Обсуждение Malware - Sibnet • Форум Новосибирск Кемерово Красноярск Омск Барнаул Иркутск Томск

Правила форума Галерея Закладки Помощь Поиск Пользователи Репутация Сообщества

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )

Sibnet • Форум > Компьютеры и связь > Безопасность

Сейчас обсуждают

Название темы

Форум

Ответов

Последнее сообщение

Зеленский потерял доверие Запада

Политика и Экономика

Сегодня, 8:55
Посл. сообщение: Иркут 69

Сербия призвала Запад образумить «свое чадо» — Косово

Политика и Экономика

Сегодня, 8:54
Посл. сообщение: Uynachalnica

Зеркала

Разговоры обо всём

Сегодня, 8:48
Посл. сообщение: kuhvau

Украина будет называть Грузию «Сакартвело»

Политика и Экономика

Сегодня, 8:38
Посл. сообщение: mosquito__2010

5 страниц

1 2 3 > »

Обсуждение Malware, Для заинтересованных

Опции

SanchoZZ	8.1.2011, 4:41 Сообщение #1
Болтун Группа: Sibnet-club Сообщений: 690 Регистрация: 10.12.2009 Из: Кемеровская обл. г.Топки Пользователь №: 176 835 Репутация: 32	В очередной вылазке за вирусами, попал на порносайт на "народе", откуда скачивался файл "xxx_video.exe" Winlock ? По результатам VT - этот образец скорей всего модификация ZeuS (по базам аваста). Результаты VT З.Ы. Образец отправлен в Avira, AVG, Sophos, Vba, Dr.Web, COMODO, ESET, Avast. Анализ активности от COMODO Сообщение отредактировал SanchoZZ - 8.1.2011, 6:32 » Спасибо сказали: « Feo,

Feo	8.1.2011, 15:55 Сообщение #2
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	Схожие действия с винлоком. Перезапись данных userinit и создание файла C:\WINDOWS\system32\usrinit.exe Отослал еще в Ikarus. Авира только в понедельник разберет все, у них в субботу и воскресенье вирлаб не работает. Сообщение отредактировал Feo - 8.1.2011, 18:23 » Спасибо сказали: « SanchoZZ,

Feo	8.1.2011, 18:13 Сообщение #3
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	В икарус (Emsisoft) оперативно добавили. http://www.virustotal.com/file-scan/report...5bf3-1294485020 » Спасибо сказали: « SanchoZZ, zheny.roga4ev,

SanchoZZ	8.1.2011, 19:54 Сообщение #4
Болтун Группа: Sibnet-club Сообщений: 690 Регистрация: 10.12.2009 Из: Кемеровская обл. г.Топки Пользователь №: 176 835 Репутация: 32	Хм... он очень часто обновляется. сейчас перекачал- http://www.virustotal.com/file-scan/report...d9e7-1294488596 Отправил тем-же что и в прошлый раз(адрес вирлаба икаруса не знаю). » Спасибо сказали: « Feo,

Feo	8.1.2011, 19:59 Сообщение #5
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	Цитата(SanchoZZ @ 8.1.2011, 18:54) Хм... он очень часто обновляется. сейчас перекачал- http://www.virustotal.com/file-scan/report...d9e7-1294488596 Отправил тем-же что и в прошлый раз(адрес вирлаба икаруса не знаю). Модифицируют =) В Икарус можно отослать через мейл Может нам тему отдельную сделать? Для обсуждения malware и подобных вопросов. А то тут, думалось, новости ):

SanchoZZ	8.1.2011, 20:42 Сообщение #6
Болтун Группа: Sibnet-club Сообщений: 690 Регистрация: 10.12.2009 Из: Кемеровская обл. г.Топки Пользователь №: 176 835 Репутация: 32	А мейл вирлаба Comodo никто не знает? Ато приходится отправлять через вэб-морду =)

Feo	8.1.2011, 20:54 Сообщение #7
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	Цитата(SanchoZZ @ 8.1.2011, 19:42) А мейл вирлаба Comodo никто не знает? Ато приходится отправлять через вэб-морду =) Увы, не знаю. Разве мейлом удобней? Поражен скорости http://www.virustotal.com/file-scan/report...d9e7-1294494758

SanchoZZ	9.1.2011, 19:22 Сообщение #8
Болтун Группа: Sibnet-club Сообщений: 690 Регистрация: 10.12.2009 Из: Кемеровская обл. г.Топки Пользователь №: 176 835 Репутация: 32	Уже 2й день не добавляют в базы winlock http://www.virustotal.com/file-scan/report...db82-1294504617 Ненавижу выходные вирлаба . » Спасибо сказали: « Feo,

Feo	9.1.2011, 20:03 Сообщение #9
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	Угу, так же как и с этим. Были отосланы вирлабам (хоть и не мной), а до сих пор молчание от известных http://www.virustotal.com/file-scan/report...ac6d-1294578027 » Спасибо сказали: « SanchoZZ,

