Zaloguj się

**zord** · 31.10.2011, 18:03

alex1155 napisał(a):a ma moze ktos z was jakis inny link do tego rotkita , bo podany tu mi sie nie laduje?

prosze bardzo hasło sg

[Aby zobaczyć linki, zarejestruj się tutaj]

31.10.2011, 18:13

zord napisał(a):
alex1155 napisał(a):a ma moze ktos z was jakis inny link do tego rotkita , bo podany tu mi sie nie laduje?

prosze bardzo hasło sg

[Aby zobaczyć linki, zarejestruj się tutaj]

Dziekuję.

morphiusz · 31.10.2011, 18:23

Dobra, dałem spokój i zrobiłem format. Dzięki kamil za wrzutkę.

Co ciekawe, gdy szukasz jakiegoś narzędzia do usunięcia ZA przekierowuje Cię na fake YT z jakimś filmikiem i karze pobrać flash playera.
Flash player to plik diskscan.bat
Po uruchomieniu system się zawiesza, po restarcie jest wręcz zniszczony. Pousuwałmi połączenia sieciowe, wyłączył podstawowe funkcje systemu itd.
Co za zemsta Wink

**tachion** · 31.10.2011, 18:45

nie źle coraz to bardziej skuteczniejsze gadziny

31.10.2011, 19:04

morphiusz napisał(a):Dobra, dałem spokój i zrobiłem format.

Ty to jesteś dopiero samobójca, odpalać takie ścierwa na fizycznym.

Flash999 · 31.10.2011, 19:28

Wooooh, prawie i bym się tym zainfekował Smile2

<!-- s

-->.

31.10.2011, 19:35

Flash999 napisał(a):AutoSandbox to wykrył i anulowałem otwieranie  .

No Avast stoi na straży i bardzo dobrze.

Flash999 · 31.10.2011, 19:41

Na szczęście, w tym przypadku zadziałał. Pewnie przy pobieraniu z poprzedniego linku i otworzeniu zareagował by - otworzył by w Sandboxie i zmniejszył skutki infekcji, lub przy dużym szczęściu wszystko by zostało w piasku.

polak900 · 31.10.2011, 21:36

niezły badziew, ma bardzo łebskiego twórce

**tachion** · 31.10.2011, 22:49

wlaśnie sprawdziłem na wirtualu emsi i pctoolsa firewalla zareagowal ale co z tego jak i tak system został zainfekowany,ani pctoolsa ani emsi nie idzie odpalić Grin

aj cofam to odpaliło się normalnie nie ma w procesach nic troche dłużej trwało ale odpaliło czyli widać że badziew musi miEć połączenie z siecią inaczej ZA się nie ładuje

[Aby zobaczyć linki, zarejestruj się tutaj]

sprawdziłem samego emsi bez zapory też sobie z tym radzi

**zord** · 31.10.2011, 23:11

Endpoint na szczęście sobie radzi

[Aby zobaczyć linki, zarejestruj się tutaj]

po przywruceniu z kwarantanny blokuje SONArem

[Aby zobaczyć linki, zarejestruj się tutaj]

morphiusz · 31.10.2011, 23:37

I ponownie malware szalejący w Rumunii (na forum w malware lab [niewidoczny dla smiertelnikow]jest właśnie Rumun, który zamieszcza nowinki) Grin

Treść widoczna jedynie dla zarejestrowanych użytkowników

01.11.2011, 00:35

Jakie hasło do pliku?

Waves · 01.11.2011, 09:09

morphiusz napisał(a):Uwaga!
Zrobiłem test tego nowego zagrożenia z facebooka.
Mała analiza i wnioski są rozpaczliwe:

1. Poprzednia wersja tego zagrożenia realizowała złośliwe zadania, na które głownie składały się:
- usunięcie programu zabezpieczającego z systemu,
- zmiana pliku hosts i blokowanie dostępu do facebook.com
- obecność kilku złośliwych procesów,
- unieszkodliwianie instalacji softu zabezpieczającego,

Wygląda, że nowa wersja jest na 100% powiązana z rootkitem ZeroAccess.
Albo: oprócz swoich poprzednich zadań pobiera ZeroAccessa.

Jest to rodzaj jakiejś symbiozy - ZA ochronia facebookowego wirka przed usunięciem, a facebookowy wirus zapewnia mu popularność (łatwe rozprzestrzenianie via facebook).

Jak przystąpiłem do testu:
1. Na realnej maszynie uruchomiłem plik (byłem spokojny na pokładzie z CTM, nie miałem zainstalwoanego CISa),
2. KillSwitch pokazywał 2 złośliwe procesy,
3. Uruchomiłem ponownie system - KillSwitch i aż około 8 złośliwych procesów,
4. Nagłe zamknięcie i zniszczenie KilSwitcha,
5. Uruchomiłem CCE pod Aggressive Mode - uruchomił się (mówie sobię: victoria).. aktualizacja poszła gładko, wykrył 12 zagrożeń gdy nagle się wyłączył.
6. To już zadziałało na mnie alarmująco: jaki proces przetrwał Aggressive Mode i zabija programy zabezpieczające: ZeroAccess!
7. Restart systemu i charakterystyczny proces dla ZA (załączony).

Podsumowując: Nowe zagrożenie rozprzestrzeniane via Facebook stanie się masakrycznie trudne do usunięcie poprzez unieszkodliwianiekażdorazowo softu zabezpieczającego przez osłoniającego rootkita.

Jeeeee...

Teraz wszelkie problemy rozwiąże format.

morphiusz · 01.11.2011, 10:09

andrzej76 napisał(a):Jakie hasło do pliku?

hasło: 123

jasiekkidawa · 01.11.2011, 15:11

Wykrywany jest zaledwie przez kilka AV -

[Aby zobaczyć linki, zarejestruj się tutaj]

Waves · 01.11.2011, 15:16

Można prosic o re-upa wirusa z Fejsbuka? Link wygasł a chciałbym coś sprawdzić.

morphiusz · 01.11.2011, 15:25

Tu jest

[Aby zobaczyć linki, zarejestruj się tutaj]

Borzuck · 01.11.2011, 17:10

Będzie dziś jakaś paczka? ;>

morphiusz · 01.11.2011, 17:14

Wstawię paczkę, a że jestesm leniwy to będzie ta z rodzaju ekstremalnych.

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie