Discussion:
fresh troyans
(слишком старое сообщение для ответа)
Yuriy Talakan'
2008-06-03 10:30:34 UTC
Permalink
Hello everybody.

hxxp://1stcallrecovery.com/ggg.exe
hxxp://58.65.239.42/asd3laksh/2205l.exe
hxxp://58.65.239.42/asd3laksh/allex345.exe
hxxp://58.65.239.42/asd3laksh/bhos.exe
hxxp://58.65.239.42/asd3laksh/heller.exe
hxxp://58.65.239.42/asd3laksh/iii.exe
hxxp://58.65.239.42/asd3laksh/last.exe
hxxp://58.65.239.42/asd3laksh/ldig005.exe
hxxp://58.65.239.42/asd3laksh/ldr1_276.exe
hxxp://58.65.239.42/asd3laksh/ter34.exe
hxxp://66.199.237.36/iii.exe
hxxp://av-update.net/load1.exe
hxxp://bestmasters.cn/spm/CR.exe
hxxp://enterinmind.com/check/vers195.php?q=1
hxxp://mindw0rker.com/soft/new/exeuni.exe

Пользователь выхватил пачкой 28 мая.

Yuriy
Alexey Podtoptalow
2008-06-03 09:12:49 UTC
Permalink
Tue Jun 03 2008 16:30, Yuriy Talakan' wrote to All:

YT> hxxp://1stcallrecovery.com/ggg.exe
...
YT> hxxp://mindw0rker.com/soft/new/exeuni.exe
Угу, сенкс, этих знаем. Т.н. mscounter. Дистрибьютор чужих троянов.

YT> Пользователь выхватил пачкой 28 мая.
Угу. Всё это грузится с одной закладки на сайте.
Эти очень активны, взломанных сайтов с их закладками много.
Yuriy Talakan'
2008-06-03 18:23:51 UTC
Permalink
Hi, Alexey! Catch this! :)

<03 Jun 08 13:12>, Alexey Podtoptalow => Yuriy Talakan':

AP> Угу, сенкс, этих знаем. Т.н. mscounter. Дистрибьютор чужих троянов.

Hеа. Всех точно не "знаем". Как минимум я проверял сегодня
66.199.237.36/iii.exe на online.drweb.com, говорит что чисто.


<***@amur.elektra.РУ> ICQ:100884824 [Team -=_Hard Izvrashchentsy_=-]
Alexey Podtoptalow
2008-06-04 20:34:18 UTC
Permalink
Wed Jun 04 2008 00:23, Yuriy Talakan' wrote to Alexey Podtoptalow:

AP>> Угу, сенкс, этих знаем. Т.н. mscounter. Дистрибьютор чужих троянов.
YT> Hеа. Всех точно не "знаем". Как минимум я проверял сегодня
YT> 66.199.237.36/iii.exe на online.drweb.com, говорит что чисто.
DrWeb Trojan.Rntm.6 hxxp://1stcallrecovery.com/ggg.exe
DrWeb Trojan.Siggen.39 hxxp://58.65.239.42/fj64hjn/2205l.exe
DrWeb Trojan.Spambot.3329 hxxp://58.65.239.42/fj64hjn/allex345.exe
DrWeb Trojan.DownLoader.62414 hxxp://58.65.239.42/fj64hjn/bhos.exe
DrWeb Trojan.Packed.468 hxxp://58.65.239.42/fj64hjn/heller.exe
DrWeb Trojan.MulDrop.16252 hxxp://58.65.239.42/fj64hjn/iii.exe
DrWeb Trojan.MulDrop.11807 hxxp://58.65.239.42/fj64hjn/last.exe
DrWeb Trojan.MulDrop.15170 hxxp://58.65.239.42/fj64hjn/ldig005.exe
DrWeb Trojan.Sentinel.101 hxxp://58.65.239.42/fj64hjn/ldr1_276.exe
DrWeb BackDoor.IRC.Nite hxxp://58.65.239.42/fj64hjn/ter34.exe
DrWeb Trojan.MulDrop.16300 hxxp://66.199.237.36/iii.exe
DrWeb Trojan.MulDrop.16330 hxxp://av-update.net/load1.exe
DrWeb Trojan.Proxy.3293 hxxp://bestmasters.cn/spm/CR.exe
DrWeb Trojan.DownLoader.62940 hxxp://enterinmind.com/check/vers195.php
DrWeb Trojan.Click.18898 hxxp://mindw0rker.com/soft/new/exeuni.exe

ЗЫ: Моё "знаем" значит то, что оно есть в вируслабе. Как быстро обработают -
зависит не от меня.
Yuriy Talakan'
2008-06-05 11:11:28 UTC
Permalink
Hello Alexey.

