Странен файл, получен по пощата

[Midex]

Днес направих една глупост поради разсеяност. По принцип никога не съм правил такава тъпотия, а директно съм трил получения файл, но понеже се събраха няколко неща едновременно и бях разсеян, та затова се получи така...

Става дума, че между останалите писма в пощата ми имаше следното писмо:

 

 

United Parcel Service notification

 

Dear customer.

 

The parcel was sent your home address.

And it will arrive within 7 business day.

 

More information and the tracking number are attached in document below.

 

Thank you.

© 1994-2011 United Parcel Service of America, Inc.

 

 

И тъй като имам доста поръчани неща, които чакам да пристигнат, не ми направи някакво особено впечатление. Към писмото имаше прикачен файл, който беше в ZIP формат. Сканирах за вируси ZIP-а и нямаше нищо. Разархивирах го и вътре имаше файл с иконката на Акробат рийдъра. Точно в този момент обаче ми звънна телефона и докато говорех и си уговарях срещата с човека, който ми се беше обадил, междувременно цъкнах на файла, без да забележа, че завършва на окончание .exe - по-скоро го забелязах 1 секунда, след като вече бях цъкнал върху него. В следващата секунда нямаше никаква реакция, освен, че файлът се самоизтри. Веднага пуснах пълен скан на C-дяла, както и на друг дял, на който също имам друга операционна система. Докато чаках да се сканират дяловете погледнах в старт-ъпа да не се е качило нещо - нямаше ; пуснах процесите да видя дали няма нещо подозрително - нямаше ; разгледах в регистрите да няма нещо ново самостартиращо се - нямаше...пълна мистерия. Отново разархивирах това .exe, пак го сканирах - нищо...отворих го в Ноут-пада, но не разбрах много (по-скоро почти нищо) от малкото текстова информация покрай останалите маймунки...

И тъй като засега нямам последствия по системата, а също и не забелязвам да има допълнителен изходящ или входящ трафик - някой от нашите форумни гурута ако може да го погледне тоя файл с някакъв редактор и да ми каже какво точно прави - файлът е малък, 15 килобайта и ще го пратя на всеки, който прояви желание да го разгледа.

 

Нарочно пуснах отделна тема, защото и на друг може да се случи да получи подобно писмо, а с тия файлове трябва да сме много внимателни и да сме наясно какво всъщност правят. Иначе принципът е - никога не правете като мен да цъквате върху EXE-та, колкото и да сте разсеяни в момента!

 

 

Edit: Междувременно разбрах малко по въпроса, но там не се описва какво точно прави този файл, а само ти казват да не правиш това, дето аз направих....

[plameni]

Късметлия!

 

Може би си сред първите получили файла и още няма ъпдейт за него в антивирусните . .

[Midex]

Може би си сред първите получили файла и още няма ъпдейт за него в антивирусните . .

 

Не съм от първите...

[tedy]

В "заменима" виртуална система се пуска файла и с Process Monitor се гледа какво прави. Принципно.

[lil_stenly]

Ако го пазиш тоя архив, прати ми го... ще го погледна да видя к'во прави.

[Midex]

В "заменима" виртуална система се пуска файла и с Process Monitor се гледа какво прави. Принципно.

 

И как точно да го видя без необходимия инструмент, при положение, че и във виртуалната система EXE-то ще се самоизтрие отново...

 

Между другото през това време забелязах 2 новопоявили се файла. Единият беше в \Local Settings\Temp\lol2.exe, а другият в Documents and Settings\All Users\Application Data\kPoFdEkFiOf18101\kPoFdEkFiOf18101.exe. И тъй като ми се сториха доста съмнителни се опитах да ги изтрия, но не стана...след това се опитах да ги отблокирам с програма и пак да ги изтрия, но и програмата не успя и дадох опция при следващия рестарт да се изтрият. Рестартирах под сейф-мод, но зацепи до едно място и дотам. Ресетнах и рестартирах с последните валидни регистри, зареди без проблем, след това пуснах в търсачката горните 2 файла, но вече ги нямаше. Засега всичко си е ОК, но продължавам да наблюдавам за необичайни действия от страна на операционната, браузера и т.н.

 

@Станиславе, ще ти го пратя до няколко минути на ЛС.

[simens123]

Ето как го определя VirusTotal, a Dr.Web: Trojan.DownLoader2.2977 , Според Др.Веб :Trojan.DownLoader2.2977 /Крадци на банкови акуанти/

Некоторые из троянцев этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2. В качестве дополнительной «нагрузки» троянцы имеют функции «лоадеров» и скачивают поддельные антивирусы (Trojan.FakeAlert), а также программы скрытого удаленного администрирования (BackDoor).

Не е лошо и да се сканира с Malwarebytes' Anti-Malware.

[tedy]

С каквото и да сканира, съмнението ще остане до преинсталация, защото никога не може да е сигурен че ако е влязло нещо, ще бъде изчистено/изтребено до крак.

Затова аз толкова ревностно се пазя.

[lil_stenly]

Тук Теди е прав, направо преинсталирай, ще изгубиш всички неща в хисторито и подобни на броузъра, обаче според мен няма как да бъдеш сигурен, че си го премахнал, опитах се ръчно да изтрия всичко и след сравняване на регистрите и файловете в кеша, пак имаше модифицирани неща.

