Сегодня чел написал в аську (его icq 587790685) говорит типа есть заказы, кинул ссыль на этот файл http://www.sendspace.com/file/01xipb там архив, открыл я его там два файла:
criterii.txt
group.txt.lnk

когда открываешь первый файл, там одна хрень корявая написанна, открываешь group вылазиет окно сверху написанно form. Как думаете вирусняк, если да то как он устроен и что ворует?

первый текстовик,второй ярлык -скорее всего имитация вируса вирус. Который например удаляет где то папку,или значение какое то меняет. Все ведет к вирусу))если сложить оба файла
ЗЫ:не скаичвал,так что только предположения

NaRK, ярлык запускает командную строку и вставляет туда текст из файла. Текст еще не глядел

Ну а текстовый файл - это экзешник упакованный

Хренасе :D
group.txt переименовывает criterii.txt в criterii.exe запускает

%windir%\system32\cmd.exe /c criterii.txt

C ПРАВАМИ АДМИНА!!!
написан на delphi
короче создаются 3 формы, одну из которых ты видишь :) А две не видишь

object Form1: TForm1
Left = 119
Top = 5000
Width = 696
Height = 480
Caption = 'Form1'
Color = clBtnFace
Font.Charset = DEFAULT_CHARSET
Font.Color = clWindowText
Font.Height = -11
Font.Name = 'MS Sans Serif'
Font.Style = []
OldCreateOrder = False
OnCreate = FormCreate
OnShow = FormShow
PixelsPerInch = 96
TextHeight = 13
object Timer1: TTimer
Enabled = False
Interval = 1
OnTimer = Timer1Timer
Left = 192
Top = 120
end
end

Вредоносного пока ничего не смог рассмотреть ;)
PS.Ипать винт накрылся Sagate на 40Gb :(

PS.Ипать винт накрылся Sagate на 40Gb :(
Эт че ты серьезно что ли?

Эт че ты серьезно что ли?
Да... он давно глючать начал :( , но ничего сейчас запустился :) всю инфу с него уже копирнул ;) Так что теперь опыты будем на нем проводить :D

Мммм неплохо задумано...Ещё не встречал подобного рода вирусов, сейчас посмотрю ^_^

']Мммм неплохо задумано...Ещё не встречал подобного рода вирусов, сейчас посмотрю ^_^
Ну че он вообще делает? Просто так окошки запускает что ли?

всех убил походу уже....))))))

я к ним =D

a-squared 4.5.0.50 2010.04.03 -
AhnLab-V3 5.0.0.2 2010.04.03 -
AntiVir 7.10.6.24 2010.04.03 -
Antiy-AVL 2.0.3.7 2010.04.02 Trojan/Win32.WebMoner.gen
Authentium 5.2.0.5 2010.04.03 -
Avast 4.8.1351.0 2010.04.03 -
Avast5 5.0.332.0 2010.04.03 -
AVG 9.0.0.787 2010.04.03 -
BitDefender 7.2 2010.04.03 -
CAT-QuickHeal 10.00 2010.04.03 -
ClamAV 0.96.0.0-git 2010.04.03 -
Comodo 4488 2010.04.03 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.04.03 Trojan.PWS.Panda.114
eSafe 7.0.17.0 2010.04.01 -
eTrust-Vet 35.2.7405 2010.04.02 -
F-Prot 4.5.1.85 2010.04.03 -
F-Secure 9.0.15370.0 2010.04.03 -
Fortinet 4.0.14.0 2010.04.03 -
GData 19 2010.04.03 -
Ikarus T3.1.1.80.0 2010.04.03 Trojan-PWS.Win32.WebMoner
Jiangmin 13.0.900 2010.04.03 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.04.03 -
McAfee 5937 2010.03.31 -
McAfee+Artemis 5937 2010.03.31 Artemis!A1611621B26C
McAfee-GW-Edition 6.8.5 2010.04.03 -
Microsoft 1.5605 2010.04.03 -
NOD32 4997 2010.04.03 -
Norman 6.04.10 2010.04.03 -
nProtect 2009.1.8.0 2010.04.03 -
Panda 10.0.2.2 2010.04.03 -
PCTools 7.0.3.5 2010.04.03 -
Prevx 3.0 2010.04.03 -
Rising 22.41.04.05 2010.04.02 -
Sophos 4.52.0 2010.04.03 -
Sunbelt 6134 2010.04.03 -
Symantec 20091.2.0.41 2010.04.03 Suspicious.Insight
TheHacker 6.5.2.0.251 2010.04.02 -
TrendMicro 9.120.0.1004 2010.04.03 -
VBA32 3.12.12.4 2010.04.02 -
ViRobot 2010.4.3.2259 2010.04.03 -
VirusBuster 5.0.27.0 2010.04.03 -
:)

:)
Ни в том интерес, узнать что это вирус или нет) а увидеть его разобранным =) может можно попасть туда куда отчеты приходят и посмотреть остальных кто на эту шутку попался, как раньше баловались пинчем

Скорее всего веб мани ворует этот троян) Его целевая аудитория какраз посетители таких форумов как этот, ведь у кого как ни у веб мастера будет веб мани с суммой приличной. Выход-ставьте блокировку по айпи на кипере и не качайте говно всякое на свой комп!

Скорее всего веб мани ворует этот троян) Его целевая аудитория какраз посетители таких форумов как этот, ведь у кого как ни у веб мастера будет веб мани с суммой приличной. Выход-ставьте блокировку по айпи на кипере и не качайте говно всякое на свой комп!
Возможно... Я этот процесс запускал на виртуалке и ослеживал PE, Никаких признаков вируса не увидел. Потом анализировал его OllyDbr, и опять ничего троянского низаметил ;)

дам куда мир катится

Trojan-PSW.Win32.WebMoner.rw
Старый трюк. И из архива он не запускаеться...только из папки