Поймал winlock

Тема в разделе "Новости информационной безопасности", создана пользователем Phoenix, 8 окт 2014.

  1. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.837
    Случилось страшное :) Поставил новую систему и пошёл качать драйвер на видеокарту. Решил wget скачать и с его помощью загрузить. Не знаю куда я кликнул, что скачал и запустил, но увы винлок.. Хорошо под рукой была флэшка с DrWebLiveDisk
    Снимок.png
    C:\Users\ra..rt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\Y8LND4CM\5[1].exe - Ok
    Это из лога CureIt - То есть в базах трояна нет (это винлокер).
    https://www.virustotal.com/ru/file/...2606310fc05c528154861ee81f860556ec7/analysis/
    PHP:

    Антивирус    Результат    Дата обновления
    ESET-NOD32    a variant of MSIL/Injector.FSC    20141008
    Malwarebytes    Trojan.Sharik    20141008
    McAfee-GW-Edition    BehavesLike.Win32.Backdoor.nh    20141007
    Qihoo-360    Malware.QVM03.Gen    20141008
    PHP:
     Проверка: 5[1].exe
    Версия антивирусного ядра: 7.0.10.8210
    Вирусных записей: 5475986
    Размер файла: 90.00 КБ
    MD5 файла: 3fdc0ccee36319d0a0bb7eb97656df06

    5[1].exe - Ok
    Screenshot - 08.10.2014 - 20:38:19.png
    После лечения CureIt DrWebLiveDisk - перезагрузился и вошёл в windows.
    Кстати, DrWeb из под xUbuntu так же не видит трояна. Выводы делать вам.
     
    Последнее редактирование: 8 окт 2014
    orderman и SNS-amigo нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Phoenix, зато коллекцию пополнил. :Biggrin:
    --- Объединённое сообщение, 8 окт 2014, Дата первоначального сообщения: 8 окт 2014 ---
    Тут эта собака и зарыта.
    Вывод: драйвера на новую систему надо качать загодя и только с оф.сайтов. :Hi:
     
    Phoenix нравится это.
  3. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.837
    Ага, давненько такого не было. Я уж думал винлоки уже и не встретить.. Вот.
    [​IMG]
    Так вроде не первый раз плаваем :( Невнимательность. Я повёлся на wget с GUI o_O
     
    Последнее редактирование: 8 окт 2014
    SNS-amigo нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Я про это и говорил.
    Надо бы ссылку эту проверить.
     
  5. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.837
    http://www.cybershade.us/winwget/download.html - ссылка нормальная и програма.. видать что то ещё качнул. Файл из кеша IE - мог он сам запуститься ?
     
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Ссылки или нерабочие или старые. Как можно пытаться использовать такое старьё.

    А поймал запросто - мышка такая штука, что курсором можно зацепить что угодно, а уж клавиатурой и динозавра.
    --- Объединённое сообщение, 8 окт 2014 ---
    :Biggrin: РусЛаб постарался.
    --- Объединённое сообщение, 8 окт 2014, Дата первоначального сообщения: 8 окт 2014 ---
    Вендорские сайты с драйверами стали глючить один за другим.
    Недавно качал дрова с Asusa - глючило, а уж HP - вечный глюко-тугозавр.
    Размер дров большой, а скачать быстро не дают.
    А сейчас второй час бьюсь с Самсунгом. Размер дров небольшой, но тормоза на скачке. Пробовал с разных ПК с разного инет-доступа, пару скачал - архивы повреждены. Досада.
    тормоза.png тормоза2.png тормоза3.png
    Ну как можно такое качать столько? ДиалАп отдыхает. Видишь, как время увеличивается. :Scratch One S Head:А должно - максимум 5 минут быть.
    Так я и до утра ноут не сделаю.

    Вот так, не достигнув желаемого, народ и начинает искать в Сети места, где эти дрова выложены кем-то не очень добросовестным и жадным до скачек и $-бонусов.
    Так и винлок поймать недолго.
    --- Объединённое сообщение, 8 окт 2014 ---
    Phoenix, а ты для какой в/карты дрова хотел скачать?
     
    Последнее редактирование: 8 окт 2014
    Охотник и Phoenix нравится это.
  7. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.837
    nVidia с офф. сайта. Но по ходу ещё на что то напал - уже и не помню теперь.. Просто надо сразу АВ ставить, а так.. - раз у сестры искал драйвер на ноут для веб камеры - получил подписку 20р. Заодно поотключали ей WAP доступ на модеме мегафона :)
     
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Phoenix, Это еще ладно. Бывает хуже. :D
    Сейчас вспомнил случай, один из работников ЛК рассказывал сам как он, потрошил вирусы, мышкой не пользовался, а вместо антивируса у него был, разумеется, мозг... Ну и в самый ответственный момент вместо одной из операций спец нажал двойной Энтер и запустил файловый вирус (Sality или похожий) на выполнение, который в миг заразил систему и всё, что в ней было. Пришлось срочно лечить. :Wizard:
     
    Охотник нравится это.
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    SNS-amigo, только вы напутали это был разроботчик ComboFix ;).
     
    Dragokas нравится это.
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Phoenix, а в чем заключается специфика специалиста от доктор веба?
     
  11. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Ага, а потом еще и чуть ли не эпидемию устроил для юзеров, которые воспользовались, зараженным им ComboFix :Biggrin:
     
  12. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.837
    В знании продукта :p (А вы на что намекаешь ? :Dirol:)
    Угроза: Trojan.KillProc.32722
    --- Объединённое сообщение, 9 окт 2014, Дата первоначального сообщения: 9 окт 2014 ---
    А кто знает как восстановить историю набранных URL из этих файлов ? Откат в АВЗ ничего не восстановил
    bt.zbk
    TSW.zbk
    http://virusinfo.info/showthread.php?t=168170
     
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Нет, не напутал. Я же его знаю лично. По понятным причинам имя не называю. :Hi:

    А то, что там разработчик КомбоФикса накомбофиксил, я слышал тут на форуме пару лет назад. Его я лично точно не знаю, как и его творениями не пользуюсь.
     
    Последнее редактирование: 9 окт 2014
    Охотник нравится это.

Поделиться этой страницей