Новогодний вирус, не?
a
aligar
Походу создатели вирусов решили отпраздновать 2011 новым троянчиком.
От ваших друзей в аське приходит запрос на передачу файла и стандартное сообщение " С новым годом!"
Видимо после приема файла аську уводят (не проверял), а вирус продолжает распространяться дальше. Не ведитесь.
Название передаваемого файла вроде такого: "Happy New Year 2011"
Почему считаю, что вирус - уже четыре человека прислали совершенно одинаковые поздравления и все такие же запросы на передачу файла сразу после поздравления.
[Сообщение изменено пользователем 03.01.2011 00:01]
От ваших друзей в аське приходит запрос на передачу файла и стандартное сообщение " С новым годом!"
Видимо после приема файла аську уводят (не проверял), а вирус продолжает распространяться дальше. Не ведитесь.
Название передаваемого файла вроде такого: "Happy New Year 2011"
Почему считаю, что вирус - уже четыре человека прислали совершенно одинаковые поздравления и все такие же запросы на передачу файла сразу после поздравления.
[Сообщение изменено пользователем 03.01.2011 00:01]
D
Death®
каждый год одно и тоже...
a
aligar
Оно еще и разговаривает!!!
SнайпеR (00:02:37 3/01/2011)
С Новым Годом!
SнайпеR (00:02:37 3/01/2011)
Входящий файл: Happy New Year 2011
Размер: 889 Кб
Внешний IP:
Внутренний IP: 0.0.0.0
isolated (00:02:48 3/01/2011)
цыц
isolated (00:02:51 3/01/2011)
ацы
isolated (00:03:03 3/01/2011)
вирус
SнайпеR (00:03:11 3/01/2011)
это не вирус! зачем же в праздник вирусы рассылать?
isolated (00:04:05 3/01/2011)
вирус
SнайпеR (00:04:31 3/01/2011)
где? :0
в общем, оно вас попытается переубедить :-d
[Сообщение изменено пользователем 03.01.2011 00:06]
SнайпеR (00:02:37 3/01/2011)
С Новым Годом!
SнайпеR (00:02:37 3/01/2011)
Входящий файл: Happy New Year 2011
Размер: 889 Кб
Внешний IP:
Внутренний IP: 0.0.0.0
isolated (00:02:48 3/01/2011)
цыц
isolated (00:02:51 3/01/2011)
ацы
isolated (00:03:03 3/01/2011)
вирус
SнайпеR (00:03:11 3/01/2011)
это не вирус! зачем же в праздник вирусы рассылать?
isolated (00:04:05 3/01/2011)
вирус
SнайпеR (00:04:31 3/01/2011)
где? :0
в общем, оно вас попытается переубедить :-d
[Сообщение изменено пользователем 03.01.2011 00:06]
D
Death®
был в том году подобный
Z
ZaBaVa)
Спасибо))
K
Kipri
в общем, оно вас попытается переубедить
клева) с ним наверное и выпить можно)
p
paa07
НЕ
m
m_messiah
прилетало. Есетом проверил - чисто. Запустил - бессмысленно. Закрываешь - остается в процессах. Убивается и удаляется легко. Симптомов заражения пока не обнаружено. Либо слишком простой троянчик. Либо очень замудреный. К слову, есет Смарт Секьюрити не спрашивал никаких разрешений про доступ к сети
или к другому процессу.
p.s. Вот и не пойму: я его успел убить или это что-то странное?
Кстати, вот сообщение отправившего:
ххх (00:55:02 3/01/2011)
ты что-то писал?
у мя аська полетела
[Сообщение изменено пользователем 03.01.2011 01:02]
p.s. Вот и не пойму: я его успел убить или это что-то странное?
Кстати, вот сообщение отправившего:
ххх (00:55:02 3/01/2011)
ты что-то писал?
у мя аська полетела
[Сообщение изменено пользователем 03.01.2011 01:02]
D
Doctor(Kol'tsovo)
та же фигня...у меня в истории принятых файлов остался и не давал запустить кип..((
s
serzero2007
После разборки проги удалось узнать, что всего существует 1 форма 1 значащая процедура. На главной форме 3 объекта - 2 изображения и 1 обьект *TfrmMain.ICQClient:TICQClient. Так что скорее всего это детская игрушка нежели вирус. Думаю ассемблерных вставок нет, хотя в этом я не специалист. В
автозапуск точно не пишется - никаких програм внутри не видел - думаю просто надо сменить пароль и все ок.
АХТУНГ! Все что там написано неактуально - наткнулся внутри на такую строчку
0048309B E8AC16F8FF call 0040474C
004830A0 8D430C lea eax, [ebx+$0C]
* Possible String Reference to: '64.12.201.185'
|
004830A3 BAA4314800 mov edx, $004831A4
Не нравится мне это.
