Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
 Вирус 0.9663742389989457.exe  [new]
Max Pro
Member

Откуда: планета Сатурн, межгалактическая станция №999
Сообщений: 2776
При заходе на заражённый сайт запускается Ява-апплет. Он использует какую-то уязвимость и сохраняет файл 0.9663742389989457.exe. Затем запускает его.
*********************************
В этом топике я расскажу как избавиться от вируса. Дело в том, что антивирусы, такие как Стингер, Нортон, Симантик, MRT (Микрософт) и Касперский не могут обнаружить вирус и удалить его.
*********************************
Начнём с симптомов и побочных эффектов.
*********************************
Симптом:
Во весь экран появляется такая картинка - см влож рис

К сообщению приложен файл. Размер - 116Kb
9 фев 11, 16:05    [10209417]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Max Pro
Member

Откуда: планета Сатурн, межгалактическая станция №999
Сообщений: 2776
Понятно, что номера телефонов указывают на преступников, вымогающих деньги.
При этом никакие кнопки не работают. Если перезагрузить Винду, возникнет опять это сообщение. Ctrl+Alt+Del тоже не работают. Антивирусы ничего не находят.
Для вылечивания следует загрузить комп с Linux Live-CD и удалить следующий файл:
C:\Documents and Settings\имя_пользователя\Local Settings\Temp\0.9663742389989457.exe
В Вашем случае набор цифр может быть иным.
После удаления файла комп загрузится, вымогательной вывески не будет, однако Вы сможете заценить побочные эффекты:

1. Пропадает кнопка Пуск вместе с нижней панелью. Если для Вас это хорошо, то Вы можете применить у себя вирус для удаления панели Пуска. Но есть и другие побочные эффекты.

2. В программе Проводник не работает поиск. Вообще не работает.

3. На рабочем столе пропадают все значки, остаётся только фон.

4. На рабочем столе не работает правая кнопка мыши. Для запуска программ используйте диспетчер задач по нажатию Ctrl+Alt+Del.

5. Окна программ сворачиваются на рабочем столе в стиле Windows 3 (он был до Windows 95).
9 фев 11, 16:23    [10209567]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Max Pro
Member

Откуда: планета Сатурн, межгалактическая станция №999
Сообщений: 2776
Я открыл файл вируса в двоичном редакторе, но никакого "послания" к своему разочарованию не нашёл.
Вот тот единственный текст, который там был:

4 V S _ V E R S I O N _ I N F O
S t r i n g F i l e I n f o Р
C o m m e n t s L e t y o u i n s t a l l , s t a r t , s t o p a n d u n i n s t a l l d e v i c e d r i v e r s .
C o m p a n y N a m e F o u r - F
F i l e D e s c r i p t i o n K e r n e l M o d e D r i v e r M a n a g e r 6
F i l e V e r s i o n 1 , 3 , 0 , 0 6
I n t e r n a l N a m e K m d M a n a g e r
L e g a l C o p y r i g h t C o p y r i g h t © 2 0 0 2 - 2 0 0 5 F o u r - F F
O r i g i n a l F i l e n a m e K m d M a n a g e r . e x e V
P r o d u c t N a m e K e r n e l M o d e D r i v e r M a n a g e r ,
P r o d u c t V e r s i o n 1 . 3 D
V a r F i l e I n f o $
T r a n s l a t i o n
KERNEL32.DLL ADVAPI32.dll COMCTL32.dll SHELL32.dll SHLWAPI.dll user32.dll LoadLibraryA GetProcAddress VirtualProtect VirtualAlloc VirtualFree ExitProcess FreeSid ImageList_Draw DragFinish PathIsDirectoryA GetDC
9 фев 11, 16:30    [10209615]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Max Pro
Member

Откуда: планета Сатурн, межгалактическая станция №999
Сообщений: 2776
Прикладываю сам файл. Может кому будет интересно поковыряться там. Перед загрузкой файла скопируйте важные данные, кто знает что может случиться. См. влож. файл.
Модератор: Вложение удалено.


Сообщение было отредактировано: 9 фев 11, 20:13
9 фев 11, 16:33    [10209633]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Max Pro
Member

Откуда: планета Сатурн, межгалактическая станция №999
Сообщений: 2776
Также к вирусу могут относиться ещё несколько файлов, но они имеют размер более 150 КБайт и поэтому я их разбил архиватором на три части - часть 1 см во влож файле
Модератор: Вложение удалено.


Сообщение было отредактировано: 9 фев 11, 20:14
9 фев 11, 16:36    [10209659]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Обычный троян вымогатель, такие пишут по несколько десятков в день.
9 фев 11, 16:36    [10209661]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Max Pro
Member

Откуда: планета Сатурн, межгалактическая станция №999
Сообщений: 2776
Часть 2 из 3 - см влож файл
Модератор: Вложение удалено.


Сообщение было отредактировано: 9 фев 11, 20:14
9 фев 11, 16:37    [10209669]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Max Pro
Member

Откуда: планета Сатурн, межгалактическая станция №999
Сообщений: 2776
Часть 3 из 3-х - см влож файл
Модератор: Вложение удалено.


Сообщение было отредактировано: 9 фев 11, 20:14
9 фев 11, 16:38    [10209677]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Max Pro
Member

Откуда: планета Сатурн, межгалактическая станция №999
Сообщений: 2776
Anatoly Podgoretsky
Обычный троян вымогатель, такие пишут по несколько десятков в день.

А, ты похоже знаком с этим делом. А я вот первый раз попал. Слышал про такое, но сам заценить не мог. Теперь заценил. Ты говоришь, такие пишут по десятку в день? Я, кстати, слышал, их ребята Касперского пишут. Но это всё на уровне слухов.
9 фев 11, 16:41    [10209700]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Max Pro
Прикладываю сам файл. Может кому будет интересно поковыряться там. Перед загрузкой файла скопируйте важные данные, кто знает что может случиться.
См. влож. файл.

Зачем вирусы распротраняешь?
9 фев 11, 16:52    [10209774]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Edd.Dragon
Member

Откуда: Украина
Сообщений: 6963
Max Pro
Я, кстати, слышал, их ребята Касперского пишут. Но это всё на уровне слухов.

Ну да, а потом же на своем сайте длают страничку, на которой можно ввести номер телефона и получить код разблокировки забесплатно.
http://support.kaspersky.ru/viruses/deblocker

Твоя версия вируса еще не добавлена в деблокер. Вот можешь написать им письмо и выслать. Т.е. номер телефона и старые вирусы с таким текстом есть. Но код и офрмление твоего - новые.
9 фев 11, 16:59    [10209822]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
vizit73
Member

Откуда: Украина
Сообщений: 392
Max Pro
Anatoly Podgoretsky
Обычный троян вымогатель, такие пишут по несколько десятков в день.

А, ты похоже знаком с этим делом. А я вот первый раз попал. Слышал про такое, но сам заценить не мог. Теперь заценил. Ты говоришь, такие пишут по десятку в день? Я, кстати, слышал, их ребята Касперского пишут. Но это всё на уровне слухов.


А работать на компе под учёткой с правами обычного пользователя слабо?
9 фев 11, 16:59    [10209829]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
vizit73
Max Pro
пропущено...

А, ты похоже знаком с этим делом. А я вот первый раз попал. Слышал про такое, но сам заценить не мог. Теперь заценил. Ты говоришь, такие пишут по десятку в день? Я, кстати, слышал, их ребята Касперского пишут. Но это всё на уровне слухов.


А работать на компе под учёткой с правами обычного пользователя слабо?

А у меня поэтому и нет таких зверюшек
9 фев 11, 17:02    [10209855]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37100
Max Pro
Я, кстати, слышал, их ребята Касперского пишут.
Я еще слышал, что Сонцо вокруг земли вращается. Даже видел.
9 фев 11, 17:41    [10210125]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Edd.Dragon
Member

Откуда: Украина
Сообщений: 6963
vizit73
А работать на компе под учёткой с правами обычного пользователя слабо?

Очень слабо. Иногда Убунту за это убить хочется. А пальцы болят от постоянного ввода пароля. Хорошо, что в XP можно спокойно работать под "рутом".

