Описание вирусов
 

Скажите плиз какой-нибудь портал, где можно найти описание вирусов (если точнее, NetSky). Сколько ищу - везде Netsky  с буквой в конце, а мне нужен самый первый.

PS: viruslist.com  не предлагать - там нету

ThE ACE
самое первое описание в базе Symantec

а по-русски ничего нету, вдруг я что-нибудь важное не так переведу?

ThE ACE
Ну а как же Viruslist? Там всё на русском.

я же написал - нету там, я просмотрел, там все последние netsky, а мне нужен самый первый, у него же есть какие-то особенности.

ThE_ACE
Здесь указаны его алиасы для различных антивирусов. Соответственно на русском можно поискать описание у каспера для Moodown, например здесь или у диалогнауки здесь.
* *

ThE_ACE
поискал в "AntiViral Toolkit Pro" это вирусная энциклопедия Касперского (у
меня на диске) нарыл только по:

Цитата:
SkyNet.1448
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец
EXE-файлов при обращении к ним. В зависимости от своих внутренних
счетчиков замедляет работу компьютера (холостой цикл при каждом вызове INT
21h) и выводит тексты:


*** Terminator I *** Created by Sky Net in Chung-Li.



       Terminator Message:
        Don't be afraid.
     I am a very kind virus.
  You have do many works today.
               So,
I will let your computer slow down.
        Have a nice day,
            Goodbye.
  Press a key to continue. . .
       

так же есть демонстрационный файл работы вируса.
А на сайт касперского стоит сходить, там чуть ли не коды выкладывают...

Где найти описание действий вируса
 

Один знакомый пытался запустить на моей машине вирус TrojanDropper.win32.VisualSFX.ds. Очень хотелось бы узнать, какие действия тот делает.
Может, кто знает, где есть описание действий этого вируса.
Спасибо.
P.S. Был на http://www.viruslist.com/, http://securityresponse.symantec.com/, ... И нигде нет.

Наиболее вероятно что приведенное тобой название не соответствует спецификации каспера или нортона, хотя и имеет в них свой аналог (наприме тебе так ДокторВэб тебе показывает). Соответственно все что нужно, это узнать как он называется у производителей антивирусов, ведущих свои собственые базы. В своем посте в первоначальной теме я вполне подробно привел решение такой проблемы.

П.С.
:moderator: Учитесь пользоваться фильтром. Нет никакой необходимости клепать кучу похожих тем, когда уже есть подхдящая...

TrojanDropper.win32.VisualSFX.ds - так назвал его каспер. Ни на http://www3.ca.com/threatinfo/virusinfo/, ни на http://www.viruslist.ru/, ни на http://www.dials.ru/inf/vsearch.php поиск по ключевому слову visualsfx ничего не дал. :help:

P.S. Кстати, имею зараженый им .exe-файл (3.32 MB). Если это поможет, могу выслать на e-mail.

B J
Значит либо он не настолько серьезный и распространенный, чтобы ради этого вносить его в базу (что таки требует определенных затрат), либо он достаточно свежий (вроде он *августовский, если я не ошибаюсь...) из-за чего времени на более-менее подробное его описание пока не нашлось (для лечения вируса подробное знание его функций никогда не требовалось). Попробовал спросить Гугль - дык он среди прочего выдал страничку каспера вроде на французком, где предполагаеться его описание, хотя таковое и отсутствует - все поля пустые, возможно что только временно.
* * Как вариант, можно написать в суппорт к касперу с тем же вопросом, который ты задал в форуме, может у них есть таки данные просто не внесенные в базу и они согласятся тебе их дать. Ну а если судить по структуре названия, то это загрузочная часть трояна пользующаяся одной из уязвимостей мелкомяхких для внедрения в систему управляемого модуля ( cоответственно его наличие говорит о присутствии у тебя в системе как минимум одной из серьезных уязвимостей; cоветую обновиться, для чего ИМХО удобно воспользоваться мелкомяхковским Baseline Security Analyzer), хотя я могу и ошибаться в принятой им структуре, это опять же лучше узнать где-нить у него (либо на сайте, либо тоже по ЭП).

Greyman

Да, вирус действительно свежый - если установить самую новую версию Каспера (4.5.0.94) и не обновлять антивирусные базы, то тот трояна не увидит. А еще говорят о каком-то евристическом анализе.

