kiltum (kiltum) wrote,
kiltum
kiltum

О, сегодня напоролся на троянца-спаморассылателя, про который не знает ни один из доступных мне антивирусов (drweb, symantec, nod, clamav).

Симптомы - через некоторое время после загрузки компа лезет на oldartero.com, берет оттуда что-то (список адресов и текст мыл?) и рассылает.

Для всех притворяется services.exe (но эт и не удивительно).

Поймал благодаря оутпосту и сумантековскому антивирусу (в нем почтовый гейтвей есть - так он начал орать про посылку сообщений и захламлять экран).

Как зовется на самом деле и откуда запускается - хз. Известные мне места ничего криминального не содержат.

По oldartero.com гугл дает только одну запись http://ktulhu.livejournal.com/113584.html :)) но у меня явно другая версия этой гадости

Udate: не, нашел. Опыт не пропьешь. Хоть и у меня другая версия гадости, но свой способ маскировки она не изменила. Поискал скрытые файлы в windows/system32 ... и нашел.

У меня они зовутся constat.dll и conmgr32.dll. Оба скрытые, обоих нет на "чистой" windows. Хотя зовется только один.

А не нашел потому что regedt при показе обрезал строчку и я попросту не увидел их ....

Update2: гадость отправил в drweb, ибо он у меня честный. посмотрим, что скажут. Но пока, судя по логам, services.exe перестал хотеть залезть на этот сайт ...

Update3: пытаюсь понять, как его эта машина поймала. запускаю поиск по всему диску по слову oldartero и пойду домой. мож чего-нить найдет ...
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 7 comments