SanchoZZ	9.1.2011, 20:50 Сообщение #10
Болтун Группа: Sibnet-club Сообщений: 690 Регистрация: 10.12.2009 Из: Кемеровская обл. г.Топки Пользователь №: 176 835 Репутация: 32	Цитата(Feo @ 9.1.2011, 19:03) Угу, так же как и с этим. Были отосланы вирлабам (хоть и не мной), а до сих пор молчание от известных http://www.virustotal.com/file-scan/report...ac6d-1294578027 А это уже интересно =) Судя по Этому - его скачивают уже после заражения Hosts-ом. /UPD Этот WinLock, скачивается после заражения Vkhost-ом. Сейчас нашел работающую ссыль , скачал и запустил в песочке Сочетание клавиш Win+D уберет банер и разблокирует переключение по Alt+Tab, но рабочий стол не показывает Копирует себя в папку WINDOWS\system32 Сообщение отредактировал SanchoZZ - 9.1.2011, 21:23 » Спасибо сказали: « Feo,

Feo	9.1.2011, 20:55 Сообщение #11
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	Цитата(SanchoZZ @ 9.1.2011, 19:50) А это уже интересно =) Судя по Этому - его скачивают уже после заражения Hosts-ом. /UPD Этот WinLock, скачивается после заражения Vkhost-ом. Сейчас нашел работающую ссыль <!--private_data=0-->, скачал и запустил в песочке Сочетание клавиш Win+D уберет банер и разблокирует переключение по Alt+Tab, но рабочий стол не показывает Не показывает приват... » Спасибо сказали: « SanchoZZ,

SanchoZZ	9.1.2011, 21:02 Сообщение #12
Болтун Группа: Sibnet-club Сообщений: 690 Регистрация: 10.12.2009 Из: Кемеровская обл. г.Топки Пользователь №: 176 835 Репутация: 32	Поправил. сейчас закрыл банер, а рабочий стол не появляется =) Вот такой вот банер: /upd Ушёл перезагружаться. Сообщение отредактировал SanchoZZ - 9.1.2011, 21:04 » Спасибо сказали: « Feo,

Feo	9.1.2011, 21:07 Сообщение #13
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	Какой песок используешь? » Спасибо сказали: « SanchoZZ,

SanchoZZ	9.1.2011, 21:11 Сообщение #14
Болтун Группа: Sibnet-club Сообщений: 690 Регистрация: 10.12.2009 Из: Кемеровская обл. г.Топки Пользователь №: 176 835 Репутация: 32	Встроенный в COMODO. потом другие собираюсь пробовать, например SandBoxie. » Спасибо сказали: « Feo,

Feo	9.1.2011, 21:59 Сообщение #15
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	А я как-то пробовал через него (Комод), так какие-то ошибки лезли о недостаточных правах. Еще Shadow Defender часто замечал используют. » Спасибо сказали: « SanchoZZ,

SanchoZZ	9.1.2011, 22:01 Сообщение #16
Болтун Группа: Sibnet-club Сообщений: 690 Регистрация: 10.12.2009 Из: Кемеровская обл. г.Топки Пользователь №: 176 835 Репутация: 32	Потому что в Комодовской песочнице нельзязапустить прогу с правами админа. вот и лезут недостаточные права. Сейчас virtualbox ставлю =) » Спасибо сказали: « Feo,

akvamistika	10.1.2011, 0:43 Сообщение #17
Аквариумисты Сибири - объеденяйтесь !!! Группа: VIP Сообщений: 8 900 Регистрация: 28.8.2007 Из: СССР Пользователь №: 4 944	Цитата(Feo @ 9.1.2011, 20:59) А я как-то пробовал через него (Комод), так какие-то ошибки лезли о недостаточных правах. Еще Shadow Defender часто замечал используют. Раьше использовал WinRollBack Private , сейчас Shadow Defender » Спасибо сказали: « Feo,

Feo	10.1.2011, 1:42 Сообщение #18
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	Надо же, от Авиры пришли результаты из вирлаба по некоторым файлам. Странно...Обработка датирована 9 января. Конечно было такое, что базы обновлялись в выходные, но такое, на моей памяти, впервые! » Спасибо сказали: « SanchoZZ,

Feo	10.1.2011, 16:34 Сообщение #19
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050	Чего только не придумают. http://forum.sibnet.ru/index.php?showtopic...iew=getlastpost Смысл зловреда сделан тупо, но действенно. 2 файла hosts, один скрытый, другой нет. Скрытый (закрыт для записи), естественно - рабочий. Открываешь - пусто, листаешь вниз - список сайтов. В обычном - пусто. А сделано все в SFX архиве WinRAR, с командами скриптов. VT Отправлен в Avira и ESET. » Спасибо сказали: « SanchoZZ,

SanchoZZ	10.1.2011, 18:10 Сообщение #20
Болтун Группа: Sibnet-club Сообщений: 690 Регистрация: 10.12.2009 Из: Кемеровская обл. г.Топки Пользователь №: 176 835 Репутация: 32	Пришел ответ от ESET по файлу http://www.virustotal.com/file-scan/report...ac6d-1294657556 добавят в базу 5774 как Win32/LockScreen.ABG Кроме нода пока никто не ответил, ни авира, ни др.вэб, ни авг » Спасибо сказали: « Feo,

« Предыдущая тема · Безопасность · Следующая тема »

5 страниц

1 2 3 > »

1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписаться на форум

Текстовая версия

Сейчас: 30.5.2023, 9:05