Написал письмо в support@kaspersky.com; буду ждать.

Вирус ко мне попал не с инета или сетки, а при подсоединении другого винчестера при переписывании фильмов. Но за Baseline Security Analyzer все равно спасибо - до сих пор даже не знал, что мой комп настолько уязвим.

B J
Они тебе ответят только в том случае, если твой касперский "родной". Если нет, то вежлево пошлют. Вместе с письмом надо было выслать ключ и регистрационный номер копии

Народ, помогите плиз! С нек. пор комп грузится только в безопасном режиме, при обычной загрузке - черный экран и тишина. Это 100% не глюк с видео (проверял), такое ощущение что че-то поймал, проверка на вирусы (kav 6.0) не помогла, спасает только перестановка винды :-(

В своё время была закрыта тема Компьютерный форум OSzone.net » Компьютеры + Интернет » Информационная безопасность » Helkern - что такое?.
С описания не совсем ясно, как на компьютер без Microsoft SQL Server 2000 дана атака вообще может засекается монитором безопасности? Ведь .
Или идёт атака с сервера с установленой Microsoft SQL Server 2000?

Здрасть. Ребята, у меня пробла с вирусом. Дело обстоит так: при вызове диспетчера задач появляется мессага "Диспетчер задач отключен администратором", происходит это под любым пользователем. Иногда бывали случай когда не выполняется команда tasklist в cmd. Вопрос в следующем: могу ли я вернуть права админа, не прибегая к переустановки системы.

А этот админ кто, и почему сразу вирус?

В этой ветке реестра -
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
- для записи "DisableTaskMgr" (кликнуть по строке дважды) вместо значения 1 поставьте значение 0.
Если система скажет, что у вас нет прав редактирования реестра, тогда будем разбираться с администратором. :)

Trojan-Spy.Win32.Webmoner.gu
Алиасы
TR/Spy.Webmoner.GU (AntiVir)
Generic9.BFTN (AVG)
Trojan-Spy.Win32.Webmoner.gu (F-Secure)
Trojan-Spy.Win32.Webmoner.gu (Kaspersky)
Trojan.Spy.Webmoner.GU (Webwasher-Gateway)

Встречен в теме
http://forum.oszone.net/thread-101718.html

Файлы на диске
C:\WINDOWS\ntdump.exe
27648 байт
Модифицирует параметр Userinit в реестре
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

Идейку украли... :(

rubin-vinfo, Вы ещё заявите, что securitylab.ru и др. порталы тоже идею украли, данная тема тут с 2004 г.
Кому от этого плохо? Лично вам?

Проблема с почтой на МЭЙЛЕ.РУ у знакомой.
Отправляет письмо, а оно к адресату приходит пустым, и наоборот, от адресатов приходят пустые. Но время от времени кто-то прорывается и успевает ответить, что получил от нее пустышку.
Что бы это могло быть? Червь или просто сервер mail.ru шалит?
Спасибо

После каникул решил комп проверить, нашел около 2-х десятков разных типов троянов. Никому не надо?

Codru, известных - ненадо :) А вот неизвестных давай. Чем проверялся, и что за ужасный антивирус у тебя стоит, если столько пропустил? Не нод32 случаем, а то такие же ситуёвины частенько с ним случаются :(

Я в вирусах нуль, поэтому даю список. Стоял Касперский, но лицензия истекла. В связи с этим в И-нет не выходили (физически отключили), но пока раскошелятся на лицензию, решили установить
Avira AntiVir Personal, несколько дней работали, и решили провериться. Вот результат.

W32/Sality; TR/Dldr.Winlagons.GT; TR/Dldr.Tibs.C.1; TR/Dldr.Mutant.RS ;
TR/Dldr.15280 ; TR/Dldr.Cntr.W.1; TR/Pakes.cjt ; TR/Crypt.ULPM.Gen ;
TR/Crypt.U.Gen ; TR/Crypt.XPACK.Gen; TR/Agent.10752; TR/Agent.25849 ;
TR/Proxy.Small.ND; TR/Agent.25849 ; TR/Downloader.Gen; TR/Drop.Small.bgx ;
TR/Drop.Cutwail.H.8; TR/Dropper.Gen; TR/Monder.91712 ; TR/Vundo.Gen ;
TR/Spy.Gen ; TR/Killwin.AQ ; WORM/Zhelatin.Gen; WORM/Zhelatin.YO.154;
WORM/Zhelatin.YS; WORM/Socks.HE.27; DR/MicroJoiner.Gen ; BDS/Backdoor.Gen ;
96 files were moved to quarantine

Нашли пока НОД32-3.0, по-моему версия 7.0, так что, не стоит его ставить?

