Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса - Страница 3 - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
radioelectron

Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса

Recommended Posts

Иван
Жаль, что исходников a и b-модификаций ни они, ни мы не получили.

звиняйте дядьку, но сампл .b это и есть чистый AntiDurov у Доктор Веб - .a и .с берутся ориджином. доктора его получили очень оперативно

а чего Агнитуму помешало этот сампл найти?

прекольно, vkontakte оценили масштабы катастрофы

В пятницу 16 мая посредством системы личных сообщений ВКонтакте была разослана ссылка на вирус. Около 30 тысяч пользователей, несмотря на предупреждения Контакта, перешли по этой ссылке. Еще 70 тысяч получили подобную ссылку. В течение суток (в субботу 17 мая) рассылка сообщений с ссылкой на червь была полностью нами остановлена.

интересно а сколько из 30 000 запустили потом файл?

какие будут предположения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Кстати очень странно, что информация о DrWeb c контакта постепенно исчезла....не находите? Ведь сначала там абсолютно точно писали, что "Вы можете воспользоваться продуктами DrWeb, для лечения..." и т.д., неужто оставить и ту и ту информацию стало проблематично и Дуров мужественным решением оставил инфу только про ЛК ...вобщем тем кто наблюдает за происходящим с 16 числа картина ясно вырисовывается

фигня какая-то, а где она там была?

я окромя заявления Дурова и инструкции лечения от Гальченко озвученной Кузнецовым 19 мая не видел ничего у них

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Сампл .а да, самп .b нет.

Виталий, Вы о чем? Причем тут пиар отдел? CureIT давно созданная докторовская утилита, использующая их стандартные базы - зачем нужен пиар отдел в Москве, чтобы ее выпускать? Утилита давно была, был добавлен детект и лечение в базы. Нормальная работа вирлаба.

Пардон, про CureIT! совсем из головы вылетело со вчерашним якобы "выбросом на ЛАЭС", тут и .b с .c спутать легко было :(

Информационный повод в Москве подхватили тем не менее в удачный момент. Замена линка на warning командой соцсети была предпринята уже по следам публикаций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Слушайте, поднадоело уже.

Ладно.

больше не буду. :)

интересно а сколько из 30 000 запустили потом файл?

какие будут предположения?

дык процентов 80, не меньше.

10 процентов не запустили, потому что поняли, что это, и еще 10 просто не нашли, что запустить. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zyx
Слушайте, поднадоело уже. Не было на сайте вконтакте информации про лечение Доктором вообще, никогда. По крайней мере я не видел.
фигня какая-то, а где она там была?

я окромя заявления Дурова и инструкции лечения от Гальченко озвученной Кузнецовым 19 мая не видел ничего у них

А вот это вы зря. Информация была, а то что вы ее не видели...."это ваши проблемы".

На сколько мне известно, это именно служба мониторинга "Доктор Веб" сообщила Дурову об эпидемии и эпидемия была сразу же локализована, и по ссылке на вирус выдавалось предупреждение о вирусе и надпись о том что Доктор уже лечит этот вирус и советует воспользоваться лечилкой....

А потом эти новости пропали "при странных обстоятельствах" и теперь в новостях не буквы о докторе, зато про ЛК много написано ;)

Я никого ни в чем не обвиняю, я просто трактую ситуацию как человек который наблюдает за происходящим с самого начала, вот и все.

А для себя пусть каждый решает сам. ;) - ИМХО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин
Я никого ни в чем не обвиняю, я просто трактую ситуацию как человек который наблюдает за происходящим с самого начала, вот и все.

А для себя пусть каждый решает сам. ;) - ИМХО

Новости в контакте по теме всего 2. Первая выпущена 17 мая, вторая от 22 мая с инвормацие про нашу утилиту.

Как изначально выглядела новость от 17 мая и претерпела ли она изменения легко понять погуглив и найдя ее исходный вариант в форумах и блогах. Дальше каждый действительно все выводы делает сам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Компания "Доктор Веб" предупреждает: 25 мая в 10 часов утра начнется уничтожение всех данных http://info.drweb.com/show/3365/ru :rolleyes:

неужели прямо всех и данные о моих штрафах в ГАИ тоже того!? Ура!!!!!!!!!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Компания "Доктор Веб" предупреждает: 25 мая в 10 часов утра начнется уничтожение всех данных http://info.drweb.com/show/3365/ru

неужели прямо всех и данные о моих штрафах в ГАИ тоже того!? Ура!!!!!!!!!!!

Мне эти фразы из пресс-релиза очень понравились :) :

"Компания "Доктор Веб" предупреждает: 25 мая в 10 часов утра начнется уничтожение всех данных."

"Это поможет не только избавиться от указанного вируса, но и очистить систему от вредоносных объектов, не замеченных другим антивирусом."

"Для тех, кто не успеет до 25 мая воспользоваться Dr.Web CureIt! и вылечить от этого червя компьютер, самое лучшее действие - немедленное выключение питания компьютера, что позволит сохранить если не все данные, то хотя бы их часть. "

Новый пиарщик у "Веба"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
"Для тех, кто не успеет до 25 мая воспользоваться Dr.Web CureIt! и вылечить от этого червя компьютер, самое лучшее действие - немедленное выключение питания компьютера, что позволит сохранить если не все данные, то хотя бы их часть. "

А дату перевести вперед - не, низя ?

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Новый пиарщик у "Веба"?

агентство

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

забавное:

если пойти по ссылке, сохранить себе на машину картинку из новости и открыть ее в любом hex-вьюере (да даже в фаре :), то в самом низу будут видны ошметки дельфийского кода.

в оригинальной картинке, которую дропает червь - конечно же этого нет. она просто меньше.

ребята из дрвеб просто взяли и вырезали jpg из тела червя (тестовых машин нет ? :)) . криво вырезали, да так в публикацию и отдали. ну хорошо хоть картинка в секции ресурсов была, а то глядишь - еще бы здоровенный кусок тела вируса "опубликовали" (а потом бы на него антивирусы ругались).

главное - следующий раз не выложите какую-нить картинку прямо с эксплоитом ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
ну хорошо хоть картинка в секции ресурсов была, а то глядишь - еще бы здоровенный кусок тела вируса "опубликовали" (а потом бы на него антивирусы ругались).

Бугага....

я накаркал таки...

25420467_1211311910_blogbaster.jpg

post-413-1211558206_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Топик очищен от флейма и оффтопика. Прошу возвратиться к обсуждению темы без личных оскорблений, унижения оппонентов, деструктивной полемики. Большая просьба соблюдать правила грамматики и правописания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
А вот это вы зря. Информация была, а то что вы ее не видели...."это ваши проблемы".

На сколько мне известно, это именно служба мониторинга "Доктор Веб" сообщила Дурову об эпидемии и эпидемия была сразу же локализована, и по ссылке на вирус выдавалось предупреждение о вирусе и надпись о том что Доктор уже лечит этот вирус и советует воспользоваться лечилкой....

немного не так

по информации от доктора, которой у меня нет оснований не доверять, они действительно сообщили дурову.

ссобщили они дурову о ссылке http://Roland.misecure.com/deti.jpg, которая внешняя и по которой дуров не мог ну никак разместить какую либо информацию , что о лечилке, что о чем другом.

они просто запретили переходы по ссылке содержащей deti.jpg и все. эпидемия пошла на убыль

но вот наступила суббота и товарищи организующие атаку ссылочку изменили на вот эту http://vkontakte.ru/away.php?to=%68%74%74%...%69%2e%6a%70%67, которая вела на тот же deti.jpg и тут уже доблестные дуровцы прибивая эту ссылку смогли разместить текст предупреждения. и насколько мне известно про эту новую волну никто дурова не предупреждал из ав компаний

ВКонтакте | Ссылка на сайт с вредоносной программой (вирусом)

Ссылка, по которой вы попытались перейти, содержит вирус. Скорее всего, Вы получили ее личным сообщением от друга, перешедшего ранее по подобной ссылке, невзирая на все наши предупреждения и предупреждения своего браузера.

Пожалуйста, сообщите об этом тому, кто прислал Вам это сообщение, и посоветуйте обновить антивирус.

ВКонтакте всегда следит за Вашей безопасностью!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BeAsT
немного не так

по информации от доктора, которой у меня нет оснований не доверять, они действительно сообщили дурову.

ссобщили они дурову о ссылке http://Roland.misecure.com/deti.jpg, которая внешняя и по которой дуров не мог ну никак разместить какую либо информацию , что о лечилке, что о чем другом.

