Автор Тема: В интернете появился троян - убийца файлов  (Прочитано 11749 раз)

Оффлайн Dagobert

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 535
    • Просмотр профиля
Компания «Доктор Веб» сообщила о появлении в Интернете опасного трояна, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.

Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троян начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троян делает его скрытым. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.

Уникальным для современных вредоносных программ свойством данного трояна является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе.

Можно предположить, что данный троян, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу.

Взято с:  http://www.securitylab.ru/news/381018.php
Добавлено: 18 Июнь 2009, 11:52:45
Вирус не встречал, но если кто найдет, просьба предоставить для анализов.

P.S. Если вдруг станете жертвой, настоятельно рекомендую обратиться к специалисту по восстановлению информации, а до этого машину лучше выключить и не трогать.
« Последнее редактирование: 18 Июнь 2009, 11:53:10 от Dagobert »
Правила - не ограничения. Они наПРАВляют.Современный адекватный человек должен уметь сам себя ограничить.

Оффлайн Vintager-IV

  • Глобальный модератор
  • Ветеран
  • *****
  • Сообщений: 532
  • a.k.a. RedaktoR
    • Просмотр профиля
Боже ж ты мой! Страсти-то какия!  :o

Dagobert, а в УГПИ были случаи заражения предыдущей версией?
Цитировать
Win32.HLLW.Kati

По крайней мере, мне не попадался. Ко мне часто ходят люди с флешками, так что я имею некоторое представление о самых популярных вирусах нашего вуза: Autorun разных модификаций, Conflicker, Bi mat и, конечно, Recycler.
Vintage is Vantage!

Оффлайн Dagobert

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 535
    • Просмотр профиля
Win32.HLLW.Kati / Penetrator встречал один раз в жизни на трофейном ноуте, вроде не из УГПИ. Давно было не помню уже.
Правила - не ограничения. Они наПРАВляют.Современный адекватный человек должен уметь сам себя ограничить.

Оффлайн DIAS

  • Старожил
  • ****
  • Сообщений: 304
  • Ну меня не устраивает, и чё!?
    • Просмотр профиля
класс! а разве флеш-вирусы можно браузерным путем словить (скачивание и распаковывание какого нибудь архива не считается)? А эта зараза откуда лезет, через дыры в браузере, или флешечным путем?

Эх блин, придется доставать старый добрый ComboFix, обновлять базу SpyHantera, и ждать войны. Буду всецело надеяться на свой любимый FireFox.
Я гений. Парадоксы - лишь прикрытье...

Оффлайн Dagobert

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 535
    • Просмотр профиля
К сожалению, подробностей пока не нагуглил.
Все что нашлось - копипаст или рерайт первого сообщения.
Правила - не ограничения. Они наПРАВляют.Современный адекватный человек должен уметь сам себя ограничить.

Оффлайн skif

  • Постоялец
  • ***
  • Сообщений: 178
  • Master №118
    • Просмотр профиля
Компания «Доктор Веб» сообщила о появлении в Интернете опасного трояна, уничтожающего все файлы и папки на зараженном компьютере.

ёёё! слов нет! нашли кому верить по поводу троянов!!! (дальше смех) доктор Веб как раз тем и отличается что в упор не видит троянов!!!

о вирусе, о котором идет речь - это не троян!!!  я уже имею опыт этого вируса (он появился года 2 назад)
стирает содержимое файла! название файла остается! в принципе, проблема решаема! запускаем программу для восстановления данных (например easyrecovery) все восстанавливается, правда, файлы меняют своё имя

класс! а разве флеш-вирусы можно браузерным путем словить

теоретически можно (на практике я не встречал) Flash использует скриптовый язык ActionScript т.е. выполнение действий на стороне клиента
Autorun разных модификаций, Conflicker, Bi mat и, конечно, Recycler.

я бы посоветовал  везде в корне поставить себе  ПАПКИ (!!!)  полностью копирующие названия вирусов, например, создаем папку на диске С  autorun.inf  если вирус туда попадает, то он видит что подобный файл уже существует и проходит мимо
это не панацея, но иногда помогает!
с вами было приятно общаться, спасибо! прощайте

Оффлайн DIAS

  • Старожил
  • ****
  • Сообщений: 304
  • Ну меня не устраивает, и чё!?
    • Просмотр профиля
Изи Рекавери после пенетратора бесполезна! Проверено на опыте, эта зараза не просто стирает заголовки, оставляя ярлыки, трет раздел или файл, целиком, каким то своим алгоритмом. Куча других программ для восстановления так же не помогла, по итогу получаете кучу бесполезного мусора. Спасло то, что даже позорная Панда на него кидалась, не говоря уже о коммерческих и полукоммерческих защитах.
Я гений. Парадоксы - лишь прикрытье...

Оффлайн Dagobert

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 535
    • Просмотр профиля
я бы посоветовал  везде в корне поставить себе  ПАПКИ (!!!)  полностью копирующие названия вирусов, например, создаем папку на диске С  autorun.inf  если вирус туда попадает, то он видит что подобный файл уже существует и проходит мимо
это не панацея, но иногда помогает!
В консоли gpedit.msc - а там Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ\Дополнительные правила - и создаем правила на предполагаемые пути флешек. Можно и сетевые папки туда же. Минус метода - никакой исполняемый файл с указанных путей не запустится, ни полезный ни вредный. Не эстетично, зато дешево надежнои практично (с) к\ф "Бриллиантовая рука"

я уже имею опыт этого вируса (он появился года 2 назад)
Это точно тот, о котором речь или Пенетратор и иже с ним? Образец есть?
Правила - не ограничения. Они наПРАВляют.Современный адекватный человек должен уметь сам себя ограничить.

Оффлайн haiflive

  • Старожил
  • ****
  • Сообщений: 288
    • Просмотр профиля
    • Reload
ёёё! слов нет! нашли кому верить по поводу троянов!!! (дальше смех) доктор Веб как раз тем и отличается что в упор не видит троянов!!!
Доктор веб на 1 месте по обнаруживемости вирусов, 2-й касперский..
NOD - 18
авиры я там вообще не видел(наверное не посчитали эту программу за антивирус )

я бы посоветовал  везде в корне поставить себе  ПАПКИ (!!!)  полностью копирующие названия вирусов, например, создаем папку на диске С  autorun.inf  если вирус туда попадает, то он видит что подобный файл уже существует и проходит мимо
это не панацея, но иногда помогает!
Помогет однозначно в 1 проценте всех случаев, да кстати можно ещё создать бекап жёсткого диска и каждый раз востанавливать, даль жаль только на это будет уходить по 3-4 часа..
..Обосную?. для экономии кода проще перезаписать autoran.inf ибо это выглядит так

if (copy(autoran.inf);

чем вот так
if (isset(autoran.inf)) {
if(delete(autoran.inf))
if(copy(autoran.inf)); }


Да кстати Dagobert, когда будем испытывать программу?.
Подпись удалена, так как неприемлема на данном форуме.

Оффлайн Dagobert

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 535
    • Просмотр профиля
Доктор веб на 1 месте по обнаруживемости вирусов, 2-й касперский..
NOD - 18
авиры я там вообще не видел(наверное не посчитали эту программу за антивирус )
ссылку давай.

Да кстати Dagobert, когда будем испытывать программу?
Ориентировочно в середине след. недели.
Правила - не ограничения. Они наПРАВляют.Современный адекватный человек должен уметь сам себя ограничить.