ВНИМАНИЕ - ОПАСНЫЙ ВИРУС!!!

Свободное общение на компьютерную тематику

Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.

shulyan
Сообщения: 692
Зарегистрирован: 28 июл 2006, 16:32
Откуда: СПб

Сообщение shulyan »

MySh писал(а):прога отнюдь не копеечная.
Не копеечная для чего? если для галочки, что мол есть антивирь и вы больше не несёте никакой ответствености, то конечно, очень даже не копеечная, ибо никуя не спасает от бездумного щёлканья ... и ведь наверняк каспер предупредил, типа вы уверены, что хотите запустить эту хрень? Юзер всегда знает, что он делает. Причём здесь медиаконтент? Не о нём речь, а о том, что юзер всегда прав, а вот сцуки вирусописатели и обдираловы-антивирусники только жить мешают юзеру. Первые гадят, а вторые не спасают. (Ну и как всегда баян: и первое и второе - одно лицо :lol2: )
"Я буду лгать, красть, мошенничать и убивать, но Бог мне свидетель: я никогда не буду голодать!"
Аватара пользователя
Raininick
Сообщения: 2003
Зарегистрирован: 12 авг 2006, 12:03
Откуда: MoscoW Land
Контактная информация:

Сообщение Raininick »

В дополнение - вот полное описание этого зловреда Virus.VBS.Agent.c (хотя это описание не поможет восстановить попорченные данные):
Опасная троянская программа, уничтожает данные пользователя на диске. От данного зловреда пострадали многие пользователи, зафиксирован буквально шквал обращений (в том числе в конференциях http://virusinfo.info и http://forum.kaspersky.com
Видимые проявления - в автозапуске появляется посторонний файл one.exe (файл размещается в папке Windows), который является SFX архивом. В случае запуска он распаковывается в корень диска C:, при это создаются следующие файлы: dr.vbs, DR1.dr, DR2.dr и DR3.dr. Файл dr.vbs после этого запускается (для извлечения файлов и запуска в архиве имеется скрипт: Path=c:\ Setup=dr.vbs).
Скрипт dr.vbs зашифрован для защиты от изучения, шифровка примитивная. Расшифровка показывает, что скрипт ищет файлы на диске и в зависимости от расширения копирует заготовки
DR1.dr - DR3.dr поверх некоторых файлов. Поражаются файлы следующих типов:
mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave - поверх них копируется файл DR1.dr
jpg,bmp,gif,png -> DR2.dr
txt,xlsЭ,doc,htm,xl -> DR3.dr

Файл DR1.dr является музыкальным файлом с ID3 тегом "Тут могла быть ваша РЕКЛАМА!!! По вопросам размещения во второй волне : xxx@yyyy", соответственно DR2.dr - это картинка формата JPEG (в ней призыв разместить рекламу написан на картинке, причем с лозунгом "Диструктивная реклама") и DR3.dr - текстовый файл, по содержимому идентичный ID3 тегу DR1.dr.

Как очевидно из описания, файлы перечисленных расширений будут уничтожены, резервных копий затираемых файлов зловред не делает.

Скрипт по некоторым стилистическим элементам похож на аналогичного деструктивного зловреда Email-Worm.VBS.Agent.j

Внедрение в систему и распространение
Зловред распространяется в виде файла с расширением SCR, размер файла - 424 кб, это SFX архив с файлами 01.vbs, 02.vbs, 03.vbs, 04.vbs и one.exe внутри. В случае запуска файлы извлекаются в папку Windows и идет запуск 01.vbs
1. WINDOWS\01.vbs - проверяет наличие в корне диска dr.vbs. Если его нет, то запускается 02.vbs и самоуничтожается
2. WINDOWS\02.vbs - просматривает папки в каталоге Mra\, принадлежащем MailRu Agent. Сканированием этой папки строит список адресов - найденные адреса заносятся в файл "c:\DR.dr", после чего запускается 03.vbs и самоуничтожается
3. WINDOWS\03.vbs -регистрирует в реестре файл one.exe, блокирует запуск редактора реестра и диспетчера задач через политики, после чего рассылает на один из встроенных в тело скрипта адресов письмо, текстовка "complete..." + аттчач - файл c:\DR.ey, после чего запускает 04.vbs и самоуничтожается. Файл DR.ey содержит данные ключа реестра Software\Mail.Ru\Agent.
4. WINDOWS\04.vbs Рассылает письма c заголовком "Вам пришла открытка от: xxxx" и телом "Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: xxxx@ Открытка ждёт Вас по адресу: <полный адрес файла SCR, инсталлирующего зловреда>. Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней."

Для поражения ПК нужно перейти по указанной в подобном письме ссылке, загрузить и запустить файл (подтвердив запрос системы на запуск). Таким образом следует вспомнить основную заповедь безопасности в Интернет - не следует переходить по подозрительным ссылкам и запускать непонятные программы, загруженные по этим ссылкам ... Зловред заменяет все текстовые файлы, звуки и картинки, в том числе и системные и принадлежащие различным программам - поэтому если он отработал, то стоит или восстановить систему из резервной копии, или произвести ее переустановку
http://dslnet.ru/showthread.php?t=20096 AleXXII с форума dslnet.ru
Изображение
Аватара пользователя
Neo831
ЖелеZный врачЪ
Сообщения: 3371
Зарегистрирован: 08 авг 2006, 11:42
Откуда: г. Видное, МО
Контактная информация:

Сообщение Neo831 »

Cобственно к сказаному мало чего добавить. Единственное что, я по первОй подумал что этот вирус имеет способность к самокопированию и самораспространению черех эксплорер. Но на радость и счастье многих пользователей это не так. Хотя если прикрутить к нему нужные куски кода - получится весьма зверская вещь, "Чернобыль" отдохнет...
С уважением, Сергей!

C2D E6550 up to 2,66 GHz/Asus P5B Plus/2x1Gb Kingston DDR2/Asus 8600GTS/FSP 450W/Seagate SATA 320 Gb 7200.9/NEC 4550A/SB Audigy SE/AverTV 306/InWin J535
Аватара пользователя
Shurick1
Rank hidden
Сообщения: 1037
Зарегистрирован: 18 янв 2007, 00:54

Сообщение Shurick1 »

Neo831
кстати, не удивлюсь если это как то связвно, возможно опосредованно, с борьбой за авторские права (ну раз акудио\видео контент гробит) не в том плане что там корпорации прям вот так вот наняли хакера (хотя и этого не стоит исключать) а какая нить там звезда-п*зда, очередной раз проходя (скорее прорезжая) мимо лотков с пиратской продукцией, психануло и с очередного гонорара за выступление на каком-нить стадионе, оплатило работу какому-нить хакеру :lol2:
Изображение
Изображение
Изображение
Аватара пользователя
Chopper daddy
Сообщения: 579
Зарегистрирован: 15 дек 2006, 14:06
Контактная информация:

Сообщение Chopper daddy »

Ну с музыкой и фильмами все понятно. А фотки-то за что гробить? А документы?
Делайте что хотите, но чтобы через полчаса в лесу было светло, сухо и медведь! ("Тот самый Мюнхгаузен")
Аватара пользователя
Shurick1
Rank hidden
Сообщения: 1037
Зарегистрирован: 18 янв 2007, 00:54

Сообщение Shurick1 »

в наказание ... :lol2: а может просто проограммист колторый эту работу делал, решил за звездные бабки особо не напрягаться, да и большкю часть протым копипастом сделал, на медиаконтент был заказ, а доки и фотки было лень стирать :lol2:
Изображение
Изображение
Изображение
Аватара пользователя
Ko6a
Сообщения: 8
Зарегистрирован: 14 май 2007, 02:51

Сообщение Ko6a »

Ежели эта тварь угробит любовно собранные 50 гектаров лучшей рок-музыки, остаток жизни посвящу поиску "человека" ее (тварь) породившего. И что-то мне подсказывает, что я его переживу. Лет так на -дцать после встречи.
Жизнь как зебра: белая полоса - черная, белая - черная, белая - черная... *опа.
Аватара пользователя
Ko6a
Сообщения: 8
Зарегистрирован: 14 май 2007, 02:51