Но работа с правами админа вкупе с остсутствием активного антивируса никак не способствует появлению зверушек.
Проблемам способствуют другие факторы и ограничение прав, к сожалению, им не помеха.
9 фев 11, 17:58    [10210316]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37100
Max Pro
Дело в том, что антивирусы, такие как Стингер, Нортон, Симантик, MRT (Микрософт) и Касперский не могут обнаружить вирус и удалить его.

Файло 10209633 детектится Каспером как DangerousObject.Multi.Generic начиная с седьмого числа.

Так же оно детектится некоторыми другими антивирусами: http://www.virustotal.com/file-scan/report.html?id=f91bd5e876cf2ff50517b137a424e10d6628b90f7c6661ff96e6637f80a5cdd9-1297091291
9 фев 11, 18:09    [10210403]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Edd.Dragon
Member

Откуда: Украина
Сообщений: 6963
Гавриленко Сергей Алексеевич,

У меня только что обновленный KIS 2010 в exe-шнике ничего не не обнаруживает. Даже включил максимальную эвристику и выключил "проверять только новые и измененные" - побоку.
9 фев 11, 18:14    [10210430]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37100
Edd.Dragon
Гавриленко Сергей Алексеевич,

У меня только что обновленный KIS 2010 в exe-шнике ничего не не обнаруживает. Даже включил максимальную эвристику и выключил "проверять только новые и измененные" - побоку.
На соседнем компе задетектился 2010м без проблем. Дома ткну для разнообразия (правда там у меня 2009й).
9 фев 11, 18:23    [10210493]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Edd.Dragon
Member

Откуда: Украина
Сообщений: 6963
А вот на Exe-шник из архива заругался

Trojan.Win32.FakeAV.afhi
Время детектирования 08 фев 2011 01:58 MSK
Время выпуска обновления 08 фев 2011 07:47 MSK
http://www.securelist.com/ru/search?VN=Trojan.Win32.FakeAV.afhi&sha1=727d2a64c2fb8e5d97267e6cf5b6d15a88625fa6
9 фев 11, 18:34    [10210574]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37100
Собственно, задетектился сразу.

К сообщению приложен файл. Размер - 13Kb
9 фев 11, 21:50    [10211234]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Damien
Member

Откуда: седьмой круг
Сообщений: 2435
пальцы болят от постоянного ввода пароля


и зачем же так часто повышать привилегии?

Хорошо, что в XP можно спокойно работать под "рутом".


знаю людей, которые уже несколько раз отправляли смс. Чего не сделаешь, ради спокойной работы под рутом.
9 фев 11, 22:02    [10211263]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Khod
Member

Откуда: Ukraine, Kirovograd
Сообщений: 6958
Такие вирусы появляются время от времени.
Ну и что?
В крайнем случае, отправляешь вирус разработчику антивирусного ПО и через несколько часов твой вирус будет в базе детектирования.
Я сам отправил больше 20 штук разработчикам.
Так ещё и спасибо сказали!
10 фев 11, 09:48    [10212243]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Edd.Dragon
Гавриленко Сергей Алексеевич,

У меня только что обновленный KIS 2010 в exe-шнике ничего не не обнаруживает. Даже включил максимальную эвристику и выключил "проверять только новые и измененные" - побоку.

Можешь запускать, у тебя не вирус, может быть.
10 фев 11, 11:52    [10213173]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Damien
пальцы болят от постоянного ввода пароля


и зачем же так часто повышать привилегии?

Хорошо, что в XP можно спокойно работать под "рутом".


знаю людей, которые уже несколько раз отправляли смс. Чего не сделаешь, ради спокойной работы под рутом.

И продолжают отправлять.
10 фев 11, 11:54    [10213192]     Ответить | Цитировать Сообщить модератору
 Re: Вирус 0.9663742389989457.exe  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Anatoly Podgoretsky
Damien
пропущено...


и зачем же так часто повышать привилегии?

пропущено...


знаю людей, которые уже несколько раз отправляли смс. Чего не сделаешь, ради спокойной работы под рутом.

И продолжают отправлять.

И денег, в отличии от трояна, не запросили
10 фев 11, 11:54    [10213198]     Ответить | Цитировать Сообщить модератору
Все форумы / Windows Ответить