Форум

Здравствуйте, гость ( Вход | Регистрация)

Новый вирус на фотохостинге lostpic.net

Кантор
сообщение 12.11.2011, 7:30
Сообщение #1


Король Подделок
Group Icon

Группа: Пользователь
Сообщений: 4 816
Регистрация: 12.7.2009
Пользователь №: 3 826
Пол: Мужской




ОЧЕНЬ ВАЖНО!


Если кто как и я пользовался этим хостингом и не имеет серьёзной антивирусной защиты срочно проведите проверку вашего компьютера КИС или если он у вас не установлен загрузитесь с любого ЛАЙВ СД и запустите - Антивирусная лечащая утилита AVPTool (около 100 Мб, производитель – «Лаборатория Касперского»)

А теперь какие действия надо произвести в первую очередь.

Цитата
ну в кратце... ->тут

видео факты >>> ТУТ <<< (видео ~~11 метров так что ждем пока скачается...)

доковырял не до конца... времени на поспать нефига не остается...
на выходных наверно засяду дальше ковИрять...


в качестве временной меры... добавить в файл c:\Windows\System32\drivers\etc\hosts
строчки....


127.0.0.1 lostpic.net
127.0.0.1 korefun.net



Цитата
на данный момент пролечено... что б не вляпаться пока вирмейкер не пронюхал

удаляем блок с хостов

Код
127.0.0.1   lostpic.net
127.0.0.1   korefun.net



добавляем эту шляпу))

Код
127.0.0.1   trafogonka.in


Цитата

коротко о метОде быстрого удаления:

сохраняем все свои документы, закрываем все что было открыто... выключаем аськи, скайпы и прочее что в системе запущено...

нам понадобиться http://technet.microsoft.com/ru-ru/sysinternals/bb963902

запускаем AutoRuns, ждем пока он прочтет все записи и переходим во вкладку "Appinit"

Скрытый текст
Изображение


внимательно рассматирваем все записи которые там имеются... обращаем особое внимание на файлы с расширением dll
заходим по указанным путям и находим указанные авторунсом файлы ...
если:
1 файл появился относительно недавно ~~ конец октября
2 его вес ~~40-60кб

то это скорее всего наш клиент)))

Скрытый текст
Изображение


заходим снова в авторунс и снимаем галочку с нашего клиента))

перегружаемся... снова заходим в авторунс галочки напротив клиента стоять не должно))
Скрытый текст
Изображение

скачиваем любой свежий антивирусный сканер (например ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) ... сканим систему - он покажет ск0ка еще зверья на ваших тачках))) ну за одно и причешет его zzz1.gif

по поводу деструктивной активности этой "шляпы"... основываясь на косвенных данных могу предположить, что это нагон траффика на нужные сайты... конечному пользователю (если у него анлим) в принципе ничем не грозит... но это только предположение... дождемся ремЮзэ от авир аналитиков топовых антивирусников))

Скрытый текст


Изображение
Изображение
Изображение
Изображение
Цитата
написала в лабораторию касперского, как уже не раз делала в подобных случаях, к сабжу приложила злополучный файл. да нужно было раньше, уже определили без меня, вот пришел ответ:
rmsfokb.dll - Trojan-Ransom.Win32.Cidox.gen
В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
С уважением, Лаборатория Касперского
"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700


Вот такая засада. Ну у себя я проверил вроде ничего нет. Слава КПСС КИС. Как бы его не хаяли а за 2 года активного юзания не словил ни одного зверька. А всё потому что стоит у меня он на максимальной параноидальности и подозрительности. cat.png

Если кому интересно историю обнаружения можно почитать по самой верхней ссылке в шапке.
С уважением Кантор. советую провериться всем и каждому. Мало ли где ещё есть эта дрянь.

Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
 
Ответить в эту темуОткрыть новую тему
Ответов(1 - 8)
Di_3x
сообщение 12.11.2011, 8:28
Сообщение #2


Анатомия мипла
Group Icon

Группа: Пользователь
Сообщений: 11 872
Регистрация: 3.8.2009
Из: Underwѻrld
Пользователь №: 3 911
ICQ: 450550220
Ваш год рождения: 7777
Пол: Мужской




Ты его случаем не рекламировал не давно?
все пользуются радикалом trollface.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Кантор
сообщение 12.11.2011, 9:26
Сообщение #3


Король Подделок
Group Icon

Группа: Пользователь
Сообщений: 4 816
Регистрация: 12.7.2009
Пользователь №: 3 826
Пол: Мужской




Ага. Но кто ж знал. Вирус там был от сторонней фирмы-партнера, чья реклама размещалась на их сайте. Щас всё почистили.