05 Jun 08 00:34, you wrote to me:

AP> ЗЫ: Моё "знаем" значит то, что оно есть в вируслабе. Как быстро
AP> обработают - зависит не от меня.

Понятно. Я в вируслаб не вхож, поэтому сужу как юзер только по
"ловит-не_ловит". :)

Попробую еще раз удивить. А это знаете? Дают некий ieupdater.exe

hxxp://enterinmind.com/check/vers195.php?q=1

Результат проверки (16/32) --
http://www.virustotal.com/ru/analisis/91d6994e0a185ae6bc17fa2be20451a1

Yuriy
Alexey Podtoptalow
2008-06-05 07:17:27 UTC
Permalink
Thu Jun 05 2008 17:11, Yuriy Talakan' wrote to Alexey Podtoptalow:

YT> hxxp://enterinmind.com/check/vers195.php?q=1
YT> Результат проверки (16/32) --
YT> http://www.virustotal.com/ru/analisis/91d6994e0a185ae6bc17fa2be20451a1
Это тот же дистрибьютор, что и в прошлом письме.
То же самое (и md5 тот же) будет и тут:
58.65.239.114
58.65.239.115
5yearscontract.com
abc-powers.com
add40-com.com
bulletproofstuff.com
call-att.com
deluxenote.com
digitsdndletters.com
enterinmind.com
faxmonitoring.com
fklgjslkj.com
itsnotjoke.com
main40.com
mortgages-4-all.com
mynameisseller.com
newhardwork.com
ns0.smoothdns.net
nt-users.com
polanddreams.com
snow-job.com
toneandpulse.com
tredinsa.com
truemaybe.com
ujiko2u.com
vertuslkj.com
warinmyarms.com
Hо, как видишь, меняют достаточно часто, чтобы оно не детектилось.
Alexander Cherepanov
2008-06-06 02:47:47 UTC
Permalink
Hello, Alexey!
On Thu, 5 Jun 2008 07:17:27 +0000 (UTC), Alexey Podtoptalow (AP)
in news:***@www.fido-online.com wrote to Yuriy Talakan':

AP> Thu Jun 05 2008 17:11, Yuriy Talakan' wrote to Alexey Podtoptalow:

YT>> hxxp://enterinmind.com/check/vers195.php?q=1
YT>> Результат проверки (16/32) --
YT>> http://www.virustotal.com/ru/analisis/91d6994e0a185ae6bc17fa2be20451a1

AP> Это тот же дистрибьютор, что и в прошлом письме.
AP> То же самое (и md5 тот же) будет и тут:
AP> 58.65.239.114
AP> 58.65.239.115
AP> 5yearscontract.com
AP> abc-powers.com
AP> add40-com.com
AP> bulletproofstuff.com
AP> call-att.com
AP> deluxenote.com
AP> digitsdndletters.com
AP> enterinmind.com
AP> faxmonitoring.com
AP> fklgjslkj.com
AP> itsnotjoke.com
AP> main40.com
AP> mortgages-4-all.com
AP> mynameisseller.com
AP> newhardwork.com
AP> ns0.smoothdns.net
AP> nt-users.com
AP> polanddreams.com
AP> snow-job.com
AP> toneandpulse.com
AP> tredinsa.com
AP> truemaybe.com
AP> ujiko2u.com
AP> vertuslkj.com
AP> warinmyarms.com

Ещё:

1-2times.com
medicasntred.com
newlitework.com
ns1.crewsins.com
ns1.findserdrt.com
verifiedlitework.com
www.medicasntred.com

AP> Hо, как видишь, меняют достаточно часто, чтобы оно не детектилось.

Другие антивирусы, однако, детектят...

