TheBestMarch.zip - лучшее видео марта :(

ALEX Stealthon · 08.04.2008

TheBestMarch.zip - лучшее видео марта

ВАРНИНГ! Ниже содержится ссылка на вирус (т.е. пинч), который ворует ваши пароли! НЕ скачивайте ничего по той ссылке! Только если есть желание потягаться с вирусом, то пожалуйста, но делайте это на свой страх и риск!

Пришла такая ссылка от знакомого по ICQ:

Привет, смотри!!!
Посилання видалено
( Посилання видалено )
Классная вещь!

Я зашел по ссылке (тот чел часто мне ссылки с прикольными видео присылает, Я и не думал что там вирус может быть) - там сайт типа фишки.нет. Скачал зип-архив, там два файла - txt и scr. Запускал scr - ничего не работало. Никакой реакции. Потом посмотрел в интернете по поиску, нашел что это оказывается тако пинч, который пароли ворует. И теперь не знаю че делать - заражен ли этот компьютер? (хотя антивирус какой-то галимый Microsoft Forefront Client Security установлен, и ничего не заметил) И что надо предпринимать в таких случаях?

Попробовал изменить пароль Аськи, вроде изменил, перезагружаюсь с новым паролем - не работает, говорит номар/пароль не правильный. Но с помощью сайта icq по е-майлу таки восстановил пароль к Аське, и теперь не понятно что еще может пойти не так.

Кто-нибудь получал по Аське такие пинчи, и как с ними боролся?

sergeime · 08.04.2008

Ты это, больше так не делай. SCR это исполняемый файл винды, для скринсейверов. Ставь антивирь нормальный и лечись. Пока не вылечишься в инет не выходи, хотя все пароли уже давно ушли куда-то...

diesel · 08.04.2008

Красава .

ALEX Stealthon · 09.04.2008

Ты это, больше так не делай.

Та понятно. Я и так не открываю ссылки по ICQ от незнакомых людей, а тут вроде мой знакомый из IPU прислал... Он всегда че-то присылал, и Я уже привык что ему доверять можно.
Теперь Я все ссылки что приходят по ICQ даже от знакомых только под Linux проверять буду (Еще раз убедился, что Windows Must Die, Linux Rulezz )

Ставь антивирь нормальный и лечись. Пока не вылечишься в инет не выходи, хотя все пароли уже давно ушли куда-то...

Антивирус нормальный поставить не могу - это рабочий компьютер и тут своя политика - во всей фирме единый антивирус, обновляемый по сети.
Вот Я думаю, какие пароли могли уйти? На Аську, почту и прочее - Я уже поменял пароли из дома, но вот на форумы думаю не стоит. Нафиг им мой пароль на форум, И могли ли они вообще его украсть? По идее крадут какие-нибудь кэшированные пароли типа где ставил галочку "Запомнить пароль" в IE.

В общем кто еще что-то слышал про такой вид пинча? Чем он может быть опасен, и мог ли остаться в системе? (З.Ы. Проверял антивирусом и программой PREVXCSIFREE.EXE - ничего не нашло)

Grau OL · 09.04.2008

Если ушли пароли от фирмы...
Начальство по голове не погладит.

Avis · 09.04.2008

Я тоже на этот прикол попался только я его запускал при отключенном инете
Этот вирус видит только каспер с последними обновлениями аваст даже обновленный вообще не видет нод 32 тоже нехрена не заметил но у него базы недельной давности

ALEX Stealthon · 09.04.2008

Если ушли пароли от фирмы...
Начальство по голове не погладит.

Та никаких особых паролей и не было. Да и вообще, мне не понятно что за пароли могли быть украдены? Которые IE запомнил? Или только Аськи?

Slash · 09.04.2008

**********, кстати, его не видит:

Файл TheBestMarch.zip получен 2008.04.08 16:41:50 (CET)
Текущий статус: закончено
Результат: 7/32 (21.88%)
Форматированные
Печать результатов Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.8.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 TR/Crypt.CFI.Gen
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 -
AVG 7.5.0.516 2008.04.08 PSW.Ldpinch.11.BM
BitDefender 7.2 2008.04.08 -
CAT-QuickHeal 9.50 2008.04.05 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.08 -
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 suspicious Trojan/Worm
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.08 -
F-Prot 4.4.2.54 2008.04.08 -
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.08 -
Ikarus T3.1.1.26 2008.04.08 -
********* 7.0.0.125 2008.04.08 -
McAfee 5268 2008.04.07 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3010 2008.04.08 -
Norman 5.80.02 2008.04.08 -
Panda 9.0.0.4 2008.04.07 -
Prevx1 V2 2008.04.08 Heuristic: Suspicious Self Modifying File
Rising 20.39.12.00 2008.04.08 -
Sophos 4.28.0 2008.04.08 Mal/Basine-C
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 -
TheHacker 6.2.92.267 2008.04.07 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 Trojan.Crypt.CFI.Gen

0xygen · 09.04.2008

Дай тому челу по кумполу. Будет знать что рассылать. И не запускай всякую дрянь.

ALEX Stealthon · 09.04.2008

Дай тому челу по кумполу. Будет знать что рассылать. И не запускай всякую дрянь.

Та Я думаю он и сам не знал что рассылает. Этот вирус скорее всего украл его аську и от его номера рассылает ссылки.

**********, кстати, его не видит

Он видит, но с новыми базами, и они периодически обновляют файл, так что он то видит, то не видит:
Посилання видалено

Layka · 10.04.2008

НОД32, со свежайшими базами (за минуту до инцедента обновленными), слава богам галактики, перехватил эту дрянь.
А ссылки, не зависимо от людей, с чьих адресов они приходят, прут сами ко всем пользователям листа контактов.

Marshal · 10.04.2008

Пиздетс
ЕП ну аликс ну и алекс
тыб в теме сначало написалбы ВНИМАНИЕ возможно ВИРУС
а тов конце темы написал типа "та оно все пароли ворует"
яж вроде как доверяю репутационым сидерам форума.
а мой НОД никуя не сообщил мне
ФАК ФАК ФАК

ТАк Кто что знает об этом вирусе?
что именно он Спиздив?

Marshal · 10.04.2008

Может комуто поможет Это

Trojan-PSW.Win32.LdPinch.sf стал знаменит из-за его массовой рассылки по ICQ и шума, который был поднят в различных
Интернет-источниках о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе.
Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками антивируса VBA, возможно, есть другие похожие вариации). Запуск висура достигается средствами социальной инженерии, обычно в виде предложения "посмотреть прикольный flash ролик".
Файл имеет признаки защиты от сигнатурного поиска - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского.
Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок:
a=**адрес получателя**&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= .....
на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование.
Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys

За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно.

Лечение
Лечение придполагает удаление данной троянской программы, и обязательную замену всех паролей, причем чем быстрее произойдет их замена, тем лучше.

Удаление предполагает следующие шаги:
1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам
2. Удалить файл system32\drivers\SYSpnch.sys
3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения

0xygen · 10.04.2008

Marshal сказав(ла):
Пиздетс
ЕП ну аликс ну и алекс
тыб в теме сначало написалбы ВНИМАНИЕ возможно ВИРУС
а тов конце темы написал типа "та оно все пароли ворует"
яж вроде как доверяю репутационым сидерам форума.
а мой НОД никуя не сообщил мне
ФАК ФАК ФАК

Смотри куда идешь...

Marshal · 10.04.2008

не иду а падаю в низ

Теперьперь целый рабочий день пропал
теперь в поисках истины

Мало того что вирус дето рядом
так самоё фишко то что он уже наверно отослал pass.тхт

0xygen · 10.04.2008

Все, песдетс. Три дня поноса и смерть

Marshal · 10.04.2008

Блин Это канец
ладно он там стащил мои FTP и pass на кридитки
так этаж зараза наверно стырила мой логин с пассом на STALKERA
и самоё мерзкое то что он теперь знает мой пасс на винду.

шас наверно зарегюсь дето с
логином- "ты сцука чмо"
пасс- "Верни пароли или удали"
и опять запушу тот троянчик

0xygen · 10.04.2008

Че то мне кажется, шо его запускать повторно не надо будед

ALEX Stealthon · 10.04.2008

и самоё мерзкое то что он теперь знает мой пасс на винду.

И что с того? Думаешь прийдут к тебе логиниться? А пасс на винду поменять не проблема.

ALEX Stealthon · 10.04.2008

Че то мне кажется, шо его запускать повторно не надо будед

Чего? Думаешь он остался в системе? Про него-же пишут, что он самоуничтожается после того, как отправил пароли. Даже того файла SYSpnch.sys у меня нет.