Trojan Winsock

[Shell 301]

Добрый день.

Если посчитаете что тему нужно переместить - сделайте пожалуйста.

В пятницу уже после 18 часов у нас товарищи впоймали Winsock.252 (по вируслисту). Симптомы - при заходе уже в домен надпись об отправке смс. Аську вирус угоняет и с юина начинается рассылка со ссылкой на gif файл. Аська при этом не запущена с этих компов. Похоже вирус не просто добавляется в загрузку, но и инжектит часть файлов. После удаления исполняемого файла и записи в рестре комп не грузится в нормальном режиме все равно. Экземпляр есть. Отправил в security response в пятницу. Ответа не пришло (даже о регистрации). Завтра, чую нутром будет весело. SEP не детектит вирус никак. Из вируслиста этот вирь увидели только Dr.Web и аваст. Описания вируса нет, увы.

Тикет завтра с утра сделаю в суппорте, но думаю ваша помощь совсем не лишней будет.

Кстати, в поиске натыкаюсь на многочисленные ссылки на вирус. Странно, что даже касперский его не видит (пусть извинит за слово "даже" меня суппорт, но вс мы знаем о локальности вирусов и реакции на их добавления в базу в зависимости от страны). Если нужен кому то экземпляр виря - напишите в ПМ, выдам но только для исследовательских целей.

P.S. Вру. каспер онлайн детектором определил

svcoost.exe - инфицирован Trojan-Ransom.Win32.BlueScreen.gn

KIS с базами от 26.09 - не видит, с 27.09 - успешно определил.

[Кирилл Керценбаум 671]

Отправил в security response в пятницу. Ответа не пришло (даже о регистрации)

По GOLD ссылке отправляли? Из Карантина самого SEP отправляли? Проактивку пробовали включать на максимум на зараженных машинах? IPS установлена и включена?

[Shell 301]

Кирилл, вирус не в карантине SEP. Сервер карантина не поднимался. Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

IPS настроена и включена. Срабатываний нет.

Только что отправил через голд.

[TRACKING]: Symantec Security Response Automation: Tracking #12926714

[Кирилл Керценбаум 671]

Отправлял правда через http://service1.symantec.com/SUPPORT/nav.n...v_lvl=&seg= (не голд)

Не нужно отправлять по этой ссылке, это самая медленная обработка для тех у кого нет поддержки, нужно отправлять через BASIC или Essential в зависимости от уровня вашей поддержки как минимум - http://www.anti-malware.ru/forum/index.php?showtopic=4239

Если подозрительный файл есть его можно вручную добавть в Карантин на SEP клиенте и также отправить нам

Проактивку использовали?

[Shell 301]

Проактивка была включена, но по дефолту (Low)

[Z.E.A. 190]

Проактивка была включена, но по дефолту (Low)

Попробуйте выкрутить ползунок до 100, и посмотреть на реакцию SEP-а.

[Shell 301]

получил ответ.

[CLOSING]: Symantec Security Response Automation: Tracking #12926714

We have analyzed your submission. The following is a report of our findings for each file you have submitted:

filename: svcoost.exe

machine: Machine

result: This file is detected as Trojan.Ransomlock.

Customer notes:

Trojan Winsock (Trojan-Ransom.Win32.BlueScreen.gn)

Developer notes:

svcoost.exe is a non-repairable threat.

Symantec is now building a new set of definitions to include the threat you have submitted. The approximate time to complete this process is one hour. We recommend checking the ftp site periodically over the next 60 to 90 minutes to download these definitions as soon as they are available.

и все же не весь функционал трояна описан http://www.symantec.com/security_response/...-99&tabid=2

я четко видел как с асек начинается рассылка ссылок на гифку. вроде других троянов не было.

[A lone 20]

http://www.securitylab.ru/news/385947.php

26.09.09

"Это новая троянская программа Trojan-Dropper.Win32.Smser.eb, разработанная на Visual Basic каким-то школьником или студентом. Она отображает картинку (в аттаче), и устанавливает в систему другую программу для кражи паролей, после чего самоудаляется", - пояснил ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк.

"Эта троянская программа уже добавлена в базы и будет детектироваться со следующими обновлениями", - добавил он.

Другой разработчик антивирусов - "Доктор Веб" называет данный вирус Trojan.Winlock.252.

"Заражая компьютер пользователя, Trojan.Winlock.252 блокирует доступ к системе, требуя отправить платное SMS на специальный номер. Кроме того, эта троянская программа является контейнером, который содержит вредоносный объект (так называемый "пинч"), который крадет все пароли, хранящиеся на компьютере жертвы, и пересылает их злоумышленникам", - говорит руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров.

[Shell 301]

Ссылки приходящие по аське иемеют формат

никого не узнаёшь на этой фотке? гг))

http://www.tag4u.ru/img/-removed-. gif

заметно что фотка в фотошопе отредактирована или нет?

http://spice3g.ru/img/-removed-. gif