Саша
Alexey Podtoptalow
2008-06-06 11:03:58 UTC
Permalink
Fri Jun 06 2008 07:47, Alexander Cherepanov wrote to Alexey Podtoptalow:

YT>>> hxxp://enterinmind.com/check/vers195.php?q=1
YT>>> Результат проверки (16/32) --
YT>>> http://www.virustotal.com/ru/analisis/91d6994e0a185ae6bc17fa2be20451a1
AP>> Это тот же дистрибьютор, что и в прошлом письме.
AP>> То же самое (и md5 тот же) будет и тут:
AP>> 58.65.239.114
AP>> 58.65.239.115
AP>> 5yearscontract.com
AP>> abc-powers.com
AP>> add40-com.com
AP>> bulletproofstuff.com
AP>> call-att.com
AP>> deluxenote.com
AP>> digitsdndletters.com
AP>> enterinmind.com
AP>> faxmonitoring.com
AP>> fklgjslkj.com
AP>> itsnotjoke.com
AP>> main40.com
AP>> mortgages-4-all.com
AP>> mynameisseller.com
AP>> newhardwork.com
AP>> ns0.smoothdns.net
AP>> nt-users.com
AP>> polanddreams.com
AP>> snow-job.com
AP>> toneandpulse.com
AP>> tredinsa.com
AP>> truemaybe.com
AP>> ujiko2u.com
AP>> vertuslkj.com
AP>> warinmyarms.com
AC> Ещё:
AC> 1-2times.com
AC> medicasntred.com
AC> newlitework.com
AC> ns1.crewsins.com
AC> ns1.findserdrt.com
AC> verifiedlitework.com
AC> www.medicasntred.com
Угу, сенкс. Видел, но не стал добавлять - их уже и так больше двадцати, а
загрузчик один и тот же.
AP>> Hо, как видишь, меняют достаточно часто, чтобы оно не детектилось.
AC> Другие антивирусы, однако, детектят...
Да и они так же детектят - то потухнет, то погаснет.
То, как делаешь ты - имхо, наиболее быстрый путь, в смысле слать на vendors@
Alexander Cherepanov
2008-06-06 22:55:59 UTC
Permalink
Hello, Alexey!
On Fri, 6 Jun 2008 11:03:58 +0000 (UTC), Alexey Podtoptalow (AP)
in news:***@www.fido-online.com wrote to Alexander Cherepanov:

YT>>>> hxxp://enterinmind.com/check/vers195.php?q=1
YT>>>> Результат проверки (16/32) --
YT>>>> http://www.virustotal.com/ru/analisis/91d6994e0a185ae6bc17fa2be20451a1

[skip]

AP>>> Hо, как видишь, меняют достаточно часто, чтобы оно не детектилось.

AC>> Другие антивирусы, однако, детектят...

AP> Да и они так же детектят - то потухнет, то погаснет.
AP> То, как делаешь ты - имхо, наиболее быстрый путь, в смысле слать на
AP> vendors@

Hесколько дней я внимательно следил за обновлениями этого этого файла.
А обновляется оно иногда каждые несколько минут (а может несколько часов
не обновляться). И стабильно детект на VT был 16 или 17 из 32.
По-моему, это явно какое-то общее детектирование, а не конкретных
экземпляров.
И детект 16/32 это тот уровень, когда я уже чувствую себя не очень
комфортно, отправляя файл на общий адрес (увы, чёткой политики, что
отправлять, нету, поэтому приходится догадываться).

Саша
Alexander Cherepanov
2008-06-10 03:11:22 UTC
Permalink
Hello!
On Fri, 6 Jun 2008 22:55:59 +0000 (UTC), Alexander Cherepanov (AC)
in news:***@localdomain wrote to Alexey Podtoptalow:

YT>>>>> hxxp://enterinmind.com/check/vers195.php?q=1
YT>>>>> Результат проверки (16/32) --
YT>>>>> http://www.virustotal.com/ru/analisis/91d6994e0a185ae6bc17fa2be20451a1

AC> [skip]

AP>>>> Hо, как видишь, меняют достаточно часто, чтобы оно не детектилось.

AC>>> Другие антивирусы, однако, детектят...

AP>> Да и они так же детектят - то потухнет, то погаснет.
AP>> То, как делаешь ты - имхо, наиболее быстрый путь, в смысле слать на
AP>> vendors@

AC> Hесколько дней я внимательно следил за обновлениями этого этого файла.
AC> А обновляется оно иногда каждые несколько минут (а может несколько часов
AC> не обновляться). И стабильно детект на VT был 16 или 17 из 32.
AC> По-моему, это явно какое-то общее детектирование, а не конкретных
AC> экземпляров.
AC> И детект 16/32 это тот уровень, когда я уже чувствую себя не очень
AC> комфортно, отправляя файл на общий адрес (увы, чёткой политики, что
AC> отправлять, нету, поэтому приходится догадываться).

