Привет, друг!!!

  • Если что-то не получается
  • Алексей (Skype)
  • katafalk555
  • Помощь по форуму
  • 473868046 Женя
  • Общие вопросы
  • Татьяна (QIP)
  • User ID: tarantinka3
загрузка...

Торрент был удален.

Торрент удален по причине «Претензия правообладателя.».
место под вашу рекламу

Комментарии

  1. 1
    Не в сети Several - Super User (2012-01-22 01:03:35) upload 6.596 TB, download 796.42 GB, 8.48
    каким антивирусом зацепило?
  2. 2
    Не в сети desir - Super User (2012-01-22 07:02:32) upload 51.390 TB, download 970.53 GB, 54.22
    redisKO писал
    desir писал
    А ничего что там пачка троянов? Именно пачка!

    доказательства где ???


    Доказательства -
    1) эвристика KIS, сканер KIS;
    2) тупняк при первом запуске сетапа (умудрился оставить KIS отключенным на время запуска новой неизвестной программы), при втором аж бегом запустилось второе окно;
    3) очень подозрительная беспричинная нагрузка на все винты и SSD и резко увеличившийся исходящий трафик и загрузка по httpd Apache, при том что в логах апача на тот момент - тишина; жаль только ступил посмотреть куда, собственно, уходит трафик, действовал быстро, поэтому тут же всё отключил/прибил; прошлое заражение Klez.h, которое ничем не лечилось на тот момент, нанесло большой ущерб, я тогда секунд 10 тормозил, чего-то ожидая, а когда допер - reset, под другой виндой провел анализ - ~1200Mb экзешников были безнадежно угроблены, в т.ч. такие, которые были в единственном экземпляре и исходники не сохранились;
    4) я 25+ лет с компьютерами, 15+лет в очень плотной связи с ними, в т.ч. в области компьютерной безопасности. Последнее реальное заражение - около 7 лет назад, а вокруг достаточно знакомых/клиентов с завидной регулярностью ловящих что-то, если не следовали моим заранее данным указаниям;
    5) после включения KIS он тут же обнаружил активную ерунду, указан на assembly/temp, я тут же изучил деятельность setup от игры и увидел, что это ее "детище"; обычно я делал предварительный анализ/дебаг софта, с которым сталкиваюсь впервые, и несколько раз успешно отправлял в антивирусные лаборатории новые неизвестные вирусы, чаще всего это было при серфинге по варезам/крексайтам, по порнухе очень давно не лажу, так что эта тропа заражения практически отсутствует, и сейчас очень хорошие плагины к файрфоксу, которыми режу ссылки/баннеры/автопереходы на порносайты;
    6) сканирование созданных файлов выявило достаточное количество троянов и активных даунлоадеров, при том что получасом ранее система была чистая и более ничего я не устанавливал и не запускал из нового. Это особенно печально, поскольку примерно 2 месяца назад я с нуля переставил систему, чтобы вылизать ее идеально, устранить максимально нагрузку на системный раздел и раздел с софтом (дабы сделать безболезненный перенос на SSD и устроить тому теоретически вечную жизнь). И все эти два месяца почти каждый день что-то полировал в системе, переносил софт, давно отстроенный и стабильно работающий со старых систем, и, как назло, не успел сделать образ системы, ибо всегда всё идет гладко, а тут на тебе, подарочек
    7) кусочек из лога KIS
    Kaspersky Internet Security Защита включена 21.01.2012 17:48:51
    SETUP.EXE Слабые ограничения Программа помещена в группу Слабые ограничения 21.01.2012 17:48:57 F:\TEMP\IXP001.TMP\SETUP.EXE
    SETUP.TMP Доверенные Программа помещена в группу Доверенные 21.01.2012 17:48:57 F:\TEMP\IS-89PK8.TMP\SETUP.TMP
    SETUP.TMP DEFAULTPREFIX Разрешено: DefaultPrefix 21.01.2012 17:49:15 hklm\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\URL\
    SETUP.TMP DEFAULTPREFIX Разрешено: DefaultPrefix 21.01.2012 17:49:15 hklm\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\URL\
    SETUP.TMP CreateUriCacheSize Разрешено: Winlock.Policies.Values.Sub 21.01.2012 17:49:25 hklm\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\
    SETUP.TMP CreateUriCacheSize Разрешено: Winlock.Policies.Values.Sub 21.01.2012 17:49:25 hkey_users\S-1-5-21-2563046681-1604658077-1418669346-500\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\
