Лидеры форума

Сегодня снова сходил туда, куда ходить не рекомендуется. И "случайно" экзешник запустил. На этот раз на машине стояли ХР и последний Касперский со всеми обновлениями. Через несколько минут комп сам перезапустился и при повторной загрузке ХР запуститься не смог. (сразу вспомнил мою дискуссию с Гостевым) При сборе урожая в руки попал один русток, пять экзешников и куча dll'ok. Результат проверки файлов на Вирустотале оказался несколько неожиданным: (комментировать не буду) ––––––––––––––––––––– c1ac86b8.sys – 2008.11.16 19:37:59 (CET) / 2/36 (5.56%) AntiVir 7.9.0.31 2008.11.16 - DrWeb 4.44.0.09170 2008.11.16 - Kaspersky 7.0.0.125 2008.11.16 - McAfee 5435 2008.11.15 - Microsoft 1.4104 2008.11.16 Backdoor:WinNT/Rustock.E NOD32 3615 2008.11.15 - Symantec 10 2008.11.16 - TrendMicro 8.700.0.1004 2008.11.14 - VBA32 3.12.8.9 2008.11.15 suspected of Malware-Cryptor.Win32.General.3 http://www.virustotal.com/de/analisis/20f9...8e643e9d8fdb40d ––––––––––––––––––––– ooxyprri.exe – 2008.11.16 21:09:50 (CET) / 9/36 (25%) AntiVir 7.9.0.31 2008.11.16 HEUR/Crypted DrWeb 4.44.0.09170 2008.11.16 - Kaspersky 7.0.0.125 2008.11.16 - McAfee 5435 2008.11.15 - Microsoft 1.4104 2008.11.16 TrojanDropper:Win32/Cutwail.AR NOD32 3615 2008.11.15 probably a variant of Win32/Kryptik.BJ Symantec 10 2008.11.16 - TrendMicro 8.700.0.1004 2008.11.14 - VBA32 3.12.8.9 2008.11.15 - http://www.virustotal.com/de/analisis/2e6c...b414808bb14e70c ––––––––––––––––––––––– nriljal.exe – 2008.11.16 21:04:37 (CET) / 4/36 (11.12%) AntiVir 7.9.0.31 2008.11.16 - DrWeb 4.44.0.09170 2008.11.16 - Kaspersky 7.0.0.125 2008.11.16 - McAfee 5435 2008.11.15 - Microsoft 1.4104 2008.11.16 - NOD32 3615 2008.11.15 - Symantec 10 2008.11.16 - TrendMicro 8.700.0.1004 2008.11.14 - VBA32 3.12.8.9 2008.11.15 - http://www.virustotal.com/de/analisis/1a3f...6c8873ff145b96e –––––––––––––––––––– cvqkuk.exe – 2008.11.16 21:02:40 (CET) / 9/36 (25%) AntiVir 7.9.0.31 2008.11.16 - DrWeb 4.44.0.09170 2008.11.16 - Kaspersky 7.0.0.125 2008.11.16 - McAfee 5435 2008.11.15 - Microsoft 1.4104 2008.11.16 VirTool:Win32/Obfuscator.DK NOD32 3615 2008.11.15 - Symantec 10 2008.11.16 Backdoor.Tidserv TrendMicro 8.700.0.1004 2008.11.14 - VBA32 3.12.8.9 2008.11.15 - http://www.virustotal.com/de/analisis/d781...8c89937892b3fa2 –––––––––––––––––––––––––––––––– csrssc.exe – 2008.11.16 21:15:23 (CET) / 4/36 (11.12%) AntiVir 7.9.0.31 2008.11.16 - DrWeb 4.44.0.09170 2008.11.16 - Kaspersky 7.0.0.125 2008.11.16 - McAfee 5435 2008.11.15 Generic FakeAlert.d Microsoft 1.4104 2008.11.16 TrojanClicker:Win32/Hatigh.C NOD32 3615 2008.11.15 - Symantec 10 2008.11.16 - TrendMicro 8.700.0.1004 2008.11.14 - VBA32 3.12.8.9 2008.11.15 Trojan-Downloader.Win32.Suurch.fd http://www.virustotal.com/de/analisis/fb59...87e83244be8c525 –––––––––––––––– winlogin.exe – 2008.11.16 21:18:02 (CET) / 20/36 (55.56%) AntiVir 7.9.0.31 2008.11.16 TR/Dldr.JLHB DrWeb 4.44.0.09170 2008.11.16 - Kaspersky 7.0.0.125 2008.11.16 - McAfee 5435 2008.11.15 Generic FakeAlert.d Microsoft 1.4104 2008.11.16 Trojan:Win32/Ertfor.A NOD32 3615 2008.11.15 a variant of Win32/Kryptik.BN Symantec 10 2008.11.16 Downloader TrendMicro 8.700.0.1004 2008.11.14 - VBA32 3.12.8.9 2008.11.15 - http://www.virustotal.com/de/analisis/9bf5...390a588691aad19 ––––––––––––––––––––––––– serial.exe – 2008.11.16 22:27:30 (CET) / 7/36 (19.45%) AntiVir 7.9.0.31 2008.11.16 HEUR/Crypted DrWeb 4.44.0.09170 2008.11.16 - Kaspersky 7.0.0.125 2008.11.16 - McAfee 5435 2008.11.15 - Microsoft 1.4104 2008.11.16 - NOD32 3615 2008.11.15 probably a variant of Win32/Kryptik.BJ Symantec 10 2008.11.16 - TrendMicro 8.700.0.1004 2008.11.14 - VBA32 3.12.8.9 2008.11.15 -

Конечно распакуют, вот Марко Дж. уже обрадовал, что чего-то там распаковали за два часа на коленке, видимо при помощи такого мощного дизассемблера и отладчика как ФАР, которого тем кто ксорит (д)ворды в уме хватает за глаза. История ведь не учит, чтобы кто не доказывал обратное. Довольно сложно признать, что тебя держали в дураках длительное время. Огромная недооценка возможностей противоположной стороны и сопли, слюни и детская истерика везде, где только можно потом... Остается надеяться, что этот этап всеобщей шизофрении все уже прошли. Хотя по детекту Саймантика, описавшего этот вирус как хак тул такого пока не видно, равно как и по победным обещаниям представителей отдельных европейских вендоров удалять инфицированные руткитом файлы (c.f. wilderssecurity). Прощай винда? Похоже, что ребята просто ещё не понимают, с чем они имеют дело и продолжают строить из себя фиг знает что. Большой бизнес, большие деньги, большие эмоции. Только вот обычным пользователям этих продуктов от того, что их держат за идиотов, лучше не становиться. А я вот почему то не сомневаюсь, что такие события и истории ещё будут повторяться и по той же схеме - презрительное фырканье и увлеченное занятие всякой проактивной фигней, а потом вот такие цирковые номера как у некоторых представителей Лаборатории Касперского конкретно здесь. Положительная сторона всего этого в том, что к руткиту приковано должное внимание и его судьба уже не так безоблачна