Кстати, как раз, когда мы тут это обсуждали, DrWeb начал это детектить
как Trojan.DownLoader.based. Hе знаешь, что это такое?
Судя по названию, похоже на эвристику. Hо судя по ответу:

| Ваш запрос был проанализирован. Это вирус уже знакомый Dr.Web (R).
| Вирус: Trojan.DownLoader.based.

не вполне.

Так что на vendors@ не шлю, ибо детектится уже довольно хорошо (а
Kaspersky тут отстаёт).

Саша
Alexey Podtoptalow
2008-06-10 06:43:42 UTC
Permalink
Tue Jun 10 2008 08:11, Alexander Cherepanov wrote to Alexander Cherepanov:

YT>>>>>> hxxp://enterinmind.com/check/vers195.php?q=1
YT>>>>>> Результат проверки (16/32) --
YT>>>>>> http://www.virustotal.com/ru/analisis/91d6994e0a185ae6bc17fa2be20451
YT>>>>>> a1
AC>> [skip]
AP>>>>> Hо, как видишь, меняют достаточно часто, чтобы оно не детектилось.
AC>>>> Другие антивирусы, однако, детектят...
AP>>> Да и они так же детектят - то потухнет, то погаснет.
AP>>> То, как делаешь ты - имхо, наиболее быстрый путь, в смысле слать на
AP>>> vendors@
AC> Кстати, как раз, когда мы тут это обсуждали, DrWeb начал это детектить
AC> как Trojan.DownLoader.based. Hе знаешь, что это такое?
AC> Судя по названию, похоже на эвристику. Hо судя по ответу:
AC> | Ваш запрос был проанализирован. Это вирус уже знакомый Dr.Web (R).
AC> | Вирус: Trojan.DownLoader.based.
AC> не вполне.
Когда-то давно ответили, что .based - это окончательный диагноз, сигнатурный
детект, не подлежит отправке в вирус-лаб.
В отличие от "modification of" - те при необходимости лечения надо
отправлять.
AC> Так что на vendors@ не шлю, ибо детектится уже довольно хорошо (а
AC> Kaspersky тут отстаёт).
Угу, пока этот .based держится. Посмотрим, на сколько его хватит.
Alexander Cherepanov
2008-06-11 01:25:47 UTC
Permalink
Hello, Alexey!
On Tue, 10 Jun 2008 06:43:42 +0000 (UTC), Alexey Podtoptalow (AP)
in news:***@www.fido-online.com wrote to Alexander Cherepanov:

AC>> Кстати, как раз, когда мы тут это обсуждали, DrWeb начал это детектить
AC>> как Trojan.DownLoader.based. Hе знаешь, что это такое?
AC>> Судя по названию, похоже на эвристику. Hо судя по ответу:

AC> |> Ваш запрос был проанализирован. Это вирус уже знакомый Dr.Web (R).
AC> |> Вирус: Trojan.DownLoader.based.

AC>> не вполне.

AP> Когда-то давно ответили, что .based - это окончательный диагноз,
AP> сигнатурный детект, не подлежит отправке в вирус-лаб.

Меня тут ещё смутило то, что перед .based стояло просто
Trojan.DownLoader. Если бы оно детектилось как какой-нибудь
Trojan.DownLoader.1234.based, было бы понятно. Hа да ладно.

AP> В отличие от "modification of" - те при необходимости лечения надо
AP> отправлять.

Угу.

AC>> Так что на vendors@ не шлю, ибо детектится уже довольно хорошо (а
AC>> Kaspersky тут отстаёт).

AP> Угу, пока этот .based держится. Посмотрим, на сколько его хватит.

Угу.

Саша

Yuri Baranov
2008-06-05 08:29:06 UTC
Permalink
Шалом, Yuriy!


05 Июн 08, Yuriy Talakan' wrote to Alexey Podtoptalow:

YT> Попробую еще раз удивить. А это знаете? Дают некий ieupdater.exe
YT> hxxp://enterinmind.com/check/vers195.php?q=1
YT> Результат проверки (16/32) --
YT> http://www.virustotal.com/ru/analisis/91d6994e0a185ae6bc17fa2be20451a1

я так понимаю, что это оно?:

===
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Trojan.DownLoader.62978.
===

Юрий

... 3003. Нарочно не повышай голос
Yuriy Talakan'
2008-06-05 17:34:07 UTC
Permalink
Hi, Yuri! Catch this! :)

<05 Jun 08 13:29>, Yuri Baranov => Yuriy Talakan':

YB> я так понимаю, что это оно?:

YB> ===
YB> Ваш запрос был проанализирован. Запись о новом вирусе добавлена в
YB> базу. Вирус: Trojan.DownLoader.62978.
YB> ===

Hе знаю. Мне ничего не приходило. :( Вот кстати, мне этот момент непонятен.
То ли меня совсем проигнорировали и даже мой файл не смотрели, то ли всего лишь
не снизошли до ответа.
Какой нынче самый правильный способ отсылки свежих зверьков?


<***@amur.elektra.РУ> ICQ:100884824 [Team -=_Hard Izvrashchentsy_=-]
Yuri Baranov
2008-06-05 12:26:04 UTC
Permalink
Шалом, Yuriy!


05 Июн 08, Yuriy Talakan' wrote to Yuri Baranov:

YB>> я так понимаю, что это оно?:
YB>> Ваш запрос был проанализирован. Запись о новом вирусе добавлена в
YB>> базу. Вирус: Trojan.DownLoader.62978.
YT> Hе знаю.

да, оно это, оно :)

YT> Мне ничего не приходило. :(

мне пришел данны ответ

YT> Вот кстати, мне этот момент непонятен. То ли меня совсем
YT> проигнорировали и даже мой файл не смотрели, то ли всего лишь не
YT> снизошли до ответа.

скорее всего я успел первым

YT> Какой нынче самый правильный способ отсылки свежих зверьков?

я слал через форму на сайте и получил ответ через 15 минут

Юрий

... 20793. Пока то да се, не следуй своим вкусам
Yuri Baranov
2008-06-05 06:37:38 UTC
Permalink
Шалом, Yuriy!


03 Июн 08, Yuriy Talakan' wrote to Alexey Podtoptalow:

YT> Hеа. Всех точно не "знаем". Как минимум я проверял сегодня
YT> 66.199.237.36/iii.exe на online.drweb.com, говорит что чисто.

Trojan.MulDrop.16300

Юрий

... 10081. Пламенно не располагайся как дома
Yuriy Talakan'
2008-06-05 14:25:15 UTC
Permalink
Hi, Yuri! Catch this! :)

<05 Jun 08 11:37>, Yuri Baranov => Yuriy Talakan':

YT>> 66.199.237.36/iii.exe на online.drweb.com, говорит что чисто.
YB> Trojan.MulDrop.16300

Хорошо. Значит вируслаб не спит. :)

P.S. Еще наборчик. Hо это drweb все поймал

hxxp://58.65.239.42/fj64hjn/3105l.exe
hxxp://58.65.239.42/fj64hjn/gr43343.exe
hxxp://58.65.239.42/fj64hjn/ldig005.exe
hxxp://58.65.239.42/fj64hjn/nod232.exe


<***@amur.elektra.РУ> ICQ:100884824 [Team -=_Hard Izvrashchentsy_=-]
Yuri Baranov
2008-06-05 09:15:00 UTC
Permalink
Шалом, Yuriy!


05 Июн 08, Yuriy Talakan' wrote to Yuri Baranov:

YT>>> 66.199.237.36/iii.exe на online.drweb.com, говорит что чисто.
YB>> Trojan.MulDrop.16300
YT> Хорошо. Значит вируслаб не спит. :)

судя по ответам от DrWeb'а, не спит не только вируслаб :)

YT> P.S. Еще наборчик. Hо это drweb все поймал
YT> hxxp://58.65.239.42/fj64hjn/3105l.exe
YT> hxxp://58.65.239.42/fj64hjn/gr43343.exe
YT> hxxp://58.65.239.42/fj64hjn/ldig005.exe
YT> hxxp://58.65.239.42/fj64hjn/nod232.exe

ага :)

3105l.exe инфицирован Trojan.DownLoader.62837
gr43343.exe инфицирован Trojan.DownLoader.62860
ldig005.exe инфицирован Trojan.MulDrop.15170
nod232.exe инфицирован Trojan.Packed.468

Юрий

... 6777. На четвереньках богатей
Loading...