    SETUP.TMP EnablePunycode Разрешено: Winlock.Policies.Values.Sub 21.01.2012 17:49:25 hklm\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\
    SETUP.TMP EnablePunycode Разрешено: Winlock.Policies.Values.Sub 21.01.2012 17:49:25 hkey_users\S-1-5-21-2563046681-1604658077-1418669346-500\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\
    SETUP.TMP Security_HKLM_only Разрешено: Winlock.Policies.Values.Sub 21.01.2012 17:49:25 hklm\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\
    SETUP.TMP Security_HKLM_only Разрешено: Winlock.Policies.Values.Sub 21.01.2012 17:49:25 hklm\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\
    Host Process for Windows Services 80000004.@ Обнаружено: HEUR:Backdoor.Win64.Generic 21.01.2012 17:49:40 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000032.@ Обнаружено: Trojan-Downloader.Win32.Agent.tzqc 21.01.2012 17:49:45 F:\TEMP\Assembly\temp\U\
    Console Window Host MSCTF.dll Разрешено: Установка перехватчиков 21.01.2012 17:50:05 C:\Windows\system32\
    Host Process for Windows Services 80000032.@ Создана резервная копия: Trojan-Downloader.Win32.Agent.tzqc 21.01.2012 17:50:45 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000032.@ Удалено: Trojan-Downloader.Win32.Agent.tzqc 21.01.2012 17:50:45 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000004.@ Создана резервная копия: HEUR:Backdoor.Win64.Generic 21.01.2012 17:50:51 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000004.@ Удалено: HEUR:Backdoor.Win64.Generic 21.01.2012 17:50:51 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000032.@ Обнаружено: Backdoor.Win32.ZAccess.bub 21.01.2012 17:50:51 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000004.$ Обнаружено: HEUR:Backdoor.Win64.Generic 21.01.2012 17:50:55 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000032.@ Создана резервная копия: Backdoor.Win32.ZAccess.bub 21.01.2012 17:50:59 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000032.@ Удалено: Backdoor.Win32.ZAccess.bub 21.01.2012 17:50:59 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000004.$ Создана резервная копия: HEUR:Backdoor.Win64.Generic 21.01.2012 17:51:00 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000004.$ Удалено: HEUR:Backdoor.Win64.Generic 21.01.2012 17:51:00 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000004.@ Обнаружено: HEUR:Backdoor.Win64.Generic 21.01.2012 17:51:11 F:\TEMP\Assembly\temp\U\
    SETUP.EXE SETUP.TMP Разрешено: Защищаемые программы 21.01.2012 17:51:16 F:\TEMP\IS-89PK8.TMP\
    Host Process for Windows Services 80000032.@ Обнаружено: Trojan-Downloader.Win32.Agent.tzqc 21.01.2012 17:51:27 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000004.@ Создана резервная копия: HEUR:Backdoor.Win64.Generic 21.01.2012 17:51:32 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000004.@ Невозможно удалить: HEUR:Backdoor.Win64.Generic 21.01.2012 17:51:32 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000032.@ Создана резервная копия: Trojan-Downloader.Win32.Agent.tzqc 21.01.2012 17:51:37 F:\TEMP\Assembly\temp\U\
    Host Process for Windows Services 80000032.@ Удалено: Trojan-Downloader.Win32.Agent.tzqc 21.01.2012 17:51:37 F:\TEMP\Assembly\temp\U\
    Windows Shell Common Dll MSCTF.dll Разрешено: Установка перехватчиков 21.01.2012 17:51:51 C:\Windows\system32\
    Windows Shell Common Dll MSCTF.dll Разрешено: Установка перехватчиков 21.01.2012 17:51:59 C:\Windows\system32\
    Hard Disk Sentinel Engine MSCTF.dll Разрешено: Установка перехватчиков 21.01.2012 17:54:00 C:\Windows\syswow64\
    Kaspersky Internet Security Лечение активных угроз Задача запущена 21.01.2012 18:01:44
    Kaspersky Internet Security TCP от 90.34.152.50 на локальный порт 25700 Запрещено: DoS.Generic.SYNFlood 21.01.2012 18:05:34
    Kaspersky Internet Security TCP от 74.57.228.142 на локальный порт 25700 Запрещено: DoS.Generic.SYNFlood 21.01.2012 18:05:34
    Kaspersky Internet Security TCP от 109.60.34.163 на локальный порт 25700 Запрещено: DoS.Generic.SYNFlood 21.01.2012 18:05:34
    Дальше пачка синфладов (около двух сотен) с разных IP на этот порт.

