Журнал Андрея Мальгина

Журнал Андрея Мальгина - Что за дела?

[Recent Entries][Archive][Friends][User Info]

May 24th, 2007

01:55 pm

[Link]

Что за дела?
При попытке отредактировать список друзей вчера на домашний ноутбук загрузилась троянская программа Troyan-Downloader.Win32.Small.cyn. Утром случилось то же самое на служебном компьютере.
Касперским не лечится.
Список друзей не редактируется, система зависает полностью. Домашний стрим вырубается полностью вплоть до звонка в техподдержку, где связь восстанавливают, сообщая, что предыдущий сеанс был завершен некорректно (было два раза за сутки).
Как я понимаю, СУП наградил нас специальным трояном (судя по названию). Не в том смысле, что СУП ее разработал, а просто разработчик стебается над СУПом.

Imported event Original

(11 комментариев | Оставить комментарий)

Comments

From:	alextr98@lj
Date:	May 24th, 2007 - 05:43 am

(Link)

А мне с polit.ru лезет boot32.exe

(Reply to this)

From:	advokataptekman@lj
Date:	May 24th, 2007 - 05:49 am

Troyan-Downloader.Win32.Small.cyn

(Link)

SUP не стал бы свой вирус своим именем подписывать. Это происки кремляди из гэбни.

(Reply to this) (Thread)

From:	selous@lj
Date:	May 24th, 2007 - 06:08 am

Re: Troyan-Downloader.Win32.Small.cyn

(Link)

точно. это Путин сам написал! вы в туалет не боитесь ходить? вдруг они и там!!!

(Reply to this) (Parent) (Thread)

From:	advokataptekman@lj
Date:	May 24th, 2007 - 07:26 am

Re: Troyan-Downloader.Win32.Small.cyn

(Link)

тхахххаххаааххх... ага, фсартири, мутин :))) прийомчиком дзйьу=до :)))

(Reply to this) (Parent)

(no subject) -

avmalgin@lj

From:	advokataptekman@lj
Date:	May 24th, 2007 - 08:06 am

Re: Troyan-Downloader.Win32.Small.cyn

(Link)

А мне кажется, к ним это вовсе никакого отношения не имеет. Уж слишком слабо верится, что там работают непрофессионалы, в частности в области сетевой гигиены.

(Reply to this) (Parent)

From:	avmalgin@lj
Date:	May 24th, 2007 - 06:17 am

Re: Troyan-Downloader.Win32.Small.cyn

(Link)

Триппер тоже люди разносят безо всякого злого умысла.

(Reply to this) (Parent) (Thread)

From:	scaredy_cat_333@lj
Date:	May 25th, 2007 - 03:37 am

Re: Troyan-Downloader.Win32.Small.cyn

(Link)

Полгода назад выкинул последний Win32 ящик. Мак, может, и не настолько perfect, как его апологеты изображают, но все же гораздо приятней. На вид, на ощупь и по жизни. И вот этого ужаса - вирусов и антивирусов (я бы даже антивирусы по степени ужасности - вперед поставил) там нету и не предвидится.

(Reply to this) (Parent)

From:	sasha_bogdanov@lj
Date:	May 28th, 2007 - 02:31 pm

начни с avast!

(Link)

начни с avast!

(Reply to this) (Parent)

From:	graf_vovan@lj
Date:	May 24th, 2007 - 06:08 am

Он?

(Link)

http://www.z-oleg.com/secur/virlist/vir1250.php

Видимые проявления: В память всех процессов подгружается systw07.dll

Троянский загрузчик, выполнен в виде библиотеки, размер 4 кб, не сжат. Загружается в память процессов при помощи стандартного механизма, основанного на использовании ключа реестра AppInit_DLLs. Обнаруживается искателем троянских DLL и микропрограммой анализа AppInit_DLLs AVZ.
Исследованный образец находился в папке system32, имя файла - systw07.dll. Известен ряд других вариантов имени, в частности win_01.dll, tmp_h7.dll, win_kv.dll, svch5.dll, systw.dll, systw2p.dll.
В момент загрузки DLL выполняет следующие действия:
1. Создает мьютекс "WhAtTheFuck" для контроля своего присутствия в памяти. Если мьютекс с данным именем уже существует, то библиотека ничего не делает. Если не существует – то создается поток.
2. Поток содержит небольшую процедуру-дешифратор, которая расшифровывает фрагмент машинного кода размером 282 байта, находящийся непосредственно после кода дешифратора. Расшифрованный код выполняет загрузку исполняемого файла с сайта sharedfreehosting.com при помощи стандартной функции URLDownloadToFileA с сохранением файла под именем WINDOWS\system32\svchs.exe. После загрузки файл запускается.
На момент исследования URL загрузки был недоступен.

(Reply to this)

From:	kruto_popadalov@lj
Date:	May 24th, 2007 - 06:10 am

(Link)

http://www.z-oleg.com/secur/avz/ попробуйте этим. хорошая штука

Trojan-Downloader.Win32.Small.cyn

Rootkit: Нет
Видимые проявления: В память всех процессов подгружается systw07.dll

Троянский загрузчик, выполнен в виде библиотеки, размер 4 кб, не сжат. Загружается в память процессов при помощи стандартного механизма, основанного на использовании ключа реестра AppInit_DLLs. Обнаруживается искателем троянских DLL и микропрограммой анализа AppInit_DLLs AVZ.
Исследованный образец находился в папке system32, имя файла - systw07.dll. Известен ряд других вариантов имени, в частности win_01.dll, tmp_h7.dll, win_kv.dll, svch5.dll, systw.dll, systw2p.dll.
В момент загрузки DLL выполняет следующие действия:
1. Создает мьютекс "WhAtTheFuck" для контроля своего присутствия в памяти. Если мьютекс с данным именем уже существует, то библиотека ничего не делает. Если не существует – то создается поток.
2. Поток содержит небольшую процедуру-дешифратор, которая расшифровывает фрагмент машинного кода размером 282 байта, находящийся непосредственно после кода дешифратора. Расшифрованный код выполняет загрузку исполняемого файла с сайта sharedfreehosting.com при помощи стандартной функции URLDownloadToFileA с сохранением файла под именем WINDOWS\system32\svchs.exe. После загрузки файл запускается.
На момент исследования URL загрузки был недоступен.

(Reply to this)

From:	sasha_bogdanov@lj
Date:	May 28th, 2007 - 02:28 pm

у меня была аналогичная история, когда был конфликт с м

(Link)

у меня была аналогичная история, когда был конфликт с модераторами на ru_politics. Пост трижды снимали за 12 строчек ссылок, забанили с гордостью, посылали как хотели и куда хотели... Когда я пытался после этого зайти в свой жж браузер обрывался, компьютер зависал и потом пришлось поставить антивирусное обеспечение, которое зачищало систему от множества вирусов.
Управы никакой не найти. Хуже "кровавой гэбни" - просто цензура и издевательство в жж!

(Reply to this)