Сообщение Ko6a »

Кстати, эта фигня на различные носители цепляться умеет? Ну флэхи и т. д. ?
Жизнь как зебра: белая полоса - черная, белая - черная, белая - черная... *опа.
ВАСЯ
Сообщения: 2
Зарегистрирован: 09 июл 2007, 21:00

Сообщение ВАСЯ »

....мдяяяя, на касперском тему закрыли....мля они там чё о себе возомнили?????
Аватара пользователя
Shurick1
Rank hidden
Сообщения: 1037
Зарегистрирован: 18 янв 2007, 00:54

Сообщение Shurick1 »

Ko6a писал(а):Ежели эта тварь угробит любовно собранные 50 гектаров лучшей рок-музыки, остаток жизни посвящу поиску "человека" ее (тварь) породившего. И что-то мне подсказывает, что я его переживу. Лет так на -дцать после встречи.
лучше посвяти час времени поездке в любой!!!! компьюторный магазин для покупки жетсткого диска. Дома, отключи п.к. от интернет, подключии новый диск, залей на него те самые 50 гектар музыки, ну и там помелчи, мож еще чего, типа какой-нить курсачь там который завтра сдавть, или какие по работе документы (ну мало ли еще что), выключи п.к., отключи от него новый диск, убери диск куда-нибудь в безопасное место (как вариант можно оставить в п.к. но отключив от диска митание), после этого подключи обратно интернет и включи п.к. ... а в именно любой магазин (да хоть в поларис) по тому что при современной стоимости дисков, когда стоимость практически такова, что новый диск сзходить купить все-одно как за пивом сходить, переплата при покупке такого девайса как жесткий диск, даже такая большая как, например, в поларисе, практически не ощутима будет ...


ту олл

А меня вот что беспокоит немного, вот например лох, вот например он торрентом какой то филм скачал и сидирует, т.е. с него этот же фильм скачивают другие пользователи, вот этот лох словил этат вирус, и вместо фильма у него пустое место, не получиться ли так что кто с него в этот момент качал какой то болк этого фильма, скачает блок битым и весь файл фильма тоже будет в итоге битым ?, или все таки торрент клеент этого лоха как то среагирует на то, что файл стал не тот и просто не будет отдавать ? а то я тут как раз пару фильмов качаю, будет обидно если изза какого-нить такого лоха, весь фильм перезакачивать придется ...
Изображение
Изображение
Изображение
Аватара пользователя
VPoluektov
Сообщения: 3436
Зарегистрирован: 06 окт 2006, 19:14

Сообщение VPoluektov »

Shurick1 писал(а): не получиться ли так что кто с него в этот момент качал какой то болк этого фильма, скачает блок битым и весь файл фильма тоже будет в итоге битым ?,
Торрент проверяет чексуммы каждого скачанного блока. Так что блок-то, может, и скачается битым - но сразу после того, как он докачался, он будет выкинут.
Аватара пользователя
Shurick1
Rank hidden
Сообщения: 1037
Зарегистрирован: 18 янв 2007, 00:54

Сообщение Shurick1 »

VPoluektov
это хорошо ...
Изображение
Изображение
Изображение
Аватара пользователя
Chopper daddy
Сообщения: 579
Зарегистрирован: 15 дек 2006, 14:06
Контактная информация:

Сообщение Chopper daddy »

Shurick1 писал(а):по тому что при современной стоимости дисков, когда стоимость практически такова, что новый диск сзходить купить все-одно как за пивом сходить,
Нифига себе пивко!!! О_о
Аватара пользователя
VPoluektov
Сообщения: 3436
Зарегистрирован: 06 окт 2006, 19:14

Сообщение VPoluektov »

А что делать... за хорошим пивом нынче далеко и некомфортно ездить, вот и приходится пить всякую дрянь.
Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Сообщение Al_lexx »

VPoluektov
+1 :)
Изображение
Что то ищете? В GOOGLE!
Ответить