они просто запретили переходы по ссылке содержащей deti.jpg и все. эпидемия пошла на убыль

но вот наступила суббота и товарищи организующие атаку ссылочку изменили на вот эту http://vkontakte.ru/away.php?to=%68%74%74%...%69%2e%6a%70%67, которая вела на тот же deti.jpg и тут уже доблестные дуровцы прибивая эту ссылку смогли разместить текст предупреждения. и насколько мне известно про эту новую волну никто дурова не предупреждал из ав компаний

Иван поделитесь пожалуйста информацией о первой ссылке(имеется ввиду семпл а)... если у вас есть... и о том когда Дуров её заблокировал? мне бы быо оч интересно.

Топик очищен от флейма и оффтопика. Прошу возвратиться к обсуждению темы без личных оскорблений, унижения оппонентов, деструктивной полемики. Большая просьба соблюдать правила грамматики и правописания.

Спасибо, что удалили сообщения! Ироническая и хамская форма этих сообщений была нужна, что бы показать на сколько жалостны поступки некоторых людей(или не отдельных людей).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Иван поделитесь пожалуйста информацией о первой ссылке(имеется ввиду семпл а)... если у вас есть... и о том когда Дуров её заблокировал? мне бы быо оч интересно.

не очень понимаю о чем вы, первая ссылка (http://******.misecure.com/deti.jpg). Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым червем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ну вот и наступило 25е число, когда "25 мая в 10 часов утра начнется уничтожение всех данных"

в 10 часов проверю еще раз, а пока дрожите несчастные пользователи Avast! и VirusBuster

http://www.virustotal.com/ru/analisis/0965...d6fd7aa414b3ccd

http://www.virustotal.com/ru/analisis/9a66...ce288372b37e944

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
А дату перевести вперед - не, низя ?

можно и назад.... или - по методу рекомендаций по ИБ времен 2000 года - не включать!!! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
ну вот и наступило 25е число, когда "25 мая в 10 часов утра начнется уничтожение всех данных"

в 10 часов проверю еще раз, а пока дрожите несчастные пользователи Avast! и VirusBuster

http://www.virustotal.com/ru/analisis/0965...d6fd7aa414b3ccd

http://www.virustotal.com/ru/analisis/9a66...ce288372b37e944

К слову: не скажу за вирлаб VB, но проблема для русскоязычных пользователей продуктов на его движке давно решена. А вот за пользователей Avast! я попереживаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
К слову: не скажу за вирлаб VB, но проблема для русскоязычных пользователей продуктов на его движке давно решена.

и почему я, Виталий, был уверен, что вы отпишитесь? :rolleyes:

cкажите каким образом решена проблема?

Пользователям вышеуказанных антивирусов все тот же привет

http://www.virustotal.com/ru/analisis/4084...64c389423a0b6f3

http://www.virustotal.com/ru/analisis/c65e...05239fb3f140e55

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Поскольку Лаборатория Касперского была оповещена нами одной из первых (16 мая), а утилита была опубликована ими только вчера (20 мая), с уверенностью можно сказать, что Лаборатория Касперского не имеет отношения к разработке и распространению самого вируса.

Дуров отжигает http://vkontakte.ru/blog.php?nid=82

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

2 Alex_Goodwin - смотри Сообщение #41 этой ветки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
и почему я, Виталий, был уверен, что вы отпишитесь? :rolleyes:

cкажите каким образом решена проблема?

Пользователям вышеуказанных антивирусов все тот же привет

Насколько знаю, было внесение сэмплов в базу Anti-Spyware + создание правил для проактивной защиты, распространенные сразу же через апдейт. Но это для перестраховки - мало ли кто в режиме пониженной защиты сидел.

Пользователям VirusTotal привет пламенный. В СПб имеется >=2 вирлабов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
было внесение сэмплов в базу Anti-Spyware

про проактивную защиту я знаю, это хорошо

а про базы я погляжу когда было добавлено

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
+ создание правил для проактивной защиты

Простите, а что в этом черве такого выдающегося, что для него аж пришлось создавать правила в проактивке ?

Запись в ключ автозапуска реестра ? регистрация себя как сервис ? попытка доступа к персональным данным ?

эти все эти действия ваш _продукт_ ловить не в состоянии и теперь впервые столкнулся с необходимостью ?

бррр

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×