Sandynist 1 071 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 Что известно про пути распространения? Или всё покрыто мраком, как и в случае с Рустоком? И пока нам Саша Гостев в очередном детективном повествовании не напишет, как распространяется зараза, мы про это знать ничего не будем? Ссылка на сообщение Поделиться на другие сайты
Lacoste 180 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 А что с КАВ/КИС? Не справятся ? С новыми семплами,на сколько я знаю, не справляется НИКТО, кроме данной утилиты. Что известно про пути распространения? Один из: "Привет, прикольное видео: "ссылка"-> переход по ссылке- реально видео, но + сообщение: "Для просмотра данного видеофайла, необходимо установить пакет кодеков"" и далее по сценарию... Ссылка на сообщение Поделиться на другие сайты
Kapral 1 322 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 Слишком уж веселая игрушка этот ТДСС. лучше юзать специально натасканного на него киллера Ссылка на сообщение Поделиться на другие сайты
Lacoste 180 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 Слишком уж веселая игрушка этот ТДСС. лучше юзать специально натасканного на него киллера Ребята старались. Кстати: Итак, оглашаю краткий список интересных фич нового ТДСС5 (версия 4 сейчас релизится, наши люди работают уже над 5й). Дроппер проникает на компьютер при помощи специальных вызовов к драйверу USB-концентратора из заражённой микропрограммы флешки. Все флешки, вставляемые в компьютер, проверяются на предмет маркера 0xDEADF001 по смещению 0x7D55 (aka TDSS) в микропрограмме контроллера, и если не находится маркер - то заражают. TDSS5 создаёт на компьютере, куда попал, беспроводное сетевое подключение с ssid "hpsetup", через которое при подключении по механизму worm.win32.delf начинает рассылать свои копии с привлекательными именами. Имена формируются на основе случайных комбинаций 1500 слов из групп (ru-build) "xxx - porno", "antivirus", "putin - medvedev", "semenovi4 - seryoga" (группа поп звёзд, самая обширная, часто используется вместе с группой тематики xxx - porno), "shock - novosti" и "Timoshenko - poroshenko", также часто сопоставляемой со 2й и 1й группами. В случае обнаружения запрещённой к записи флешки, руткит использует классический autorun.inf. Кроем того, используется изменённый подход Virus.redolf, состоящий в использовании для размножения на локальной машине и сетевых дисках и папках файлов desktop.ini. На 13й день своей жизни на кломпьютере пользователя руткит выводит сообщение, предлаагающее пользователю отправить смс tdss2010iPray4U на короткий номер 3358 (98642 для Life:) Ukr и 774432 для Мегофон), стоимостью 40$. В случае отказа выполнения требования в течение 24 часов, руткит меняет драйвера дисплея на устройство "Metheus 4 Megapixel, для двух экранов" и вызывает функцию установки цветовой температуры с отрицательным значением, что приводит к закипанию и сгоранию ЖК экранов. ЭЛТ мониторы не подвержены вредоносному влиянию. После этого, удаляется раздел vgasafe, а в параметры дров на nvidia или ati (смотря что на машине) вносятся некорректные значения, препятствующие запуску драйвера. 1 Ссылка на сообщение Поделиться на другие сайты
Kapral 1 322 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 Данила, ну что ты.... представь себе что сейчас начнется после такого описания Все флэшки под пресс. ЖК-мониторы в ванную Обыск всех друзей - на наличие флэшек... А если попадется подруга.... Ссылка на сообщение Поделиться на другие сайты
Lacoste 180 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 Kapral Перестрахуются))) Ссылка на сообщение Поделиться на другие сайты
starik 5 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 (изменено) Развели Изменено 24 ноября, 2009 пользователем starik Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 До чего уже вирусописатели доходят. Уже переходят от слов к делу. Интересно он и правда может сжечь монитор. И антивирус не заметит как вирус меняет драйвера дисплея. Тяжёлый случай. Ссылка на сообщение Поделиться на другие сайты
Lacoste 180 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 starik и Mark D. Pearlstone Вы смайлик под описанием видели? Ссылка на сообщение Поделиться на другие сайты
Kapral 1 322 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 Поздно уже.... монитор плавает в ванной Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 starik и Mark D. Pearlstone Вы смайлик под описанием видели? Вот где ... До первого апреля ещё далеко) Ну, Danilka, погоди Да не прибудет к тебе BackDoor.Tdss.565 страшный Ссылка на сообщение Поделиться на другие сайты
Lacoste 180 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 Вот где ... До первого апреля ещё далеко) Ну, Danilka, погоди Да не прибудет к тебе BackDoor.Tdss.565 страшный Он у меня и так на виртуалке не плохо живет. Ссылка на сообщение Поделиться на другие сайты
Kapral 1 322 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 Ты его мониторами подкармливаешь? или держишь на голодном пайке? Ааааа... тот монитор формата 6 в 1 - случайно не жертва? Ссылка на сообщение Поделиться на другие сайты
Самогонщик 290 Опубликовано 24 ноября, 2009 Автор Share Опубликовано 24 ноября, 2009 С новыми семплами,на сколько я знаю, не справляется НИКТО, кроме данной утилиты. Как так Dr.WEB вроде заявил что он не только детектит его но и лечит. Ссылка на сообщение Поделиться на другие сайты
Lacoste 180 Опубликовано 24 ноября, 2009 Share Опубликовано 24 ноября, 2009 (изменено) Ааааа... тот монитор формата 6 в 1 - случайно не жертва? тсссс. Как так Dr.WEB вроде заявил что он не только детектит его но и лечит. На тот момент они не знали о новых семплах... Изменено 24 ноября, 2009 пользователем Danilka Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти