Trojan-PSW.Win32.LdPinch.r aka Bloodhound.W32.EP

Дата: Среда, 19-Мар-2008, 14:16:43 | Сообщение # 1

Группа: Удаленные

НЕ видится большинством антивирусов. Мегапопулярный НОД пропускает без каких-либо возражений.
Троянец собирает сведения о системе, а также логины и пароли для различных сервисов и прикладных программ, в том числе AOL Instant Messenger и ICQ. Собранная информация отправляется на электронный адрес злоумышленника.
Trojan-PSW.Win32.LdPinch.rn выгружает из системы различные межсетевые экраны и антивирусные программы.

Затем с украденных "асек" рассылается следующее сообщение:

Code

Привет, смотри!!!
http://koharapayl.com/datas/videosimg/top/
( http://koharapayl.com/datas/videosimg/top/TheBestFebruary.zip )
Классная вещь!

Только что "отбил", вовремя сменив пароль, красивый семизнак своей девушки.

Будьте внимательны и осторожны.
Эвристический анализ рулит. Каспер, веб, симантек - видят как троян, но в базе его не имеют.

pushkin42

Дата: Среда, 19-Мар-2008, 16:12:42 | Сообщение # 2

Куровод, садист-укладчик

Группа: Администраторы

Сообщений: 1969

Награды: 9

Репутация: 36

Сеть: Гибридная

Количество машин:: 226

Cтрана: Российская Федерация

Город: Самара

Статус: Offline

Видится SpyWareTerminator + ClamAV
Вчера только лечил этот вирус у подруги.
С успехом удаляется, после чего нужно сделать восстановление разделов реестра Folder, Directory и Drive со здоровой машины.

Не видится антивирусами
Потому что троян, а не вирус. Это естественно.

ЗЫ: Надо бы пожаловаться на этот сайт Касперскому, авось прикроют?

Работаю за плюсики в репутацию и за пиво.

Ремонт компьютеров в Самаре

Сообщение отредактировал pushkin42 - Среда, 19-Мар-2008, 16:14:43

Recluse

Дата: Среда, 19-Мар-2008, 16:29:12 | Сообщение # 3

Группа: Удаленные

pushkin42, каспер-то видит smile

З.Ы. сам сайт вполне безобиден - музыканты, понимашь smile

Отписал им на единственный контактный мейл на сайте.

Positive

Дата: Четверг, 20-Мар-2008, 08:55:31 | Сообщение # 4

Действительный статский советн

Группа: Проверенные

Сообщений: 514

Награды: 0

Репутация: 5

Замечания: 0%

Сеть: гибридная

Количество машин:: 188

Город: Донецк

Статус: Offline

Ой, баюся я, что этот сайтец ломанный и музыканты - обыкноевенная подстава, чтобы хостер ничего не заподозрил. При том зачем этому самомоу хостеру проверять что там изменяется в папках datas на хостинге. Обыкновенная подстава.

Сисадмин конфеты и шоколад не пьет.

pushkin42

Дата: Четверг, 20-Мар-2008, 08:58:28 | Сообщение # 5

Куровод, садист-укладчик

Группа: Администраторы

Сообщений: 1969

Награды: 9

Репутация: 36

Сеть: Гибридная

Количество машин:: 226

Cтрана: Российская Федерация

Город: Самара

Статус: Offline

Positive, такой папки может и не быть... А пароль от ftp спереть из IE как два пальца об асфальт. Да и у некоторых хостеров защиты от sql-инъекций никакой...

В общем - осторожность и антивирус на шлюзе не помешают...

Работаю за плюсики в репутацию и за пиво.

Ремонт компьютеров в Самаре

Grover

Дата: Пятница, 05-Июн-2009, 03:24:23 | Сообщение # 6

Коллежский секретарь

Группа: Пользователи

Сообщений: 6

Награды: 0

Репутация: 0

Замечания: 0%

Cтрана: Российская Федерация

Статус: Offline

Пинчуга уже лечится достаточно давно проактивно. Т.е. все дальнешие модификации касперским даже если и не знаются по сигнатурам, то он их всё равно видит с помоью правила в проактивной защите.

Recluse

Дата: Среда, 29-Июл-2009, 03:42:43 | Сообщение # 7

мАниАг

Группа: Проверенные

Сообщений: 381

Награды: 0

Репутация: 2

Замечания: 0%

Сеть: Samba PDC

Количество машин:: 150

Cтрана: Российская Федерация

Город: Fishburg

Статус: Offline

Grover, вы бы на дату посмотрели (: