October 13th, 2006

(no subject)

О, сегодня напоролся на троянца-спаморассылателя, про который не знает ни один из доступных мне антивирусов (drweb, symantec, nod, clamav).

Симптомы - через некоторое время после загрузки компа лезет на oldartero.com, берет оттуда что-то (список адресов и текст мыл?) и рассылает.

Для всех притворяется services.exe (но эт и не удивительно).

Поймал благодаря оутпосту и сумантековскому антивирусу (в нем почтовый гейтвей есть - так он начал орать про посылку сообщений и захламлять экран).

Как зовется на самом деле и откуда запускается - хз. Известные мне места ничего криминального не содержат.

По oldartero.com гугл дает только одну запись http://ktulhu.livejournal.com/113584.html :)) но у меня явно другая версия этой гадости

Udate: не, нашел. Опыт не пропьешь. Хоть и у меня другая версия гадости, но свой способ маскировки она не изменила. Поискал скрытые файлы в windows/system32 ... и нашел.

У меня они зовутся constat.dll и conmgr32.dll. Оба скрытые, обоих нет на "чистой" windows. Хотя зовется только один.

А не нашел потому что regedt при показе обрезал строчку и я попросту не увидел их ....

Update2: гадость отправил в drweb, ибо он у меня честный. посмотрим, что скажут. Но пока, судя по логам, services.exe перестал хотеть залезть на этот сайт ...

Update3: пытаюсь понять, как его эта машина поймала. запускаю поиск по всему диску по слову oldartero и пойду домой. мож чего-нить найдет ...

(no subject)

(задумчиво разглядывая литровую банку из-под fax'а) интеренсно, а для чего её может приспособить компьютерщик без паяльника? Хорошая жесть и всё такое ...

ЗЫ Для чего её может приспособить компьютерщик с паяльником, я знаю.