Походу создатели вирусов решили отпраздновать 2011 новым троянчиком.
От ваших друзей в аське приходит запрос на передачу файла и стандартное сообщение " С новым годом!"
Видимо после приема файла аську уводят (не проверял), а вирус продолжает распространяться дальше. Не ведитесь.
Название передаваемого файла вроде такого: "Happy New Year 2011"
Почему считаю, что вирус - уже четыре человека прислали совершенно одинаковые поздравления и все такие же запросы на передачу файла сразу после поздравления.
прилетало. Есетом проверил - чисто. Запустил - бессмысленно. Закрываешь - остается в процессах. Убивается и удаляется легко. Симптомов заражения пока не обнаружено. Либо слишком простой троянчик. Либо очень замудреный. К слову, есет Смарт Секьюрити не спрашивал никаких разрешений про доступ к сети
или к другому процессу.
p.s. Вот и не пойму: я его успел убить или это что-то странное?
Кстати, вот сообщение отправившего:
ххх (00:55:02 3/01/2011)
ты что-то писал?
у мя аська полетела
После разборки проги удалось узнать, что всего существует 1 форма 1 значащая процедура. На главной форме 3 объекта - 2 изображения и 1 обьект *TfrmMain.ICQClient:TICQClient. Так что скорее всего это детская игрушка нежели вирус. Думаю ассемблерных вставок нет, хотя в этом я не специалист. В
автозапуск точно не пишется - никаких програм внутри не видел - думаю просто надо сменить пароль и все ок.
АХТУНГ! Все что там написано неактуально - наткнулся внутри на такую строчку
Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium". Является приложением Windows (PE-EXE файл). Имеет размер 938496 байт. Написана на Delphi.
Деструктивная активность
После запуска червь показывает свое окно, в котором отображает картинку:
При попытке закрытия окна вредоноса, происходит лишь его сокрытие, а деструктивные действия продолжают выполняться.
Червь выполняет поиск окон с
именами классов:
TMainForm
TManForm
Определяет процесс, который создает данные окна и производит чтения памяти процесса на предмет определения пароля пользователя. Если такие окна не были найдены – червь определяет месторасположение установленного IM клиента, прочитав значение
параметра "InstallLocation" ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP Infium]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP 2010]
Затем выполняет поиск ".qip" файлов, содержащих информацию о профиле пользователя,
которые хранятся в каталоге "Profiles". Поиск осуществляется по следующим каталогам:
%Program Files%\QIP Infium\Profiles\
%Documents and Settings%\%Current User%\Application Data\
QIP\Profiles\
Завершает работу IM клиентов, выполняя следующие команды:
taskkill /F /IM
qip.exe
taskkill /F /IM infium.exe
taskkill /F /IM icq.exe
Удаляет файлы:
\LI\langs.cfg
Файл настройки языковых параметров программы мгновенных сообщений QIP.
\Langs\English.dll
Файл библиотеки с английским интерфейсом для QIP Infium.
\Langs\Russian.dll
Файл библиотеки с русским интерфейсом для QIP Infium. Где - один из стандартных путей установки программы мгновенных сообщений:
%Program Files%\QIP Infium\
%Program Files%\QIP\
%Program Files%\QIP 2010\
Или каталог указанный пользователем для
установки клиента мгновенных сообщений.
Удаление вышеуказанных файлов приводит к невозможности запуска соответствующего клиента мгновенных сообщений (QIP или QIP Infium). Выполняет обращения по следующему адресу:
64.12.201.185
На момент создания описания данный ресурс был
недоступен.
Распространение
После получения логина и пароля от учетной записи, используя собственный компонент для работы с ICQ протоколом, червь осуществляет рассылку своего тела по всему списку контактов.
При этом имя рассылаемого файла указывается как:
Snatch
Также червь имеет небольшой механизм ведения диалога.
Распознает фразы со словами:
троян
трой
вирь
вирус
Ответ:
нет, что ты? как можно?! )
нет, глянь )))
Распознает фразы со словами:
чито
що
шо
че
чё
чо
что
Ответ:
ну мини игра типа )
глянь ))
Распознает фразы со словами:
не могу
ринимает
Ответ:
включи в настройках передачу файлов )
Распознает фразы со словами:
ахуя
ачем
Ответ:
а зачем
рыбе велосипед? )
Распознает фразы со словами:
Бот
бот
Ответ:
эээ… сам ты бот =\
Распознает фразы со словами:
Сейчас
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще
Ответ:
file
Распознает фразы со словами:
спам
Ответ:
где это видано чтоб спаммеры файлы слали? это я шлю!
Также отвечает на следующий текст:
привет! здра хай здар прев прив
