Новогодний вирус, не?

Походу создатели вирусов решили отпраздновать 2011 новым троянчиком.
От ваших друзей в аське приходит запрос на передачу файла и стандартное сообщение " С новым годом!"
Видимо после приема файла аську уводят (не проверял), а вирус продолжает распространяться дальше. Не ведитесь.
Название передаваемого файла вроде такого: "Happy New Year 2011"
Почему считаю, что вирус - уже четыре человека прислали совершенно одинаковые поздравления и все такие же запросы на передачу файла сразу после поздравления.

[Сообщение изменено пользователем 03.01.2011 00:01]
10 / 12
Death®
каждый год одно и тоже...
13 / 0
aligar
Оно еще и разговаривает!!!

SнайпеR (00:02:37 3/01/2011)
С Новым Годом!

SнайпеR (00:02:37 3/01/2011)
Входящий файл: Happy New Year 2011
Размер: 889 Кб
Внешний IP:
Внутренний IP: 0.0.0.0


isolated (00:02:48 3/01/2011)
цыц

isolated (00:02:51 3/01/2011)
ацы

isolated (00:03:03 3/01/2011)
вирус

SнайпеR (00:03:11 3/01/2011)
это не вирус! зачем же в праздник вирусы рассылать?

isolated (00:04:05 3/01/2011)
вирус

SнайпеR (00:04:31 3/01/2011)
где? :0

в общем, оно вас попытается переубедить :-d

[Сообщение изменено пользователем 03.01.2011 00:06]
17 / 1
Death®
От пользователя aLiGaR

был в том году подобный :-)
0
ZaBaVa)
Спасибо))
5 / 0
Kipri
От пользователя aLiGaR
в общем, оно вас попытается переубедить

:-D клева) с ним наверное и выпить можно) :super:
10 / 0
paa07
НЕ :super:
0
m_messiah
прилетало. Есетом проверил - чисто. Запустил - бессмысленно. Закрываешь - остается в процессах. Убивается и удаляется легко. Симптомов заражения пока не обнаружено. Либо слишком простой троянчик. Либо очень замудреный. К слову, есет Смарт Секьюрити не спрашивал никаких разрешений про доступ к сети или к другому процессу.

p.s. Вот и не пойму: я его успел убить или это что-то странное?

Кстати, вот сообщение отправившего:
ххх (00:55:02 3/01/2011)
ты что-то писал?
у мя аська полетела

[Сообщение изменено пользователем 03.01.2011 01:02]
0
Doctor(Kol'tsovo)
та же фигня...у меня в истории принятых файлов остался и не давал запустить кип..((
0
serzero2007
После разборки проги удалось узнать, что всего существует 1 форма 1 значащая процедура. На главной форме 3 объекта - 2 изображения и 1 обьект *TfrmMain.ICQClient:TICQClient. Так что скорее всего это детская игрушка нежели вирус. Думаю ассемблерных вставок нет, хотя в этом я не специалист. В автозапуск точно не пишется - никаких програм внутри не видел - думаю просто надо сменить пароль и все ок.

АХТУНГ! Все что там написано неактуально - наткнулся внутри на такую строчку

0048309B E8AC16F8FF call 0040474C
004830A0 8D430C lea eax, [ebx+$0C]

* Possible String Reference to: '64.12.201.185'
|
004830A3 BAA4314800 mov edx, $004831A4

Не нравится мне это.

Более того штука начинает свою работу с того, что убивает клиент

00480AC9 E87E3CF8FF call 0040474C
00480ACE 6A00 push $00

* Possible String Reference to: 'taskkill /F /IM qip.exe'
|
00480AD0 68680C4800 push $00480C68

* Reference to: kernel32.WinExec()
|
00480AD5 E88E63F8FF call 00406E68
00480ADA 6A00 push $00

* Possible String Reference to: 'taskkill /F /IM infium.exe'
|
00480ADC 68800C4800 push $00480C80

* Reference to: kernel32.WinExec()
|
00480AE1 E88263F8FF call 00406E68
00480AE6 B201 mov dl, $01

потом делает свое гадкое делр

[Сообщение изменено пользователем 03.01.2011 01:46]

[Сообщение изменено пользователем 03.01.2011 01:51]
5 / 1
hygi
Я тоже тока что заметил, клиенты у людей не работают, у одного комп включится потом не мог, а я так и не понимаю, он ворует пароли ?
0
serzero2007
Убивает всмысле висит в памяти и при попытке запустить завершает процесс. Надо удалить процесс в диспечере задач.
0
Аморальный Философ
От пользователя hygi
он ворует пароли ?

Вполне может.

От пользователя serzero2007
Убивает всмысле висит в памяти и при попытке запустить завершает процесс. Надо удалить процесс в диспечере задач.

Если это троян - то уже поздно. Антивирусом не поймается, а в системе засядет
А еще это может быть руткит - тогда вообще сушить весла

Ну а вообще запускать exe-шники из спама это жесть ума надо иметь ))
2 / 0
От пользователя aLiGaR
Новогодний вирус, не?

мну на постой трубы продают :-D
0
serzero2007
2Аморальный филосов:
Эта хрень написана на делфях - ничего удивительного внутри я не заметил - похоже на игры студентов.
0
От пользователя serzero2007
на делфях

ща ЛИСП в трендах :beach:
0
ВЕСЕЛЬЧАК Ы(нетолерантен)
За утро уже четыре раза приходило! :-D
0
Magreeb™
ваще файло через аську не принимаю
1 / 0
Проверенный файл: Happy New Year 2011.exe - Инфицирован
Happy New Year 2011.exe - инфицирован IM-Worm.Win32.QiMiral.bg
0
Dimon07
Переходим на маки... Вирусописакам шлем приветик :cool:
2 / 3
Только Касперский заругался
McAfee лицензионный молчит как рыба :-(
0
IM-Worm.Win32. QiMiral.ax

28 октября, 2010


Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium". Является приложением Windows (PE-EXE файл). Имеет размер 938496 байт. Написана на Delphi.

Деструктивная активность

После запуска червь показывает свое окно, в котором отображает картинку:



При попытке закрытия окна вредоноса, происходит лишь его сокрытие, а деструктивные действия продолжают выполняться.

Червь выполняет поиск окон с именами классов:
TMainForm
TManForm
Определяет процесс, который создает данные окна и производит чтения памяти процесса на предмет определения пароля пользователя. Если такие окна не были найдены – червь определяет месторасположение установленного IM клиента, прочитав значение параметра "InstallLocation" ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP Infium]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP 2010]
Затем выполняет поиск ".qip" файлов, содержащих информацию о профиле пользователя, которые хранятся в каталоге "Profiles". Поиск осуществляется по следующим каталогам:
%Program Files%\QIP Infium\Profiles\
%Documents and Settings%\%Current User%\Application Data\
QIP\Profiles\
Завершает работу IM клиентов, выполняя следующие команды:
taskkill /F /IM qip.exe
taskkill /F /IM infium.exe
taskkill /F /IM icq.exe
Удаляет файлы:
\LI\langs.cfg
Файл настройки языковых параметров программы мгновенных сообщений QIP.
\Langs\English.dll
Файл библиотеки с английским интерфейсом для QIP Infium.
\Langs\Russian.dll
Файл библиотеки с русским интерфейсом для QIP Infium. Где - один из стандартных путей установки программы мгновенных сообщений:
%Program Files%\QIP Infium\
%Program Files%\QIP\
%Program Files%\QIP 2010\
Или каталог указанный пользователем для установки клиента мгновенных сообщений.

Удаление вышеуказанных файлов приводит к невозможности запуска соответствующего клиента мгновенных сообщений (QIP или QIP Infium). Выполняет обращения по следующему адресу:
64.12.201.185
На момент создания описания данный ресурс был недоступен.
Распространение

После получения логина и пароля от учетной записи, используя собственный компонент для работы с ICQ протоколом, червь осуществляет рассылку своего тела по всему списку контактов.

При этом имя рассылаемого файла указывается как:
Snatch
Также червь имеет небольшой механизм ведения диалога.

Распознает фразы со словами:
троян
трой
вирь
вирус
Ответ:
нет, что ты? как можно?! )
нет, глянь )))
Распознает фразы со словами:
чито
що
шо
че
чё
чо
что
Ответ:
ну мини игра типа )
глянь ))
Распознает фразы со словами:
не могу
ринимает
Ответ:
включи в настройках передачу файлов )
Распознает фразы со словами:
ахуя
ачем
Ответ:
а зачем рыбе велосипед? )
Распознает фразы со словами:
Бот
бот
Ответ:
эээ… сам ты бот =\
Распознает фразы со словами:
Сейчас
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще
Ответ:
file
Распознает фразы со словами:
спам
Ответ:
где это видано чтоб спаммеры файлы слали? это я шлю!
Также отвечает на следующий текст: привет! здра хай здар прев прив
4 / 0
Задний руль
– Я им говорю, не ложьте! А они всё ложат и ложат…
– Так накладите на них!!!
0
От пользователя WhiteElephant
Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium".

разработчик - ICQ :-D
0
mad-x
блин! вот и я попался... перегрузил квип
0
Обсуждение этой темы закрыто модератором форума.