" рекомендует пользователям в случае получения ссылки на веб-сайт "jokeworld" немедленно удалить данное сообщение и ни в коем случае не посещать указанный сайт.
На данный момент эксперты "Лаборатории Касперского" продолжают анализ вредоносной программы. В ближайшее время мы сообщим более подробную информацию.
Червь "Bizex" атакует пользователей ICQ [24.02.2004]
Зарегистрирована первая глобальная эпидемия ICQ-червя
"Лаборатория Касперского" предупреждает об обнаружении нового сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди пользователей интернет-пейджера ICQ.
На компьютер жертвы доставляется ICQ-сообщение, где, в частности, предлагается посетить хакерский веб-сайт. Для маскировки пользователю показываются мультфильмы из популярного сериала "Joecartoon". Тем временем в систему незаметно проникает Java-вирус, который, используя брешь в ICQ, незаметно рассылает от имени владельца компьютера ссылку на вышеуказанный веб- сайт.
"Лаборатория Касперского" рекомендует пользователям в случае получения ссылки на веб-сайт "jokeworld" немедленно удалить данное сообщение и ни в коем случае не посещать указанный сайт.
На данный момент эксперты "Лаборатории Касперского" продолжают анализ вредоносной программы. В ближайшее время мы сообщим более подробную информацию.
t
temadiary
Worm.Win32.Bizex
Вирус-червь, распространяющийся по интернету при помощи интернет-пейджера ICQ.
Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонент.
Размножение
При обращении к ссылке
http://www.jokeworld.xxx/xxx.html (где xxx - замененные нами символы)
происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя.
Данный архив содержит в себе файл "iefucker.html", представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".
Для платформы Windows 2000 и Windows XP:
"C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WinUpdate.exe"
Для платформы Windows 98:
"c:\windows\Start Menu\Programs\Startup\WinUpdate.exe"
Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его во временный каталог, с именем "aptgetupd.exe".
Этот файл получает доступ к списку контактов ICQ и рассылает по всем найденным адресам вышеприведенную ссылку.
Кроме того, данная компонента обладает функцией кражи разнообразной банковской информации. Более подробный анализ этого компонента будет доступен позже.
Прочее
При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader (детектируются как Trojan.Java.Classloader и TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя.
Вирус-червь, распространяющийся по интернету при помощи интернет-пейджера ICQ.
Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонент.
Размножение
При обращении к ссылке
http://www.jokeworld.xxx/xxx.html (где xxx - замененные нами символы)
происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя.
Данный архив содержит в себе файл "iefucker.html", представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".
Для платформы Windows 2000 и Windows XP:
"C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WinUpdate.exe"
Для платформы Windows 98:
"c:\windows\Start Menu\Programs\Startup\WinUpdate.exe"
Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его во временный каталог, с именем "aptgetupd.exe".
Этот файл получает доступ к списку контактов ICQ и рассылает по всем найденным адресам вышеприведенную ссылку.
Кроме того, данная компонента обладает функцией кражи разнообразной банковской информации. Более подробный анализ этого компонента будет доступен позже.
Прочее
При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader (детектируются как Trojan.Java.Classloader и TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя.
E
Evеn
по молодости и по глупости (а также доверяя челу, "приславшему" ссылку), кликнул на нее, немного подождал, но она чего то долго грузилась.. увидал мультяшного медведя, полюбовался на него и закрыл окно.
ни одного из вышеназванных файлов (WinUpdate.exe и т.д.) у себя не нашел, антивирь молчит, ася робит нормально, на других компах не запускалась (по крайней мере, сообщения об этом не было)
..повезло..? или может через проксю не дошло...
..но пароль сменил все-таки.. мало ли :-)
ни одного из вышеназванных файлов (WinUpdate.exe и т.д.) у себя не нашел, антивирь молчит, ася робит нормально, на других компах не запускалась (по крайней мере, сообщения об этом не было)
..повезло..? или может через проксю не дошло...
..но пароль сменил все-таки.. мало ли :-)
по молодости и по глупости (а также доверяя челу, "приславшему" ссылку), кликнул на нее, немного подождал, но она чего то долго грузилась.. увидал мультяшного медведя, полюбовался на него и закрыл окно.
ни одного из вышеназванных файлов (WinUpdate.exe и т.д.) у себя не нашел, антивирь молчит, ася робит нормально, на других компах не запускалась (по крайней мере, сообщения об этом не было)
..повезло..? или может через проксю не дошло...
..но пароль сменил все-таки.. мало ли
ни одного из вышеназванных файлов (WinUpdate.exe и т.д.) у себя не нашел, антивирь молчит, ася робит нормально, на других компах не запускалась (по крайней мере, сообщения об этом не было)
..повезло..? или может через проксю не дошло...
..но пароль сменил все-таки.. мало ли
Вывод простой патчится надо :-) Благо ХП это хорошо делать умеет
X
~XO~
у меня уже SP2 на ХР стоит, но сетьевого черьвя этого АВП удавил...
просто обнови антивирусные базы и может обнаружит и у тебя этого виря АВП
просто обнови антивирусные базы и может обнаружит и у тебя этого виря АВП
E
Evеn
проверил весь диск.. ну ничего нет.. просто фантастика :-)
..у меня Win 2000 и eTrust Antivirus стоят..
..у меня Win 2000 и eTrust Antivirus стоят..
m
maybach?
а триллиан он заражает?
X
~XO~
Где взял? вроде нет такого
на ИНГЛИШ версию есть :-)
кстати она прикольней чем РАШЕН, я думаю следующая винда будет покруче чем ХР... ИМХО.
когда асю загрузила..море соообщений с этой ссылкой - нафик ниодно не открыла... :-) но базу обновила, щас проверяться буду
X
~XO~
нафик ниодно не открыла...
значит и не бойся... а обновиться НУЖНО и проверся заодно, может, что старое поймаешь.... ;-)
U
----------
а если нет AVP и фалов вышеперечисленных нет но асю глючт то что делать ?
пароль сменил...
пароль сменил...
X
~XO~
Дак у меня ангельская, обновлялся дня 2 назад, сп ставить не предлагала
а без предложения сам воткнул :-d
СП2 бета инглиш.
если инет халявный, то могу на ФТП выложить, а резака нет чтоб нарезать... :-(
Обсуждение этой темы закрыто модератором форума.