Более того штука начинает свою работу с того, что убивает клиент
00480AC9 E87E3CF8FF call 0040474C
00480ACE 6A00 push $00
* Possible String Reference to: 'taskkill /F /IM qip.exe'
|
00480AD0 68680C4800 push $00480C68
* Reference to: kernel32.WinExec()
|
00480AD5 E88E63F8FF call 00406E68
00480ADA 6A00 push $00
* Possible String Reference to: 'taskkill /F /IM infium.exe'
|
00480ADC 68800C4800 push $00480C80
* Reference to: kernel32.WinExec()
|
00480AE1 E88263F8FF call 00406E68
00480AE6 B201 mov dl, $01
потом делает свое гадкое делр
[Сообщение изменено пользователем 03.01.2011 01:46]
[Сообщение изменено пользователем 03.01.2011 01:51]
АХТУНГ! Все что там написано неактуально - наткнулся внутри на такую строчку
0048309B E8AC16F8FF call 0040474C
004830A0 8D430C lea eax, [ebx+$0C]
* Possible String Reference to: '64.12.201.185'
|
004830A3 BAA4314800 mov edx, $004831A4
Не нравится мне это.
Более того штука начинает свою работу с того, что убивает клиент
00480AC9 E87E3CF8FF call 0040474C
00480ACE 6A00 push $00
* Possible String Reference to: 'taskkill /F /IM qip.exe'
|
00480AD0 68680C4800 push $00480C68
* Reference to: kernel32.WinExec()
|
00480AD5 E88E63F8FF call 00406E68
00480ADA 6A00 push $00
* Possible String Reference to: 'taskkill /F /IM infium.exe'
|
00480ADC 68800C4800 push $00480C80
* Reference to: kernel32.WinExec()
|
00480AE1 E88263F8FF call 00406E68
00480AE6 B201 mov dl, $01
потом делает свое гадкое делр
[Сообщение изменено пользователем 03.01.2011 01:46]
[Сообщение изменено пользователем 03.01.2011 01:51]
h
hygi
Я тоже тока что заметил, клиенты у людей не работают, у одного комп включится потом не мог, а я так и не понимаю, он ворует пароли ?
s
serzero2007
Убивает всмысле висит в памяти и при попытке запустить завершает процесс. Надо удалить процесс в диспечере задач.
А
Аморальный Философ
он ворует пароли ?
Вполне может.
Убивает всмысле висит в памяти и при попытке запустить завершает процесс. Надо удалить процесс в диспечере задач.
Если это троян - то уже поздно. Антивирусом не поймается, а в системе засядет
А еще это может быть руткит - тогда вообще сушить весла
Ну а вообще запускать exe-шники из спама это жесть ума надо иметь ))
s
serzero2007
2Аморальный филосов:
Эта хрень написана на делфях - ничего удивительного внутри я не заметил - похоже на игры студентов.
Эта хрень написана на делфях - ничего удивительного внутри я не заметил - похоже на игры студентов.
В
ВЕСЕЛЬЧАК Ы(нетолерантен)
За утро уже четыре раза приходило!
M
Magreeb™
ваще файло через аську не принимаю
Проверенный файл: Happy New Year 2011.exe - Инфицирован
Happy New Year 2011.exe - инфицирован IM-Worm.Win32.QiMiral.bg
Happy New Year 2011.exe - инфицирован IM-Worm.Win32.QiMiral.bg
D
Dimon07
Переходим на маки... Вирусописакам шлем приветик
IM-Worm.Win32. QiMiral.ax
28 октября, 2010
Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium". Является приложением Windows (PE-EXE файл). Имеет размер 938496 байт. Написана на Delphi.
Деструктивная активность
После запуска червь показывает свое окно, в котором отображает картинку:
При попытке закрытия окна вредоноса, происходит лишь его сокрытие, а деструктивные действия продолжают выполняться.
Червь выполняет поиск окон с именами классов:
TMainForm
TManForm
Определяет процесс, который создает данные окна и производит чтения памяти процесса на предмет определения пароля пользователя. Если такие окна не были найдены – червь определяет месторасположение установленного IM клиента, прочитав значение параметра "InstallLocation" ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP Infium]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP 2010]
Затем выполняет поиск ".qip" файлов, содержащих информацию о профиле пользователя, которые хранятся в каталоге "Profiles". Поиск осуществляется по следующим каталогам:
%Program Files%\QIP Infium\Profiles\
%Documents and Settings%\%Current User%\Application Data\
QIP\Profiles\
Завершает работу IM клиентов, выполняя следующие команды:
taskkill /F /IM qip.exe
taskkill /F /IM infium.exe
taskkill /F /IM icq.exe
Удаляет файлы:
\LI\langs.cfg
Файл настройки языковых параметров программы мгновенных сообщений QIP.
\Langs\English.dll
Файл библиотеки с английским интерфейсом для QIP Infium.
