Диструктивная реклама (о безопастности) и "bugoga"

10 Июл 2007 - 08:11 Al_Lexx 299 >> 0.29

Флейм

Цитата:

Итак... Принесли сегодня комп, типа по описанию "вместо картинок рожа страшная". Посмотрел и ужаснулся - ВСЕ графические фалый представляют собой вот это

Помимо этого все медийные файлы (avi, mp3, wav, wma, wmv и т.п.) содержат вместо оригинального контента некую странную музыку. Файлы документов MS Office полностью разрушаются, в них содержится только текст:

"Тут могла быть ваша РЕКЛАМА!!!
По вопросам размещения во второй волне:

В общем этот весьма и весьма опасный и деструктивный вирус сжирает весь юзерский контент до последнего файла при заражении. Как происходит заражение - неизвестно, возможно через дыру в IE как обычно. Примечательно, что не поражаются файлы и папки с атрибутом "скрытый". Ни один из известных мне антивирусов заразу на "больном" HDD найти не смог. Из подозрительного - в втозагрузке зараженного компа висел файл C:\Windows\One.exe и больше никаких следов активной вирусной деятельности.

Вот такие вот дела. Вирус КРАЙНЕ опасен, так что будьте бдительны к своему контенту и не лазьте на непровереные сайты при помощи IE!

Обнаружено сие чудо позавчера. Будте осторожны с почтовыми клиентами.
Ещё тут можно почитать об этом и немного о "bugoga"
amina-hh.livejournal.com/

11 Июл 2007 - 10:54 rgt

Добрый шаман >> 5655 >> 43.38

Вот уже и калькулятор виндовый задефейсили:

Цитата:

Re: Открыт аукцион компьютерных уязвимостей
Программа: Инженерный калькулятор
Опасность: Максимальная
Наличие эксплоита: Да
Описание:
Уязвимость позволяет пользователю выполнить дефейс главного екрана калькулятора.
Существует из-за плохой проверки входящих данных при переводе с Dec в Hex
Експлойт: 233811181
Решение: Способов устранения уязвимости не существует

За несоответствие действительности Вашим о ней представлениям администрация форума ответственности не несет.

12 Июл 2007 - 10:45 Al_Lexx

>> 299 >> 0.29

Цитата:

В дополнение - вот полное описание этого зловреда Virus.VBS.Agent.c (хотя это описание не поможет восстановить попорченные данные):
Опасная троянская программа, уничтожает данные пользователя на диске. От данного зловреда пострадали многие пользователи, зафиксирован буквально шквал обращений (в том числе в конференциях virusinfo.info и forum.kaspersky.com
Видимые проявления - в автозапуске появляется посторонний файл one.exe (файл размещается в папке Windows), который является SFX архивом. В случае запуска он распаковывается в корень диска C:, при это создаются следующие файлы: dr.vbs, DR1.dr, DR2.dr и DR3.dr. Файл dr.vbs после этого запускается (для извлечения файлов и запуска в архиве имеется скрипт: Path=c:\ Setup=dr.vbs).
Скрипт dr.vbs зашифрован для защиты от изучения, шифровка примитивная. Расшифровка показывает, что скрипт ищет файлы на диске и в зависимости от расширения копирует заготовки
DR1.dr - DR3.dr поверх некоторых файлов. Поражаются файлы следующих типов:

mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave - поверх них копируется файл DR1.dr
jpg,bmp,gif,png -> DR2.dr
txt,xlsЭ,doc,htm,xl -> DR3.dr

Файл DR1.dr является музыкальным файлом с ID3 тегом "Тут могла быть ваша РЕКЛАМА!!! По вопросам размещения во второй волне : xxx@yyyy", соответственно DR2.dr - это картинка формата JPEG (в ней призыв разместить рекламу написан на картинке, причем с лозунгом "Диструктивная реклама") и DR3.dr - текстовый файл, по содержимому идентичный ID3 тегу DR1.dr.

Как очевидно из описания, файлы перечисленных расширений будут уничтожены, резервных копий затираемых файлов зловред не делает.

Скрипт по некоторым стилистическим элементам похож на аналогичного деструктивного зловреда Email-Worm.VBS.Agent.j

Внедрение в систему и распространение
Зловред распространяется в виде файла с расширением SCR, размер файла - 424 кб, это SFX архив с файлами 01.vbs, 02.vbs, 03.vbs, 04.vbs и one.exe внутри. В случае запуска файлы извлекаются в папку Windows и идет запуск 01.vbs
1. WINDOWS\01.vbs - проверяет наличие в корне диска dr.vbs. Если его нет, то запускается 02.vbs и самоуничтожается
2. WINDOWS\02.vbs - просматривает папки в каталоге Mra\, принадлежащем MailRu Agent. Сканированием этой папки строит список адресов - найденные адреса заносятся в файл "c:\DR.dr", после чего запускается 03.vbs и самоуничтожается
3. WINDOWS\03.vbs -регистрирует в реестре файл one.exe, блокирует запуск редактора реестра и диспетчера задач через политики, после чего рассылает на один из встроенных в тело скрипта адресов письмо, текстовка "complete..." + аттчач - файл c:\DR.ey, после чего запускает 04.vbs и самоуничтожается. Файл DR.ey содержит данные ключа реестра Software\Mail.Ru\Agent.
4. WINDOWS\04.vbs Рассылает письма c заголовком "Вам пришла открытка от: xxxx" и телом "Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: xxxx@ Открытка ждёт Вас по адресу: <полный адрес файла SCR, инсталлирующего зловреда>. Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней."

Для поражения ПК нужно перейти по указанной в подобном письме ссылке, загрузить и запустить файл (подтвердив запрос системы на запуск). Таким образом следует вспомнить основную заповедь безопасности в Интернет - не следует переходить по подозрительным ссылкам и запускать непонятные программы, загруженные по этим ссылкам ... Зловред заменяет все текстовые файлы, звуки и картинки, в том числе и системные и принадлежащие различным программам - поэтому если он отработал, то стоит или восстановить систему из резервной копии, или произвести ее переустановку

dslnet.ru/showthread.php?t=20096 AleXXII с форума dslnet.ru

15 Июл 2007 - 21:05 dizzy

Ромбовод >> 1021 >> 52.68

Сегодня лицизрел такого же клиента "Деструктивной рекламы"
Все файлы заменены, единственное что осталось целым так это базы 1С (клиент ради них трясся весь)..

Вход на сайт

Диструктивная реклама (о безопастности) и "bugoga"

Отправить комментарий