Постійний збір на дрони FPV для ЗСУ
Закидуй дві гривні!
FPV-дрони змінюють хід війни
Змінюй хід війни!
  • Чорна п'ятниця! Скидка на рекламу 100 гривень! Промокод: faraday2024

TheBestMarch.zip - лучшее видео марта :(

🔴 21:38 Повітряна тривога в Харків.обл.
Статус: Offline
Реєстрація: 29.10.2003
Повідом.: 5179
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #1
TheBestMarch.zip - лучшее видео марта :(

ВАРНИНГ! Ниже содержится ссылка на вирус (т.е. пинч), который ворует ваши пароли! НЕ скачивайте ничего по той ссылке! Только если есть желание потягаться с вирусом, то пожалуйста, но делайте это на свой страх и риск!

Пришла такая ссылка от знакомого по ICQ:

Привет, смотри!!! :)
Посилання видалено
( Посилання видалено )
Классная вещь! :-)

Я зашел по ссылке (тот чел часто мне ссылки с прикольными видео присылает, Я и не думал что там вирус может быть) - там сайт типа фишки.нет. Скачал зип-архив, там два файла - txt и scr. Запускал scr - ничего не работало. Никакой реакции. Потом посмотрел в интернете по поиску, нашел что это оказывается тако пинч, который пароли ворует. И теперь не знаю че делать - заражен ли этот компьютер? (хотя антивирус какой-то галимый Microsoft Forefront Client Security установлен, и ничего не заметил) И что надо предпринимать в таких случаях?

Попробовал изменить пароль Аськи, вроде изменил, перезагружаюсь с новым паролем - не работает, говорит номар/пароль не правильный. Но с помощью сайта icq по е-майлу таки восстановил пароль к Аське, и теперь не понятно что еще может пойти не так.

Кто-нибудь получал по Аське такие пинчи, и как с ними боролся?
 
Останнє редагування:
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #2
Ты это, больше так не делай. SCR это исполняемый файл винды, для скринсейверов. Ставь антивирь нормальный и лечись. Пока не вылечишься в инет не выходи, хотя все пароли уже давно ушли куда-то...
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #3
Красава :).
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #4
Ты это, больше так не делай.
Та понятно. Я и так не открываю ссылки по ICQ от незнакомых людей, а тут вроде мой знакомый из IPU прислал... Он всегда че-то присылал, и Я уже привык что ему доверять можно.
Теперь Я все ссылки что приходят по ICQ даже от знакомых только под Linux проверять буду :-) (Еще раз убедился, что Windows Must Die, Linux Rulezz :-) )
Ставь антивирь нормальный и лечись. Пока не вылечишься в инет не выходи, хотя все пароли уже давно ушли куда-то...
Антивирус нормальный поставить не могу - это рабочий компьютер и тут своя политика - во всей фирме единый антивирус, обновляемый по сети.
Вот Я думаю, какие пароли могли уйти? На Аську, почту и прочее - Я уже поменял пароли из дома, но вот на форумы думаю не стоит. Нафиг им мой пароль на форум, И могли ли они вообще его украсть? По идее крадут какие-нибудь кэшированные пароли типа где ставил галочку "Запомнить пароль" в IE.

В общем кто еще что-то слышал про такой вид пинча? Чем он может быть опасен, и мог ли остаться в системе? (З.Ы. Проверял антивирусом и программой PREVXCSIFREE.EXE - ничего не нашло)
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #5
Если ушли пароли от фирмы...
Начальство по голове не погладит.
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #6
Я тоже на этот прикол попался только я его запускал при отключенном инете
Этот вирус видит только каспер с последними обновлениями аваст даже обновленный вообще не видет нод 32 тоже нехрена не заметил но у него базы недельной давности
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #7
Если ушли пароли от фирмы...
Начальство по голове не погладит.
Та никаких особых паролей и не было. Да и вообще, мне не понятно что за пароли могли быть украдены? Которые IE запомнил? Или только Аськи?
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #8
**********, кстати, его не видит:

Файл TheBestMarch.zip получен 2008.04.08 16:41:50 (CET)
Текущий статус: закончено
Результат: 7/32 (21.88%)
Форматированные
Печать результатов Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.8.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 TR/Crypt.CFI.Gen
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 -
AVG 7.5.0.516 2008.04.08 PSW.Ldpinch.11.BM
BitDefender 7.2 2008.04.08 -
CAT-QuickHeal 9.50 2008.04.05 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.08 -
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 suspicious Trojan/Worm
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.08 -
F-Prot 4.4.2.54 2008.04.08 -
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.08 -
Ikarus T3.1.1.26 2008.04.08 -
********* 7.0.0.125 2008.04.08 -
McAfee 5268 2008.04.07 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3010 2008.04.08 -
Norman 5.80.02 2008.04.08 -
Panda 9.0.0.4 2008.04.07 -
Prevx1 V2 2008.04.08 Heuristic: Suspicious Self Modifying File
Rising 20.39.12.00 2008.04.08 -
Sophos 4.28.0 2008.04.08 Mal/Basine-C
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 -
TheHacker 6.2.92.267 2008.04.07 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 Trojan.Crypt.CFI.Gen
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #9
Дай тому челу по кумполу. Будет знать что рассылать. И не запускай всякую дрянь.
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #10
Дай тому челу по кумполу. Будет знать что рассылать. И не запускай всякую дрянь.
Та Я думаю он и сам не знал что рассылает. Этот вирус скорее всего украл его аську и от его номера рассылает ссылки.

**********, кстати, его не видит
Он видит, но с новыми базами, и они периодически обновляют файл, так что он то видит, то не видит:
Посилання видалено
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #11
НОД32, со свежайшими базами (за минуту до инцедента обновленными), слава богам галактики, перехватил эту дрянь.
А ссылки, не зависимо от людей, с чьих адресов они приходят, прут сами ко всем пользователям листа контактов.
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #12
Пиздетс
ЕП ну аликс ну и алекс
тыб в теме сначало написалбы ВНИМАНИЕ возможно ВИРУС
а тов конце темы написал типа "та оно все пароли ворует"
яж вроде как доверяю репутационым сидерам форума.
а мой НОД никуя не сообщил мне
ФАК ФАК ФАК

ТАк Кто что знает об этом вирусе?
что именно он Спиздив?
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #13
Может комуто поможет Это

Trojan-PSW.Win32.LdPinch.sf стал знаменит из-за его массовой рассылки по ICQ и шума, который был поднят в различных
Интернет-источниках о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе.
Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками антивируса VBA, возможно, есть другие похожие вариации). Запуск висура достигается средствами социальной инженерии, обычно в виде предложения "посмотреть прикольный flash ролик".
Файл имеет признаки защиты от сигнатурного поиска - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского.
Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок:
a=**адрес получателя**&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= .....
на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование.
Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys


За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно.

Лечение
Лечение придполагает удаление данной троянской программы, и обязательную замену всех паролей, причем чем быстрее произойдет их замена, тем лучше.

Удаление предполагает следующие шаги:
1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам
2. Удалить файл system32\drivers\SYSpnch.sys
3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #14
Пиздетс
ЕП ну аликс ну и алекс
тыб в теме сначало написалбы ВНИМАНИЕ возможно ВИРУС
а тов конце темы написал типа "та оно все пароли ворует"
яж вроде как доверяю репутационым сидерам форума.
а мой НОД никуя не сообщил мне
ФАК ФАК ФАК

Смотри куда идешь...
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #15
не иду а падаю в низ

Теперьперь целый рабочий день пропал
теперь в поисках истины

Мало того что вирус дето рядом
так самоё фишко то что он уже наверно отослал pass.тхт
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #16
Все, песдетс. Три дня поноса и смерть ;)
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #17
Блин Это канец
ладно он там стащил мои FTP и pass на кридитки
так этаж зараза наверно стырила мой логин с пассом на STALKERA
и самоё мерзкое то что он теперь знает мой пасс на винду.

шас наверно зарегюсь дето с
логином- "ты сцука чмо"
пасс- "Верни пароли или удали"
и опять запушу тот троянчик
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #18
Че то мне кажется, шо его запускать повторно не надо будед ;)
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #19
и самоё мерзкое то что он теперь знает мой пасс на винду.
И что с того? Думаешь прийдут к тебе логиниться? А пасс на винду поменять не проблема.
 
  • 🔴 21:38 Повітряна тривога в Харків.обл.
  • #20
Че то мне кажется, шо его запускать повторно не надо будед
Чего? Думаешь он остался в системе? Про него-же пишут, что он самоуничтожается после того, как отправил пароли. Даже того файла SYSpnch.sys у меня нет.
 
Назад
Зверху Знизу