вирус, не вирус? пришло на мыло [Архив]

Просмотр полной версии : вирус, не вирус? пришло на мыло

Enkryptor

23.01.2006, 16:17

Пришло тут юзеру такое письмо:

From: id36838@yahoo.com [mailto:id36838@yahoo.com]
Sent: Monday, January 23, 2006 3:55 PM
To: elena.pavlova@tesli.com
Subject: Secure E-mail

ID: 43903
Password: uovoakhjw

Message is attached.

Best Regards,
Encrypted Message System,
Yahoo.com

к письму приаттачен файл message.zip (выложил)

Сам архив не запаролен, в нём присутствует файл "Extended E-mail File.hta"

В файле скрипт, через через eval(unescape(...) разворачивается в такую байду:

function h(c){var x,l,n='',m="f;&uYGk]RqrZ2jTg.KFw*SA01c'[l-34}ah/iBH^~$t`m+C{(,de5LDJ7P#6bn)os8=9E_pWvxI ",z,q,d='';for(l=0;l-1){q=((z+1)%76-1);if(q<=0){q+=76}n+=m.charAt(q-1)}else{n+=x}}d+=n;document.write(d)}

Смысл от меня ускользает.
Может это действительно никакой не вирус, а в натуре зашифрованное сообщение от yahoo ? :D

squirL

23.01.2006, 16:21

запусти и посмотри...

Demon™

23.01.2006, 16:23

Dr.Web (R) daemon for FreeBSD v4.33 (4.33.0.09211)
Copyright © Игорь Данилов, 1992-2005

Время последнего обновления: 2006-01-23,15:23:22

Размер файла: 3361 байт

attachment.php?attachmentid=2617&d=1138022083 - archive ZIP
>attachment.php?attachmentid=2617&d=1138022083/Extended E-mail File.hta - archive HTML
В файле >>attachment.php?attachmentid=2617&d=1138022083/Extended E-mail File.hta/JavaScript.0 обнаружен вирус Win32.HLLM.Graz

Внимание! В присланном файле обнаружен вирус!

Enkryptor

23.01.2006, 16:29

от блин! NOD32 молчит, отправил файл на сайт дяди Жени - тоже ни фига

а тут - доктор веб... надо же...

Demon™, спасибо!

Enkryptor

23.01.2006, 16:32

а хотя....

посмотрел описание - http://info.drweb.com/virus/?virus=471

очень похоже, однако есть одно "но": не уместится весь перечисленный функционал в те пару строчек кода, из которых, собсна, состоит аттач

Demon™

23.01.2006, 16:39

Печально...
This is a report processed by VirusTotal on 01/23/2006 at 14:38:58 (CET) after scanning the file "message.zip" file.

Antivirus Version Update Result
AntiVir 6.33.0.77 01.23.2006 no virus found
Avast 4.6.695.0 01.20.2006 no virus found
AVG 718 01.20.2006 no virus found
Avira 6.33.0.77 01.23.2006 no virus found
BitDefender 7.2 01.23.2006 no virus found
CAT-QuickHeal 8.00 01.23.2006 no virus found
ClamAVdevel 20051123 01.21.2006 no virus found
DrWeb 4.33 01.23.2006 Win32.HLLM.Graz
eTrust-Inoculate 23.71.57 01.22.2006 no virus found
eTrust-Vet 12.4.2053 01.23.2006 Win32/Feeb!ZIP
Ewido 3.5 01.23.2006 no virus found
Fortinet 2.54.0.0 01.22.2006 no virus found
F-Prot 3.16c 01.20.2006 no virus found
Ikarus 0.2.59.0 01.20.2006 no virus found
Kaspersky 4.0.2.24 01.23.2006 no virus found
McAfee 4679 01.20.2006 no virus found
NOD32v2 1.1375 01.23.2006 no virus found
Norman 5.70.10 01.23.2006 no virus found
Panda 9.0.0.4 01.23.2006 no virus found
Sophos 4.01.0 01.23.2006 no virus found
Symantec 8.0 01.23.2006 no virus found
TheHacker 5.9.2.078 01.20.2006 no virus found
UNA 1.83 01.21.2006 no virus found
VBA32 3.10.5 01.23.2006 no virus found

akeeper

23.01.2006, 16:49

F-Secure no virus found

shaman

23.01.2006, 16:52

Мне такое же письмо пришло.

каспер не сечет

shurutov

24.01.2006, 04:55

Сейчас базы обновил, каспер бяку прибил...

Demon™

24.01.2006, 08:48

Некоторые уже подсуетились
Antivirus Version Update Result
AntiVir 6.33.0.77 01.23.2006 no virus found
Avast 4.6.695.0 01.23.2006 no virus found
AVG 718 01.23.2006 Worm/Feebs
Avira 6.33.0.77 01.23.2006 no virus found
BitDefender 7.2 01.24.2006 no virus found
CAT-QuickHeal 8.00 01.23.2006 no virus found
ClamAV devel-20051123 01.21.2006 no virus found
DrWeb 4.33 01.23.2006 Win32.HLLM.Graz
eTrust-InoculateIT 23.71.58 01.23.2006 no virus found
eTrust-Vet 12.4.2053 01.23.2006 Win32/Feeb!ZIP
Ewido 3.5 01.23.2006 no virus found
Fortinet 2.54.0.0 01.24.2006 no virus found
F-Prot 3.16c 01.23.2006 no virus found
Ikarus 0.2.59.0 01.23.2006 no virus found
Kaspersky 4.0.2.24 01.24.2006 Worm.Win32.Feebs.gen
McAfee 4680 01.23.2006 JS/Feebs.gen.c@MM
NOD32v2 1.1376 01.23.2006 JS/Tivso.gen
Norman 5.70.10 01.23.2006 no virus found
Panda 9.0.0.4 01.23.2006 no virus found
Sophos 4.01.0 01.24.2006 no virus found
Symantec 8.0 01.24.2006 no virus found
TheHacker 5.9.2.079 01.23.2006 no virus found
UNA 1.83 01.21.2006 no virus found
VBA32 3.10.5 01.23.2006 no virus found

Enkryptor

24.01.2006, 14:46

NOD32 тоже стал определять:

http://www.akeeper.ru/attachment.php?attachmentid=2617&d=1138022083 JS/Tivso.gen trojan

wilkomsoon

24.01.2006, 20:38

clamav сегодня научился: JS.Feebs.D FOUND

KEVin V.

24.01.2006, 21:33

угу... макаф ловит :) но такие письма я нафиг удаляю... и юзерам строгое предписание есть... не открывать приложения из писем которые они не заказывали... пару проходов по их зарплате после моих служебок, и они теперь удалют такие письма или звонят мене и спрашивают...

akeeper

24.01.2006, 23:29

F-Secure начал ловить. Когда начал не знаю. Опознаёт Worm.Win32.Feebs.qen (или gen) не знаю.

Nik

25.01.2006, 08:42

после запуска вашего вируса перестал работать firefox. виснет зараза в задачах и загружает проц на 99 процентов. выложите пожалуйста последнюю версию червя, эта работает с глюками

KEVin V.

25.01.2006, 08:43

:lol: