Перейти к содержанию
Денис Лебедев

Опасный троянец распространяется под видом новогодней открыт

Recommended Posts

Денис Лебедев

Рассылка компании Dr.Web. Цитирую текст:

26 декабря 2006 года

Служба вирусного мониторинга компании «Доктор Веб» сообщает о появлении в

Сети и массовом распространении посредством электронной почты вредоносной

программы, получившей наименование по классификации Dr.Web

Trojan.DownLoader.16958. Данная программа разослана с помощью массовой

спам-рассылки под видом поздравления с Новым годом.

Технические подробности:

Тема: postcard

Тело письма:

Hi, you've just received a postcard.

For: <реальный адрес получателя>

From: ---

Text: Happy New Year!

Postcard:

Сlick on attachment to view a postcard

---

Pre-holidays Postcards.

http://postcards.wired2000.net/

Вложение представляет собой ZIP-архив, содержащий файл postcard.exe.

По данным Службы вирусного мониторинга компании «Доктор Веб», присутствие

этой троянской программы обнаружено в примерно 54% зараженного почтового

трафика русскоязычного сектора сети Интернет. Немного позднее было

выпущено ещё два варианта этого троянца, получивших наименования

Trojan.DownLoader.16984 и Trojan.DownLoader.16985. Данные троянцы, будучи

запущенными на исполнение неосторожным пользователем, устанавливают на

компьютер ставший уже печально известным почтовый червь массовой рассылки

Win32.HLLM.Limar. Таким образом, можно констатировать тот факт, что авторы

Win32.HLLM.Limar лишь сменили метод распространения своего «детища», в

очередной раз делая ставку на «человеческий фактор» - интерес к подарку,

который скрывается в красивой новогодней упаковке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Рассылка компании Dr.Web. Цитирую текст:
26 декабря 2006 года

Служба вирусного мониторинга компании «Доктор Веб» сообщает о появлении в

Сети и массовом распространении посредством электронной почты вредоносной

программы' date=' получившей наименование по классификации Dr.Web

Trojan.DownLoader.16958. [/quote']

Вчера в 5 утра первые экземпляры были блокированы, второй вариант пошел ближе к ночи. Действительно, их было много. (примерно каждое 20-е письмо было с этой открыткой). Только размер файла полтора кило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
"Он не тормоз, он просто медленный газ"

Это к чему вообще? Новость должна выходить синхронно с базами, которые детектят вирус? Или ЛК _всегда_ первая ловит трояны?

Или другая какая цель какая-то у этой фразы?

Только новость от Dr.Web заметили, а ссылку, которую Вы процитировали - нет. Посчитали нужным акцентировать внимание на конкретном вирусе. ЛК не посчитала - молодец, акцентирует внимание на каком-нибудь другом вирусе :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Это к чему вообще?

Рефлексы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Только новость от Dr.Web заметили, а ссылку, которую Вы процитировали - нет. Посчитали нужным акцентировать внимание на конкретном вирусе. ЛК не посчитала - молодец, акцентирует внимание на каком-нибудь другом вирусе :)

http://www.f-secure.com/weblog/archives/ar...6.html#00001059

см. дату, время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
см. дату, время.

Ну и что? Одни опубликовали новость 25-го числа, другие 26-го.

Третьи новость вообще не делали.

Вполне возможно, у Dr.Web была информация и раньше, а решение о публикации было принято позже, когда убедились, что действительно присутствие большое и устойчивое.

Это совсем не повод для того, чтобы бросаться фразами, которыми Вы пользуетесь.

Насколько я помню, ЛК, например, тоже далеко не сразу приняла решение объявить, что Warezov aka Limar принял эпидемические масштабы и сделать об этом объявление на kaspersky.ru.

Так что каждый "медленный газ" по-своему, если уж на то пошло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

(лениво)

Как же вы, господа, друг друга любите. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Кто к нам с чем, тот от того и того :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Если бы.

Да вроде не заметно.

Вы на условную пару иногда напоминаете испорченный патефон.

Больше юмора, коллега.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Мальцев Тимофей

Я уже отвязался в своё время в бытность Гудроном на этом форуме.

Сказали, что так нельзя сотрудникам АВ-компаний.

После этого я "исправился" и пишу тут весьма аккуратно.

Поэтому шучу в других местах. Вот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Это ж разве отвязался? :)

Кроме того, Вы постоянно пытаетесь бить их на их же поле, что чревато - они в том поле живут, в отличие от Вас.

Лучше уж переключитесь на маркетинг. :)

Например.

Цитата с сервера КАВ (вырывание из контекста не портит ее смысла). Она там есть и сейчас, следовательно - актуальна. Мы ж не будем считать, что серьезный вендор не меняет инфу своевременно, правда? :)

"Антивирусные базы — сердце любого антивируса. Без новейших антивирусных баз программа становится набором красивых, но бесполезных окошек."

Потом задаем вопрос.

Означает ли эта фраза то, что все прочие предлагаемые ЛК технологии имеют АБСОЛЮТНО НУЛЕВУЮ ЭФФЕКТИВНОСТЬ с точки зрения маркетологов и специалистов ЛК? Или они таки неправильно на сайте пишут? :)

А теперь уходим пить кофе и пару дней смотрим на реакцию. :)

P.S. Убедительная просьба рассматривать мой пост исключительно как пример и не отвечать на него как на реальный вопрос. Не стоит идти по пятому кругу здесь. Тем паче, что пример во многом омухослонен. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Это ж разве отвязался? Smile

Т.е. пример Гудрона был недостаточно показателен? :)

Что ж, не спорю, я хотел в той роли пробыть несколько дольше, но изжила она себя раньше, чем мне этого хотелось, не скрою :)

Кроме того, Вы постоянно пытаетесь бить их на их же поле, что чревато - они в том поле живут, в отличие от Вас.

Моё поле несколько шире, чем "их", может быть, в этом причина непонимания - не знаю.

В остальном с Вами согласен, Тимофей. Такие "неудобные" вопросы можно выдумать на тему большинства из PR-статей _всех_ антивирусов. Наверное, потому что сотрудники PR-отделов - это самые безумные чуваки, которых только можно встретить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Ну, насчет поля - это Вы поторопились. :)

А так - да, кусать друг друга можно вечно. Вопрос в цели. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×