Author Topic: Вирус Url:Mal  (Read 18475 times)

0 Members and 1 Guest are viewing this topic.

Offline Dim@rik

  • Advanced Poster
  • **
  • Posts: 670
Re: Вирус Url:Mal
« Reply #45 on: February 29, 2012, 10:16:40 PM »
Ну не факт....

Добавлен в базу как Win32:Crypt-LQQ [Trj]

https://www.virustotal.com/file/5e111f1509c9e534e9234678b55ac499d294f59526d439a3e1fd5bb034e3e8d8/analysis/1330523874/

http://habrahabr.ru/company/eset/blog/137309/
http://www.upweek.ru/bitdefender-carberp.html

Ок...ок  ;)

Пусть с Локером я загнул ;) но функционал Downloader в нем присутствует.

Code: [Select]
После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули.


Microsoft   TrojanDownloader:Win32/Carberp.A   

NOD32   Win32/TrojanDownloader.Carberp.AF

Offline Severnyj

  • Full Member
  • ***
  • Posts: 103
  • AIS user
Re: Вирус Url:Mal
« Reply #46 on: March 01, 2012, 06:31:12 AM »
Ок...ок  ;)

Пусть с Локером я загнул ;) но функционал Downloader в нем присутствует.

Code: [Select]
После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули.

Microsoft   TrojanDownloader:Win32/Carberp.A   

NOD32   Win32/TrojanDownloader.Carberp.AF

Следует заметить последние версии трояна используют буткит составляющую для сокрытия себя в системе (инжект идет напрямую в svchost.exe или explorer.exe - по косвенным признакам можно определить что Аваст постоянно выдает предупреждения url.mal), поэтому для лечения нужно попробовать:
  • Сканирование на руткиты в Avast
  • Сканирование утилитой aswMBR
  • Сканирование утилитой TDSSKiller

Offline Dim@rik

  • Advanced Poster
  • **
  • Posts: 670
Re: Вирус Url:Mal
« Reply #47 on: March 01, 2012, 03:08:58 PM »
Ок...ок  ;)

Пусть с Локером я загнул ;) но функционал Downloader в нем присутствует.

Code: [Select]
После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули.

Microsoft   TrojanDownloader:Win32/Carberp.A   

NOD32   Win32/TrojanDownloader.Carberp.AF

Следует заметить последние версии трояна используют буткит составляющую для сокрытия себя в системе (инжект идет напрямую в svchost.exe или explorer.exe - по косвенным признакам можно определить что Аваст постоянно выдает предупреждения url.mal), поэтому для лечения нужно попробовать:
  • Сканирование на руткиты в Avast
  • Сканирование утилитой aswMBR
  • Сканирование утилитой TDSSKiller

Да...этот семпл скрытый, в логе HJ его не было видно, мало того он скрывает все файлы на диске C:/ , я просил пользователя просканить TDSSKiller, но утилита ни чего не нашла. В общем интересный семпл.