Пользователь
0,0
рейтинг
4 октября 2012 в 12:03

Администрирование → Новый вирус (распостраняется через скайп)

ey eto vasha novaya kartina profil'? h t t p:// goo.gl/agsIb?img=user_name (пробелы стоят, чтоб ссылка не парсилась, если копировать в скайп и так далее) — именно такое сообщение я получил от бывшего тимлида, с которым давно не общались.

Странное дело, подумал я, но человек заслуживает доверия, и я открыл ссылку. браузер предложил сохранить зип архив, после чего я решил больше не рисковать.

Через минуту такие же сообщения начали приходить от других контактов, и даже нашего HR. Не успел я и оповестить коллег — один уже запустил exe-шник — последствий видимых нет.

Собственно кто сталкивался, что это за зверь?

UPD
Последствия:
Richard_Ferlow сайты многие блокируются, у некоторых доп функционал появляется — т.е. заходишь куда-нибудь хоть на хабр, а там окошко в углу светится — вы выиграли 50 бесплатных смс.

xevbor Блочит доступ к: webroot., fortinet., virusbuster.nprotect., gdatasoftware., virus.,precisesecurity., lavasoft., heck.tc, emsisoft., onlinemalwarescanner., onecare.live., f-secure., bullguard., clamav., pandasecurity., sophos., malwarebytes., sunbeltsoftware., norton.,norman., mcafee., symantec, comodo., avast.,avira., avg., bitdefender., eset.,kaspersky., trendmicro., iseclab., virscan., garyshood., viruschief., jotti., threatexpert., novirusthanks., virustotal.
Павел Кручина @vaevictus
карма
–1,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Администрирование

Комментарии (48)

  • 0
    тоже коснулось одного человека, бегло не смог вычленить полностью, сайты многие блокируются, у некоторых доп функционал появляется — т.е. заходишь куда-нибудь хоть на хабр, а там окошко в углу светится — вы выиграли 50 бесплатных смс.
    • 0
      Тоже пришло от одного контакта. Экзешник в зипе.
      • 0
        Мне пришли ссылки от нескольких человек; все на тот момент были «Не в сети»
  • +1
    уже третий день с ним воюю.
    удаленным пользователям советую сделать проверку тулзой от drweb (на сайте у них есть спец лечилка).
    проблема в том что лечилка находит тело трояна, удаляет его и все окей до тех пор пока кто нибудь из твоего контакт листа не пришлет тебе это сообщение, автоматически (по словам юзеров) начинается новая рассылка от тебя.
    под рукой только 1 зараженная станция, планировал после обеда поковыряться там.
  • 0
    VirusTotal подскажет что там находится.
    • 0
      А еще в нем странный html-код с кучей ссылок на i.s-microsoft.com
  • 0
    Блочит доступ к:
    webroot., fortinet., virusbuster.nprotect., gdatasoftware., virus.,precisesecurity., lavasoft., heck.tc, emsisoft., onlinemalwarescanner., onecare.live., f-secure., bullguard., clamav., pandasecurity., sophos., malwarebytes., sunbeltsoftware., norton.,norman., mcafee., symantec, comodo., avast.,avira., avg., bitdefender., eset.,kaspersky., trendmicro., iseclab., virscan., garyshood., viruschief., jotti., threatexpert., novirusthanks., virustotal.

    Касперский сам файл пока вирусом не считает…
    На virustotal пока только 2/41
  • +1
  • +3
    Король аськи, прямо.
    Да подобное происходит много лет — в скайпе, Icq, мессенджере, вконтакте, в любом сервисе, позволяющем обмениваться сообщениями. Что вас испугало? если у вашего коллеги нет антивируса — стоит об этом на хабре писать?
    • +2
      антивирусы его не считают за вирус
      • +3
        Вы сами-то проверяли?

        В общем, скачал я файл (не надо говорить, что это глупо). Касперский ругнулся сразу, как распаковал — сразу начал чистку. Так что панику вы тут зря подняли.
        И да:
        — более 10000 пользователей использовали эту программу в сети KSN. файл известен более года

        Так что, эта дрянь давно появилась.
        • –1
          сам не проверял.
          установленные на ПК юзеров антивирусы: аваст, авира, касперский и езет никак не среагировали на скачивание этого файла и на последующую активацию (само сабой антивирусы с последними обновками, лицензированные).
          • +1
            Я ТОЛЬКО ЧТО проверил на своем касперском. Он сам стер файл, даже запустить не дал. Более того, по данным KSN этот файл касперскому очень давно известен.
            • 0
              у моих пользователей нет прав отключать антивирус. факт есть факт — антивирусы не среагировали.
              может версия не та, может файл был другой (в моей версии фраза была ey eto vasha novaya kartina profil'? goo.gl/SAOmJ?img=kpcp85).
            • 0
              У меня знакомая притащила на нетбуке его. Проверил КуреИт с базами от 100 дней назад — ничего не нашел, скачал новый — сразу нашел и вычистил.
            • 0
              Значит модификация, которую каспер не распознаёт.
              Сам проверял.
        • 0
          в офисе у всех нод, никак не отреагировал на файл, при сканировании зараженной машины ничего не находит
          • 0
            Отослал файл в ESET, но ответа пока не прислали. Зато в Virustotal появилась инфа, что ESET признал в нем «a variant of Win32/Injector.XIC»
        • 0
          Но начал распространяться активно на данный момент, потому что в последние два дня я от разных людей начал получать такое «добро».
    • 0
      Вещь действительно довльно обыденная, но на мой взгляд необычен уровень заражения. Как это — моё дело предупредить, а кто и так в курсе, у того прошу проощение за отнятое время
  • +1
    кто-то декомпильнул его?
    подскажите чем?
  • +10
    А мне никто ссылку не прислал, обидно :(
    • +1
      Пиши в ЛС, мне половина списка контактов прислало эту хрень)
      • 0
        Написал, а ссылки нет. Я лузер.
  • 0
    Эх, люблю я вирусы, которые надо самостоятельно скомпилировать, дать права на выполнение и запустить :) Неужели так сложно спросить в том же скайпе у коллеги/родственника/знакомого, что он вам только что отправил и отправил ли?
  • –4
    Я скачал файл.
    Он оказался zip.
    Я распаковал и он оказался exe, но запустить я его не смог так как я лох педальный на маке :(
    Расскажите, что он делает? Надо друзей предупредить.
    • 0
      А ты Wine поставь!
      • 0
        Зачем?
        Хотел бы Wine, сидел бы на винде :)
        • +1
          На винде же нет Wine!!!
          • +1
            Ну это как сказать :)
            Виртуала -> linux -> Wine -> Skype -> Вирус :)
          • +1
            Под Виндой есть Wine.
  • 0
    Мне кажется, или вирусная сцена действительно выродилась? Раньше вирусы писали энтузиасты ради интереса и проверки новых идей, так что Aidstest копировали с дискеты на дискету в основном ради того, чтобы viruslist почитать (он читался как сборник анекдотов и оригинальных кодерских идей).
    Сейчас же вирусы пишут ради зашибания бабла, причём такое ощущение, что их авторы сами ничего не придумывали, а наскребли отовсюду уже готовых библиотек и фрагментов кода, кое-как сляпав всё это в кучу.
    • +5
      Это не только вирусы — такова ситуация со всем ПО
    • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Вот набросал инструкцию по удалению пока сканировалась одна из зараженных машин. Есть только на английском — столько времени потратил на лечение, теперь некогда переводить.

    1. Open your C:\users\%username%\AppData\Roaming directory or for WinXP C:\Documents and Settings\%username%\Application Data\
    2. Find there any suspicious *.exe files
    3. Run task manager and try to kill their processes, their names will be the same as in the directory
    4. Run msconfig.exe from Run menu and look through Autorun tab, there you should find a program running from the directory located above. In my case it was C:\Documents and Settings\%username%\Application Data\sawkwc.exe (the name could be different in your case). This file won't be visible in explorer even if you see other hidden files. Write down it's exact name somewhere for future use.
    5. Now we will need Malwarebytes Free software, but the virus won't let us visit most of antivirus sites. So I googled for Malwarebytes Free and downloaded it from CNET site. You can do it from any trustable software distribution sites.
    6. Install Malwarebytes, there may be some errors during installation, that's fine, just skip it by clicking OK.
    7. Run Malwarebytes and find tab with Others functions, run FileASSASIN from there and delete all *.exe files form the root of directory above. Now we have one final step to delete that single superhidden file. Open FileASSASIN once again and go to the directory there may be no files shown, but you just type its name in and it will be found and vanished by the software.
    8. Reboot. Download Everything software from Voidtools website. Search for the virus file by typing it's name in searchbox. If all was ok it won't show any files with this name.
    9. Go to www.eset.com/home/products/online-scanner/ from IE and run online scan. If eset.com can not be open you threat is still there preventing you from opening antivirus sites. Try to find some other ways.
    10. Remember to change all your passwords including Skype password.
  • 0
    В силу того, что каждая новая волна вируса перекачивается заново, автор очевидно периодически обновляет код:
    goo.gl/7nD0l — файл skype_02102012_image.zip, удален, лежал на holsterhausen53.de
    goo.gl/IJCnv — файл skype_02102012_image.zip, удален, лежал на ultio.urnaweb.cz
    goo.gl/SAOmJ — файл skype_03102012_image.zip удален, лежал на hotfile.com
    goo.gl/frbXD — файл skype_04102012_image.zip удален, лежал на hotfile.com
    goo.gl/agsIb — файл skype_04102012_image.zip жив, лежит на hotfile.com

    Также автор очевидно учитывает язык скайпа или операционки, поскольку из разных стран приходят относительно локализированные сообщения, которые мутируют от версии к версии.
  • 0
    каспер (KES 8.1.0.831 (а)) с последними обновлениями ничего не находит. причём он же на Virustotal его определил. очень разочарован…
  • 0
    Мдааа. Меня к нему на работе заставили писать удалялку. Если кому надо его вылечить — банально удалите Rktutl.exe из Application Data в безопасном режиме.
    • 0
      как сделаете удалялку — буду признателен если выложите. удаленным юзерам объяснять как зайти в безопасный режим не всегда возможно.
      • 0
        Удалялка сама в безопасном режиме его вычищает, ибо вирусина себя скрывает на уровне перехвата API. Пришлось сопровождать инструкцией (можно найти в интернете), как перейти в этот самый режим. Наиболее увлекательным был сам процесс исследования зловреда, когда по нему в интернете ещё не было вообще никакой информации.
    • 0
      У меня на работе у пациента название файла было другое, но лежит в той же папке. Плюс ко всему он сделал у пациента на флешке все папки скрытыми и на каждую папку lnk файл, содержащий зараженный код. И еще из Run после перезапуска системы желательно удалить.
  • +1
    Ух, как в асечке прям. Аж волна ностальгии нахлынула.
  • –4
    Блин! А я не смог на Mac открыть. Думал что за фигня этот Mac если я даже не могу на нем файлики открывать :)
  • 0
    ey eto vasha novaya kartina profil'? goo.gl/SEP1I

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.