\Langs\Russian.dll
Файл библиотеки с русским интерфейсом для QIP Infium. Где - один из стандартных путей установки программы мгновенных сообщений:
%Program Files%\QIP Infium\
%Program Files%\QIP\
%Program Files%\QIP 2010\
Или каталог указанный пользователем для установки клиента мгновенных сообщений.
Удаление вышеуказанных файлов приводит к невозможности запуска соответствующего клиента мгновенных сообщений (QIP или QIP Infium). Выполняет обращения по следующему адресу:
64.12.201.185
На момент создания описания данный ресурс был недоступен.
Распространение
После получения логина и пароля от учетной записи, используя собственный компонент для работы с ICQ протоколом, червь осуществляет рассылку своего тела по всему списку контактов.
При этом имя рассылаемого файла указывается как:
Snatch
Также червь имеет небольшой механизм ведения диалога.
Распознает фразы со словами:
троян
трой
вирь
вирус
Ответ:
нет, что ты? как можно?! )
нет, глянь )))
Распознает фразы со словами:
чито
що
шо
че
чё
чо
что
Ответ:
ну мини игра типа )
глянь ))
Распознает фразы со словами:
не могу
ринимает
Ответ:
включи в настройках передачу файлов )
Распознает фразы со словами:
ахуя
ачем
Ответ:
а зачем рыбе велосипед? )
Распознает фразы со словами:
Бот
бот
Ответ:
эээ… сам ты бот =\
Распознает фразы со словами:
Сейчас
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще
Ответ:
file
Распознает фразы со словами:
спам
Ответ:
где это видано чтоб спаммеры файлы слали? это я шлю!
Также отвечает на следующий текст: привет! здра хай здар прев прив
28 октября, 2010
Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium". Является приложением Windows (PE-EXE файл). Имеет размер 938496 байт. Написана на Delphi.
Деструктивная активность
После запуска червь показывает свое окно, в котором отображает картинку:
При попытке закрытия окна вредоноса, происходит лишь его сокрытие, а деструктивные действия продолжают выполняться.
Червь выполняет поиск окон с именами классов:
TMainForm
TManForm
Определяет процесс, который создает данные окна и производит чтения памяти процесса на предмет определения пароля пользователя. Если такие окна не были найдены – червь определяет месторасположение установленного IM клиента, прочитав значение параметра "InstallLocation" ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP Infium]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP 2010]
Затем выполняет поиск ".qip" файлов, содержащих информацию о профиле пользователя, которые хранятся в каталоге "Profiles". Поиск осуществляется по следующим каталогам:
%Program Files%\QIP Infium\Profiles\
%Documents and Settings%\%Current User%\Application Data\
QIP\Profiles\
Завершает работу IM клиентов, выполняя следующие команды:
taskkill /F /IM qip.exe
taskkill /F /IM infium.exe
taskkill /F /IM icq.exe
Удаляет файлы:
\LI\langs.cfg
Файл настройки языковых параметров программы мгновенных сообщений QIP.
\Langs\English.dll
Файл библиотеки с английским интерфейсом для QIP Infium.
\Langs\Russian.dll
Файл библиотеки с русским интерфейсом для QIP Infium. Где - один из стандартных путей установки программы мгновенных сообщений:
%Program Files%\QIP Infium\
%Program Files%\QIP\
%Program Files%\QIP 2010\
Или каталог указанный пользователем для установки клиента мгновенных сообщений.
Удаление вышеуказанных файлов приводит к невозможности запуска соответствующего клиента мгновенных сообщений (QIP или QIP Infium). Выполняет обращения по следующему адресу:
64.12.201.185
На момент создания описания данный ресурс был недоступен.
Распространение
После получения логина и пароля от учетной записи, используя собственный компонент для работы с ICQ протоколом, червь осуществляет рассылку своего тела по всему списку контактов.
При этом имя рассылаемого файла указывается как:
Snatch
Также червь имеет небольшой механизм ведения диалога.
Распознает фразы со словами:
троян
трой
вирь
вирус
Ответ:
нет, что ты? как можно?! )
нет, глянь )))
Распознает фразы со словами:
чито
що
шо
че
чё
чо
что
Ответ:
ну мини игра типа )
глянь ))
Распознает фразы со словами:
не могу
ринимает
Ответ:
включи в настройках передачу файлов )
Распознает фразы со словами:
ахуя
ачем
Ответ:
а зачем рыбе велосипед? )
Распознает фразы со словами:
Бот
бот
Ответ:
эээ… сам ты бот =\
Распознает фразы со словами:
Сейчас
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще
Ответ:
file
Распознает фразы со словами:
спам
Ответ:
где это видано чтоб спаммеры файлы слали? это я шлю!
Также отвечает на следующий текст: привет! здра хай здар прев прив
З
Задний руль
– Я им говорю, не ложьте! А они всё ложат и ложат…
– Так накладите на них!!!
– Так накладите на них!!!
Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium".
разработчик - ICQ
m
mad-x
блин! вот и я попался... перегрузил квип
Обсуждение этой темы закрыто модератором форума.