Цитата(Di_3x @ 12.11.2011, 12:28) *


все пользуются радикалом trollface.gif

В топку радикал. poh.jpg И кто все? Самый неудобный пикхостинг после фастоглюка.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Paagrio
сообщение 13.11.2011, 21:17
Сообщение #4


Сёса (Майор)
Group Icon

Группа: Пользователь
Сообщений: 1 766
Регистрация: 30.3.2009
Пользователь №: 3 387
Пол: Мужской




Я юзаю только piccy.info
PS: Радикал - гумно.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Кантор
сообщение 15.11.2011, 16:41
Сообщение #5


Король Подделок
Group Icon

Группа: Пользователь
Сообщений: 4 816
Регистрация: 12.7.2009
Пользователь №: 3 826
Пол: Мужской




Цитата
Обновление от 15.11.2011. Человек, пожелавший остаться неизвестным, никнейм pork, в аське сообщил более полную и страшную правду о заражении. По его плачевному опыту удалось выяснить точную дату начала распространения - это 10 октября 2011 г. Также он заметил то, что уязвимость находилась в пиратской сборке ОС Windows, предположительно Zver поскольку у него стояла именно она. И только при просмотре сайта в браузере Opera. Причем фишинг наблюдался полный, Opera писала про заражение и рекомендовала поставить обновление от Microsoft. Так вирус влезал на компьютер жерты, сразу и без ведома пользователя перезагружал ПК, встраивался в автозагрузку. Друзья, все у кого сейчас стоит пираткая сборка и кто посещал наш сайт с 1 октября по 11 ноября, проверьте, пожалуйста, автозагрузку! Затем, pork запустил WM Keeper. Установленный KIS моментально заблокировал какой-то процесс, делающий запрос к хранилищю паролей, а также нашёл и удалил вирус. Для верности pork снёс сборку и поставил подлинную ОС Windows. И что примечательно, сайт притормаживал, но никакой вредосносный код уже не пролезал. Получаем следующее сочетание: Браузер Opera + пиратская сборка (Zver) = 100% заражение.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
АндрейР™
сообщение 15.11.2011, 19:41
Сообщение #6



Group Icon

Группа: Администратор
Сообщений: 14 015
Регистрация: 19.3.2009
Из: Москва
Пользователь №: 3 298
ICQ: 209230161
Ваш год рождения: 1
Пол: Мужской




Сижу я себе на своём маке и не парюсь. Как и всегда! ))))))
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
кавайщик
сообщение 16.11.2011, 6:44
Сообщение #7


Тюи (Ст. Лейтенант)
Group Icon

Группа: Пользователь
Сообщений: 712
Регистрация: 8.11.2011
Из: 56°50′00″ с. ш. 60°35′00″ в. д.
Пользователь №: 4 879
Пол: Мужской




Вот поэтому следует юзать только чистые инсталлеры Win, а не говносборки.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
WoITeK
сообщение 16.11.2011, 7:30
Сообщение #8


Радужный элементаль
Group Icon

Группа: Пользователь
Сообщений: 5 865
Регистрация: 11.4.2010
Из: Новосибирск
Пользователь №: 4 441
ICQ: 311419286
Пол: Мужской




А у меня фуряфокса. 2vkg5j5.gif Авастом всё просканил - всё в норме.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
кавайщик
сообщение 16.11.2011, 7:34
Сообщение #9


Тюи (Ст. Лейтенант)
Group Icon

Группа: Пользователь
Сообщений: 712
Регистрация: 8.11.2011
Из: 56°50′00″ с. ш. 60°35′00″ в. д.
Пользователь №: 4 879
Пол: Мужской




Цитата(WoITeK @ 16.11.2011, 12:30) *

А у меня фуряфокса. 2vkg5j5.gif Авастом всё просканил - всё в норме.

Аваст - ерунда. Трояны толпами проходят мимо. Проверял.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

- Текстовая версия Сейчас: 17.11.2024, 1:42