    Куча созданных desktop.ini, один из них - Backdoor.Win32.ZAccess.aug Обнаружено; не обработано 21.01.2012 20:25:18 C:\Windows\assembly\GAC_32\ Desktop.ini
    Когда посмотрел - это executable, и не простой. Весь лог всех служб киса приводить не буду, ибо достаточно и вышеуказанного. Причем я не помещал сетап в доверенные, я лишь разрешил два действия, а дальше он присосался к Host Process и пошел уже как "доверенный".
  3. 3
    Не в сети desir - Super User (2012-01-22 07:15:50) upload 51.390 TB, download 970.53 GB, 54.22
    svl писал
    Я подтверждаю, причем не хило опасных! Win64/Sirefef.B - критический.


    И да, %windir%\System32\confsrv.dll, по приведенной тобой ссылке, уже присутствовал в системе и был активен. В логе не присутствует, ибо все что я пошагово почистил - из логов стараюсь удалять, чтобы не мешалось и не путало, что еще осталось.
  4. 4
    Не в сети desir - Super User (2012-01-22 07:23:41) upload 51.390 TB, download 970.53 GB, 54.22
    PS: оригинальный незараженный setup.exe - 442373 байта, в этой раздаче - 688640 байта. Сравнив банально содержимое экзешников можно достаточно увидеть. А поковырявшись дебаггером или даже просто глянув процедуры - всё становится более чем ясно.

    Модераторы, закройте раздачу.
  5. 5
    Не в сети svl - Опытный пользователь (2012-01-22 11:11:10) upload 4.912 TB, download 1.068 TB, 4.60
    surfix писал
    ...У меня нет антивира, да я им и не пользуюсь...

    Железный аргумент
  6. 6
    Не в сети surfix - Super User (2012-01-22 12:27:08) upload 11.237 TB, download 423.11 GB, 27.20
    Я как скачал так сразу и залил. Чтож поделать... Бывает
  7. 7
    Не в сети kenobit - Super User (2012-01-29 23:22:37) upload 7.186 TB, download 1.709 TB, 4.20
    У меня "говняцкий" microsoft security и тот заругался через 0.5 сек после запуска, ему было достаточно первого опасения: "VirTool:Win32/Obfuscator.MP" *

    {
    Элементы:
    containerfile:H:\Setup.exe
    file:H:\Setup.exe->(WExtract)->reg.exe

    }


    * - Technical Information (Analysis)
    VirTool:Win32/Obfuscator are detections for programs that have had their purpose obfuscated to hinder analysis or detection by anti-virus scanners. They commonly employ a combination of methods including encryption, compression, anti-debugging and anti-emulation techniques.

    These obfuscation techniques are used on various kinds of malware. The malware that lies "underneath" may have virtually any purpose.


    - Простым языком: Ищет антивирус, удаляет и эмулирует его работу, после этих манипуляций запускает определенный вредоносный код. То есть вполне может дать доступ к ПК третьим лицам.http://cs10074.vkontakte.ru/g31579712/e_f0e4c6a7.jpg

    Предлагаю послать в БАНю опрометчивого релизера, трекер ничего не потеряет.

    Последний раз редактировалось kenobit в 2012-01-29 23:25:04

Всего 17 на 2 страницах по 10 на каждой странице.

vkontakte Last.fm Twitter Одноклассники P.S.Lan
reklama




Загрузка...