 

Може да изтриеш всичко, ако изчистиш от регистрите шел екзекют за видовете файлове и си изтриеш цялата информация от броузъра, заедно с другите свалени файлове и записаните прокси настройки от регистрите. Ама дори и тогава няма как да бъдеш сигурен, а като се има на предвид, че файловете и ключовете се генерират с рандом имена на незнаен от мен прицип до момента, ще трябва да триеш каквото ти падне.

 

То тогава по-добре преинсталирай направо.

 

Какво реално прави.

Записва в кеша, хисторите и куукиес на броузъра линии, който един вид симулират, че вече си посетил заразен сайт, добавя някакви джава скриптове всеки път към и променя прокси настройките на броузъра за да може да подсигури пътека за всичко останало което се сваля, записва един ключ в регистрите, които служи за отваряне на хелп файловете... така какъвто и хелп документ да отвориш или линк вероятно пренасочва.

Не сваля никакви файлове и нагледно не извършва съмнителна дейност, обаче броузъра ти е един вид заразен и след това, когато има активна интернет връзка, се свалят разни работи с различни имена откъдето падне.

А, самият файл се разпакетира, променя тези неща и се изтрива след пускането му. И това става защото файлчето не съдържа нищо опасно, лист с проксита, няколко функции (на макро принцип) и автоматично записва няколко регистри ключа, затова антивирусните не го засичат, а броузъра ти има достъп да пише файлове, има отворен порт и е добавен в листатана защитната стена, за това изащитната стена при мен пропуснада ме предупреди за случващото се.

 

Ако мислиш, че има решение от това, тогава пробвай се да чистиш, аз смятам, че реинсталацията е единствената опция,освен ако нямаш бакъп на операционната система за да го заредиш.

[Midex]

Близо 10 години успявах да се опазя от всякакви гадости...от време на време Нортън триеше автоматически по някой и друг троянец и дотам, ама от '.exe', което сам си го стартираш няма кой да те спаси.

 

Не е лошо и да се сканира с Malwarebytes' Anti-Malware.

 

Сканирах и ето резултата:

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 1

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 2

Memory Processes Infected:

(No malicious items detected)

Memory Modules Infected:

(No malicious items detected)

Registry Keys Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Registry Values Infected:

(No malicious items detected)

Registry Data Items Infected:

(No malicious items detected)

Folders Infected:

(No malicious items detected)

Files Infected:

\documents and settings\me\local settings\temporary internet files\Content.IE5\4NIPOLW7\lol2[1].exe (Trojan.FakeAlert) -> No action taken.

\documents and settings\me\application data\cglogs.dat (Malware.Trace) -> No action taken.

 

Изтрих намерените неща и се надявам това да са били единствените остатъци.

 

С каквото и да сканира, съмнението ще остане до преинсталация, .....

 

От години не правя преинсталации, а само снимки и не ми пречи да върна предишната, но няма да го правя, защото на друг дял имам по-нова инсталация, която смятам да ползвам вместо тази, която е от доста години и вече е време да бъде затрита изцяло.

 

 

@Стенли, благодаря ти за информацията!

 

 

П.П. А между другото IE не ползвам изобщо.

[w00x]

С каквото и да сканира, съмнението ще остане до преинсталация, защото никога не може да е сигурен че ако е влязло нещо, ще бъде изчистено/изтребено до крак.

Затова аз толкова ревностно се пазя.

 

Ами ако се отдели около 1 час (ако знаеш къде да гледаш) може и да се изчистят регистрите и файловете и да се заличи инфекцията.

 

@Midex: не рестартирай докато не се увериш, че всичко е наред. И си провери WIndows/System32/drivers за наскоро модифицирани или добавени, и подозрителни *.sys файлове. Може да ти е свалило рууткит. Тогава колкото и да триеш, само ще си губиш времето.

 

В Task Manager нищо не можеш да видиш освен очевидните работи. Повечето вируси се закачат към нормалните файлове и не се виждат.

 

Днес имах един човек с редирект на браузъра, дето имаше един закачен dll към svchost.exe. Dll-а беше направен системен и ми отне 10 минути докато разбера как да го изтрия без да рестартирам компютъра и да влизам под сейф моуд.

Инфекцията може да се лепне навсякъде. А колкото до изтриването, повечето се изтриват след като се активират.

 

Обикновенно такива вируси, дето модифицират разни настройки, за да следят браузърите, се закачат само към Internet Explorer, защото неговите настройки са най-лесно достъпни. Другите браузъри можеш да си ги сложиш където си искаш и то няма как да предположи. Ако се следи друг браузър различен от IE, значи има файл, който е зареден в паметта и прави мизерията.

[Midex]

Обикновенно такива вируси, дето модифицират разни настройки, за да следят браузърите, се закачат само към Internet Explorer, защото неговите настройки са най-лесно достъпни. Другите браузъри можеш да си ги сложиш където си искаш и то няма как да предположи. Ако се следи друг браузър различен от IE, значи има файл, който е зареден в паметта и прави мизерията.

 

Не забелязах да следи друго освен IE, а аз съм с FF 3.6.15, който на всичкото отгоре е инсталиран на съвсем различен дял от системния, а системният от своя страна даже не е и C:

Освен да затрия за по-сигурно и браузера, да почистя след него и да кача новата четворка, хем да я пробвам, хем да му прекъсна евентуално останалите причинно-следствени връзки.