Вопчем сегодня мне наконец повезло, один из компов пользователей подцепил блокиратор. Блокиратор успешно прошёл через антивирус на роутерах, на главном сервере ну и не спалися на компе пользователя, поселился в папочке SysAware Sof под избитым именем svchost.exe и поставил ключик автозапуска. Кроме того в папке лежал файл с именем opera.exe размером 816 КБ и текстовик time.txt (счётчик времени?). Блокирует запуск менеджера задач, при обнаружнении активного окна ProcessExplorer тупо его сворачивает, хотя и палится в нём на некоторое время. При загрузке в безопасном режиме локер обламывается (не загружается) поэтому убит и найден он был в считанные минуты ручками. Каспер во всех трёх местах (сервер, роутер, клиентский комп) с последними базами молчит как партизан. Сие чудо выкладываю по ссылке: http://slil.ru/29254430
P.S. Хозяина блокиратора прошу стукнуть 50949-девять расскажу про не доработки локера. Что касается палева Касперским, то сегодня я думаю он будет уже палится им. Также буду признателен за инфу по блокиратору (механизм заражения, функционал, логика работы и т.д.)
P.P.S. Отчёты: http://www.virustotal.com/ru/analisis/7235fe7583a3381bf9f69b8a0953f6ea2227f6e8d9479c94b7 470985156133e0-1275444261
http://www.virustotal.com/ru/analisis/e56be95580a157ecf544db59ed564654a2740c544473ea1319 e6e8fbb88f7ba4-1275216263