Понедельник начался весело - с утра от знакомых поступило уже три сообщения о новом вирусе.Симптомы: на всех сайтах, к которым прописан пароль на FTP в TotalCommander, появились посторонние яваскрипт и и-фрейм вставки, загружающие на компьютер зашедшего на эти сайты юзера вирусный код. Изменения файлов index.* датированы второй половиной вчерашнего дня. Никаких предупреждений установленные антивирусные программы не выдавали, в логах ничего подозрительного.
читать дальшеАнамнез: на компьютерах установлены:
1. Антивирус касперского (последняя версия + ежедневное обновление)
2. Доктор Веб (последняя версия + ежедневное обновление) + Аутпост
3. Аваст (последняя версия + ежедневное обновление) + Аутпост
Исполнительный файл вируса: _traffurl.ru/sliv/load.exe (НЕ СКАЧИВАЙТЕ, ЕСЛИ НЕ УВЕРЕНЫ В НАДЕЖНОСТИ СВОЕЙ АНТИВИРУСНОЙ ЗАЩИТЫ!)
Диагноз: win32.injector.M (по версии ESET)Опасность: Высокая - пароли уходят неизвестно куда (предположительно, на _zes.jino-net.ru) + гугл помечает ваш сайт как способный нанести вред посетителям.
Диагностика:
1. АВАСТ - не обнаруживает.
2. Др.Веб (утилита cureit, скачанная только что) - не обнаруживает.
3. Касперский антивирус с последними базами - не обнаруживает + онлайн-проверка на сайте www.kaspersky.ru/scanforvirus вышеуказанного файла говорит "ОК. В проверяемом файле вирусов не обнаружено."
Лечение: установлен NOD32v2.5, до обновления баз вирус был обнаружен эвристическим анализатором. Заменены все пароли к FTP-доступу, причем на нескольких сайтах пароли уже были сменены злоумышленником.
Результат сканирования исполняемого файла вируса на www.virustotal.com
| Антивирус |
Версия |
Обновление |
Результат |
| AhnLab-V3 |
2008.2.4.10 |
2008.02.04 |
- |
| AntiVir |
7.6.0.61 |
2008.02.01 |
DR/Delphi.Gen |
| Autdentium |
4.93.8 |
2008.02.03 |
- |
| Avast |
4.7.1098.0 |
2008.02.03 |
- |
| AVG |
7.5.0.516 |
2008.02.03 |
- |
| BitDefender |
7.2 |
2008.02.04 |
Trojan.PWS.LdPinch.AKX |
| CAT-QuickHeal |
9.00 |
2008.02.01 |
- |
| ClamAV |
0.92 |
2008.02.04 |
- |
| DrWeb |
4.44.0.09170 |
2008.02.03 |
- |
| eSafe |
7.0.15.0 |
2008.01.28 |
- |
| eTrust-Vet |
31.3.5509 |
2008.02.04 |
- |
| Ewido |
4.0 |
2008.02.03 |
- |
| FileAdvisor |
1 |
2008.02.04 |
- |
| Fortinet |
3.14.0.0 |
2008.02.04 |
- |
| F-Prot |
4.4.2.54 |
2008.02.03 |
- |
| F-Secure |
6.70.13260.0 |
2008.02.04 |
- |
| Ikarus |
T3.1.1.20 |
2008.02.04 |
Virus.Win32.Zapchast.DA |
| Kaspersky |
7.0.0.125 |
2008.02.04 |
- |
| McAfee |
5221 |
2008.02.01 |
- |
| Microsoft |
1.3204 |
2008.02.04 |
VirTool:Win32/DelfInject.gen!AA |
| NOD32v2 |
2845 |
2008.02.02 |
a variant of Win32/Injector.M |
| Norman |
5.80.02 |
2008.02.01 |
- |
| Panda |
9.0.0.4 |
2008.02.03 |
- |
| Prevx1 |
V2 |
2008.02.04 |
- |
| Rising |
20.29.22.00 |
2008.01.30 |
Trojan.DL.Win32.Agent.bxw |
| Sophos |
4.26.0 |
2008.02.04 |
Mal/Dropper-T |
| Sunbelt |
2.2.907.0 |
2008.02.02 |
- |
| Symantec |
10 |
2008.02.04 |
- |
| tdeHacker |
6.2.9.208 |
2008.02.04 |
- |
| VBA32 |
3.12.6.0 |
2008.02.03 |
- |
| VirusBuster |
4.3.26:9 |
2008.02.03 |
- |
| Webwasher-Gateway |
6.6.2 |
2008.02.03 |
Trojan.Dropper.Delphi.Gen |
| Дополнительная информация |
| File size: 36864 bytes |
| MD5: 0f581f2a05e93f00f93b7a9d9b34e768 |
| SHA1: fd3b74e6a4882e70b9a536ef8e2767365103e21c |
| PEiD: - |