Два часа в нете и ни как не могу найти описание вирусов. По всем ссылкам в этой теме пробовал и ни как.
Вот лог Др Веба
инфицирован Trojan.MulDrop.10108
инфицирован Trojan.StartPage.21264
инфицирован Trojan.Zspoof.2
Они были в архивах и я их удалил.

А зачем отключили ? Он и с законченной лицензией (если только не пробная) работает - только не обновляется.

Не знаю, стал приставать, вот и отключили. Кстати было уже еще раньше, когда вынуждены были форматировать ж/диск, правда на другом компе и в другом корпусе (учебном). Хорошо, что основная масса информации дублируется, а текущая хранится еще и на флэшках.
Имеются несколько админов, но они занимаются только лабораторными компами, для них мы в нагрузку, да и не всегда дождешься их. Поэтому и занимаемся самодеятельностью.

Кого? Нод32? Конечно нет! Ставьте лучше 2009-ку каспера, она и удобнее по использованию, для непрофессионалов мире ИТ как вы, и мой брат. Вам нужно разбиратся в том как работают эвристики, хипсы и прочие причиндалы каспера? Нет, тогда он то вам и нужен, потому как в нём это есть, но знать как это работает вам ненадо. Оно просто работает. 2009-ка из разряда поставил и забыл. Максимум - настроить антиспам, что бы лучше ловил спам и пропускал полезную почту. В нод32 нет антиспама к примеру ;)

Может быть mail глючит, а может и вирус. Что бы это выяснить надо вначале попробовать на другом Браузере.

Здравствуйте. Возникла проблема с вирусом. Помогите пож-ста. Есть троян Trojan.Win32.Autoit.fh и Trojan.Win32.Autoit.gc. Кроме того есть сеть из порядка 500 станций. Никак трояна не поймать, удалишь с одного, а он уже на нескольких других сидит. Может не до конца удаляем. Никак не понять откуда он все же берется. Есть возможность какой-нить прогой отследить его активность? Так как до некоторых компов просто физически не добраться.
И описания конкретно на эту разновидность не найти....

Marbog, у меня то же самое. На машинах стоит Symantec Corporate 10.1.6.6000 и Trend Micro Officescan - ни один не ловит...

Можно ли поинтересоватся, что сложило мою систему за одну ночь?
Выключив комп ночью (еще в нормальном состоянии) включил его на следующий день и удивился тому что с панели инструментов пропали все кнопки запущенных приложений. Остался лишь быстрый запуск и раскладка языка. Заранее убедился в том что быстрый запуск не перекрыл панель. Но проблема была не в этом. Позже перезагрузил комп и снова изменения!! На этот раз нельзя было скопировать ни один файл. Команда копирования работает, в команда "вставить" либо же простое перемещение по просту не работают. Еще через малый промежуток времени некоторые приложения стали отказыватся запуститься.

Потом на все плюнул и выключил его до лучших времен.
Что это могло быть?

Система: ХР с установленным KAV 8 + Outpost Firewall Pro 2009 + Ad-Aware. Ну а так же опционально были отключены некоторые критические службы, представляющие собой потенциалную уязвимость.

Честно сказать был в шоке, что могло проскочить..

Восстановление системы работает? Если да, то намёк понят?

В общем у меня такая хрень выскочила lsas.blaster.keylogger .
Комп стал вести себя не понятно, монитор в синем фоне, сам выключается и постоянно появляется какое то предупреждение с этим описанием вируса...
Касперский его не видит, Web тоже...
Как жить с этим дальше, незнаю. Помогите!!! SOS!!!

Бармалей, keylogger'ов Spybot S&D ловит :) . Должен ловить, по крайней мере. Попробуй :) .. Вот, еще кое-что: Как избавиться от Lsas.Blaster.Keylogger , на английском, правда.. Там инструкции по ручному удалению и ссылка на какой-то removal tool.

Бармалей, а лучше сюда , выполнив правила и выложив логи, специалисты их посмотрят.

Переведите пожалуйста описание вируса Symantec.com/security_response/writeup.jsp?docid=2007-080114-2713-99&tabid=2
и вопрос: какие службы нужны для работы инета в Вин 2003, а то начальство совсем заругалось((

Хы.. Скачал щас RemoveIT Pro от 7.10.2009, решил им провериться ради интереса.. Быстрый скан выявил 28 вирусов.
Меня такой результат, признаться, смутил. Решил провериться другими антивирями. Просканировал стоявший первым в списке зараженных explorer.exe (в котором, если верить RemoveIT, сидит Win32.Unknown.Random.X) на http://www.virustotal.com и http://www.virscan.org . Norman c базами за 2009-08-03 нашел W32/Obfuscated.H!genr, тот же Norman c базами за 2009.10.12 не нашел ничего.. Проверяю щас файлик npds.zip в папке с Виндовс Медиа Плеером, он в списке зараженных последний..
virustotal.com не нашел ничего, virscan.org тоже.
Что-то сомневаюсь я в этом антивирусе. Хотя где-то здесь читал, что на различных сайтах по безопасности о нем неплохо вроде отзывались..
Попытался пролечить npds.zip (с ним еще что-то вроде бы пролечилось, видать, не все галки снял - написало, что 2 файла очищены), все действия промониторил Process Monitor'om. Лог прилагается. Если у кого найдутся лишние пару минут, мож, посмотрите, - интересно мне, действительно ли RemoveIT вылечил. Да и чего он там делал вообще..

Вот :) . Рекомендации переводить не стал, там просто общие советы. P.S. 100-процентной точности твердо гарантировать не могу :) ..
Обнаружен: 1 августа 2007
Известен как: Dung.A [Panda Software], W32/VB-DZE [Sophos], W32/VB-DGA [Sophos], WORM_SOHANAD.DR [Trend]
Тип: Червь
Размер кода: 57,344 байт
Заражению подвержены: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

При запуске червь создает следующие файлы:
%Windir%\Help\Other.exe
%Windir%\inf\Other.exe
%Windir%\system\Fun.exe
%System%\config\Win.exe
%System%\WinSit.exe
%Windir%\dc.exe
%Windir%\SVIQ.EXE
%System%\NWB.dat
C:\PNga.txt

Затем прописывает в реестр (в автозапуск) ключи:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc2k5" = "C:\WINDOWS\SVIQ.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Fun" = "C:\WINDOWS\system\Fun.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"run" = "C:\WINDOWS\system32\config\Win.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\system32\WinSit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "C:\WINDOWS\inf\Other.exe"

Также копирует себя на все съемные устройства и на каждый локальный диск, копия имеет такое же имя, как и папка, в которой лежит. Также копия вируса имеет иконка папки, что по идее должно сбить с толку пользователя и заставить его запустить вирус. Пример:
[буква диска]:\temp\temp.exe

Червь добавляет в файл %Windir%\wininit.ini, в раздел [rename], строку:
NUL=C:\ WINDOWS\Help\Other.exe

Вирус распространяется рассылкой сообщений всем онлайн-контактам Yahoo! Instant Messenger. Текст может быть в одном из следующих вариантов:
[http://]dungcoivb.googlepages.com/FUN[REMOVED]
Olalala, may tinh cua ban da dinh Worm DungCoi...........

Если было отправлено второе сообщение, - червь пытается переслать себя непосредственно контакту; в первом же случае - присылает ссылку на себя.

Извините,но не открывает вашу ссылку,я с телефона сижу может поэтому.Этот вирус(fun.exe) может остановил какие службы необходимые для инета в win 2003? Мне важно знать какие службы нужны для инета.

Nayan, давай на ''ты'' только :) . Пост я отредачил свой, можно читать :) . Если вирус чего-то напортил, лучше создай тему в разделе лечения от вредноносных программ и выложи логи свои.

давай добьем проблему тут же.
Получается этот вирус ничего не меняет в настройках сети и оборудования? начальство притащило свое оборудование - все заработало, всё и вся обвиняет меня в этом недуге((( вирус удален, никаких ключей описанных выше в реестре не наблюдается. короче все работало как работает окромя тырнета.

Nayan, существуют ведь десятки причин, по которым может не работать интернет :) . Как с ПО, так и с оборудованием. На случай, если проблему создал вирус, обратись в раздел лечения, вот рекомендации.