Приветствую всех,

кинули мне урл [http://78.58.10.46:33202/ru/Belov/Italy?i=Belov&l=ru&t=e] если зайти то автоматический спрашивает скачать фаил екзе, хочу узнать что он делает и т.д.

просьба помочь, вот ссылка от вирустотал http://www.virustotal.com/ru/analisis/a987476c81263673b2b0964ee0bff6d7941cc205227744db64 a896b305107523-1261324420

вроде вирус, но всё таки хочу знать подробности о нём

с ув. Белов

тебя привлекло название файла, я так понял)

http://78.58.10.46:33202/ru/xxx/xuyznaet?i=Ebat-ebat&l=ru&t=e
да вирус скорее всего... что делает не знаю) ну лучше думаю не ставить

Да,прикол в этом если изменить чуть урл то и имя файла также, также мне файл кинул одна девушка которую знаю я, по этому хотел проверить и мне кажется она тоже попала в этот вирус т.к. у неё скайп тупит (через скайп мне кинули урл )

Зашел под линуксом и он выдал:
<h1> а�б�аЖаНаО Microsoft аОаПаЕб�аАб�аИаОаНаНаАб� б�аИб�б�аЕаМаА аДаЛб� аПб�аОб�аМаОб�б�аА б�б�аОаЙ б�б�б�аАаНаИб�б�.</h1>
или в переводе на utf-8
Нужно Microsoft операционная система для просмотра этой страницы.

Залейте куда-нибудь. У меня при смене юзерагента тоже не качает, требует Microsoft OS.

вот "Скачать файл Belov.exe (http://dump.ru/file/3980669)"

http://s43.radikal.ru/i100/0912/47/23be111ef9bf.png (http://www.radikal.ru)

Вот-с, куда мы ломимся... Завтра отснифаю передаваемые данные. Какой-то забугорный вор паролей, не? :D

отлично вот уже что то интересное про вир ) держи плюсег, жду до завтра когда ты там закончишь

Итак. Сначала мы ломимся на 80 порт, представляемся как винда, ну и т.д. Забираем айпишник.

http://i070.radikal.ru/0912/40/fa994a69c477.png

Все запросы примерно одинаковые. Что получаем. А получаем вот такую замысловатую штуку, которую я не до конца понял засыпающим мозгом:

http://i038.radikal.ru/0912/20/749a1eeeffe0.png

По крайней мере напрягает reset password, а еще какой-то sms token. До конца смысл трояна я не понял, по-моему, никуда ничего не отсылает, лишь что-то меняет. Хм.

Мелькнула сумасшедшая идея: а не отправляет ли он никакую смс-ку с данными? :o :D

UPD: Ломится еще сюда:

87.116.85.7
93.116.120.207

Больше ничего в логах сниффера не нашел (интересно, разве что, что он ломится в гугл, подставляет cookie, и делает какую-то не понятную вещь, которая вообще возвращает ошибку 302 :D).

Странно, если данные отсылаются на айпишник, каким образом он их принимает? :eek:

Эх, вот это натупил. Завтра наверное ржать буду с этого :D

Вообщем-то, наверное, бояться ничего не нужно. Просто не качай этот левый файл. Мне кажется, он ориентирован на забугорных юзеров (сайты популярны в США и т.д, да еще перевод на странице вируса кривой).

запустил на тест машине, фаерволл вроди промолчал значит он не посылает инфа через веб, кароче он посылает этот вирус через скаип то есть заражёные посылает кауето тупь с ссылкой на вирус и ссылка постоянно меняется то есть мне с одного акка послали 10 разных ип с разными портами на урл вируса я писал заражёному но тупо игнор видел что заражёный говорит с кем то и всё что говорил я видел, похоже было что заражёный говорит сам с собой ))
только в вирусе вроде ничего не сказано про скаип не поиму тогда прикола с рассылкой вируса.

Спасибо "root_sashok" что помог с вирусом

Странно, про скайп, ничего не заметил. А фаер палит его... По крайней мере у меня.

Каспер с сегодняшними базами заорал на этот файлик - Trojan.Win32.Scar.azhi.
Авира,сцуко,молчит(((

Каспер с сегодняшними базами заорал на этот файлик - Trojan.Win32.Scar.azhi.
Авира,сцуко,молчит(((

хмм, что то авира уже мне не нравится тормозит она

хмм, что то авира уже мне не нравится тормозит она
Комп слабый.

Комп слабый.
А причем тут комп?)
Авира добавляет в свою базу на полу-автомате трояны из других баз) не изучая их)
Отсюда и большое число ложных срабатываний, отсюда и ее "тормозы" в плане модифицированных троев ;)

Но в принципе, этот полу-автомат дает не самый плохой результат ;)