Перейти к содержанию

Подмена одного из файла торрента на зловреда


Рекомендуемые сообщения

Позавчера переустановил систему. До этого качал торрентом фильмы и программки.

Сегодня поставил на ночь на углублённый поиск руткитов. И почему-то кис нашёл в файле AVI

кучу зловредов  :)

 

post-10787-1268633394_thumb.png

 

Скачанный архив адоб фотошоп портабле :) , скачан давно и был перемещён в другую папку.

Теперь вообще удалён. Док.фильмы начал качать позже.  

Суть вопроса в том, как произошла подмена именно одной серии фильма? Или это фолс? 

 

post-10787-1268633453_thumb.png

 

Пока писал, обратил внимание, что ещё пару серий пропало ;)  Непонятки какие-то :lol:

 

post-10787-1268633594_thumb.png

 

Как может такое быть? Кто-нибудь сталкивался?

В остальном система чистая...

Изменено пользователем Suren
Ссылка на комментарий
Поделиться на другие сайты

обратите внимание на расширение файла Файл .!ut создается при добавлении в торрент-клиент новой закачки. Если данный файл не удален, то закачка может быть возобновлена после паузы, остановки или перезапуска программы.

Что этим можно сказать в формате этого файла может быть что угодно, так как это своеобразный переходный файл между качающимся файлом и его конечным видом. Склонен предположить что это руткит с распространение в P2P сетях, с заражением опред расширений

Ссылка на комментарий
Поделиться на другие сайты

 случаем качаешь не с Удалено! многие жаловались что в последнее время с него почему то вирусы поползли...

 

Строгое предупреждение от модератора vasdas
Предупреждение! Запрещено выкладывать ссылки на варезные сайты.

 

 извиняюсь, не знал, вообщем с рутрекера у тебя скачка идет?

Ссылка на комментарий
Поделиться на другие сайты

Большую роль еще играет с какого трекера ты это скачал, от туда и все заражение так что следующий раз смотрите внемательный и ищите альтернативы ...

Ссылка на комментарий
Поделиться на другие сайты

обратите внимание на расширение файла Файл .!ut создается при добавлении в торрент-клиент новой закачки.

Дело в том, что после переустановки системы я запустил торрент по новой, что естественно.

Ну и только потом в его настройках поставил галку "добавлять для не завершённых":

 

post-10787-1268692009_thumb.png

 

Почему и озадачился, может опять какая-то новая бяка всплыла?

Ведь раньше ни разу такого не было. Чтоб файл, качающийся со многих компов, подменялся какой-то шнягой.

Звоночек? Охо-хо... :lol:

Ссылка на комментарий
Поделиться на другие сайты

Почему и озадачился, может опять какая-то новая бяка всплыла?

Все может быть вирусы появляются каждый день сотнями, как новые так и модификации ...

Ссылка на комментарий
Поделиться на другие сайты

многие жаловались что в последнее время с него почему то вирусы поползли
извиняюсь, не знал, вообщем с рутрекера у тебя скачка идет?
Я вот за полмесяца накачал оттуда уже порядка 50 гигов (записи спорт. трансляций в основном) - благо фрилич))) в действии - и что-то никаких вирусов в видео не вижу))) Да и чем зараженный avi-файл может быть опасен, что-то я не пойму? Ну откроешь ты его - и дальше? Он же не в cmd.exe у тебя откроется и не запустится аки приложение))) а будет сделана просто попытка его открыть в плеере. Как эти "вирусы" то ваще запустились у топикстартера?)) Скорее всего у него уже сидела какая-то хрень, перезаражавшая и поудалявшая видеофайлы))) Изменено пользователем Roman Merkushin
Ссылка на комментарий
Поделиться на другие сайты

Как эти "вирусы" то ваще запустились у топикстартера?))

Они не запускались.

Скорее всего у него уже сидела какая-то хрень, перезаражавшая и поудалявшая видеофайлы)

Да, архив был на компе. Почему и спросил, может-ли недокачанный файл собою подменить?.

И почему не все, а только один? Интересно просто...

 

До этого КИС его не видел как угрозу. Видимо базы обновились и начал видеть.

 

Да что-ж такое-то?! Теперь в другом файле нашёл :lol: Может фолс?

 

post-10787-1268800155_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

У меня появилась маловероятная версия но все же. Существуют ошибки файловой системы, исправляются запуском chkdsk, часто видел ошибки типа сцепленныых (cross-linked) файлов. Это означает что на один сектор диска ссылаются два и более файла. Т.е. в вашем случае пересечение закачки торрента и архива фотошопа = вирус в торренте.

 

Остановите все закачки, запустите chkdsk с параметрами /f /r и проверьте все диски

Ссылка на комментарий
Поделиться на другие сайты

Suren а может проблема не в закаченых файлах а в том что зловред сидит у вас на компе и заражет то что уже имеется?) подмена недокаченного файла... кхм это как? Если пользователь выкладывающий торрент сначала запустит здоровый файл, затем заменит его на зараженый, то его торрент клиент просто не начнет раздачу так как не пройдет хеширование, в то же самое время если он пересоздаст торрент, и переложит его на трекер, то связь с файлом потреряете вы. и чтобы продолжит закачку вам потребуется уже скачать торрент по новой. В любом случае про незаметную подмену файла в процессе закачки я слышу впервые и сомневаюсь что это вообще возможно)

Ссылка на комментарий
Поделиться на другие сайты

а может проблема не в закаченых файлах а в том что зловред сидит у вас на компе и заражет то что уже имеется?)

Дык я в первом посте написал, что полная проверка компьютера поизвелась. Нашёл архив и файл 122(серия)... удалил их.

Через 2 дня каспер уже 116-ю серию файл увидел заражённой... Вот поэтому и не понятки :(

Тоже первый раз такое вижу ;)

В любом случае про незаметную подмену файла в процессе закачки я слышу впервые и сомневаюсь что это вообще возможно)

Ну сейчас вроде пока молчит :) Ибо:

Удалил все файлы, запустил торрент по новой, жду когда начнёт закачиваться 122 серия и 116-я

 

Подожду, пока начнут качаться все, правда с моей скоростью это долго ждать :)

 

Пока тишина, только странно... Почему-то 117-й и 127-й серии в закачках уже нет -_-

 

74af0d2ebc64.png

Изменено пользователем Suren
Ссылка на комментарий
Поделиться на другие сайты

Дык я в первом посте написал, что полная проверка компьютера поизвелась

 

К сожалению полная проверка касперским это далеко не гарантия отсутствия вирусов в системе. Проверьтесь по правилам

 

Через 2 дня каспер уже 116-ю серию файл увидел заражённой.

 

т.е. тут два варианта либо зловред уже у вас в системе, либо произошла подмена здорового на зараженый файл у того кто раздает. Второй вариант это скорее из области фантастики(почему описано выше).

PS может быть и конечно третий вариант что файл изначально был с вирусом и антивирус его просто не определил. Но думаю в этом случае на трекерре бы сильно ругались)

Изменено пользователем Omnividente
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Muk4ltin
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • o089901
      Автор o089901
      после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом
      FRST.txt virus.7z
      AppData.7z N-Save-XJOZE.7z
    • Андрей 1971
      Автор Андрей 1971
      Добрый вечер.
      При наборе текста в ворд, эксель, запросе в интернет происходит  автозамена буквы/цифры на сочетание букв. Суммарно по двум цифрам и четырем буквам. Пример:
      Вместо и - "0ыст ", вместо р - "жмюоб", вместо ш - "пл.ьв", вместо г - "нжщ"
      Замена цифры семь на "ех9дэ", восемь на "\6=0зъ"
       
      Dr.Web CureIt проблему не устранил.
      При открытии программы несколько знаков печатает как положено, потом опять подмена знаков.
       
      Похоже, дети, когда играли, скачали плагин. В Автозагрузке не выявил. Драйвер клавиатуры обновил."
       
      Если кто-то сталкивался, подскажите как исправить. Обязательно ли переустанавливать систему.
       
      С уважением, Андрей.
       
    • KL FC Bot
      Автор KL FC Bot
      Не так давно на нашем блоге для ИБ-исследователей Securelist вышел пост об атаке на российские промышленные предприятия с использованием бэкдора PhantomPyramid, которую наши эксперты с высокой степенью уверенности атрибутируют группе Head Mare. Атака была достаточно стандартной — письмо, якобы содержащее конфиденциальную информацию плюс архив со зловредом, пароль для распаковки которого находится прямо в теле письма. Но интересен способ, при помощи которого злоумышленники прятали свой вредоносный код в, казалось бы, безобидном файле, — для этого они использовали технику polyglot.
      Что такое техника polyglot
      В матрице MITRE ATT&CK polyglot-файлы описываются как файлы, относящиеся сразу к нескольким типам и работающие по-разному в зависимости от приложения, в котором они запущены. Используются они для маскировки зловредов — для пользователя, а также для некоторых защитных механизмов они могут выглядеть как что-то совершенно безопасное, например картинка или документ. А по факту внутри находится вредоносный код. Причем код может быть написан сразу на нескольких языках программирования.
      Злоумышленники используют самое разное сочетание форматов. Компания Unit42 исследовала атаку с применением файла контекстной справки в формате Microsoft Compiled HTML Help (расширение .chm), который одновременно является HTML-приложением (файлом в формате .hta). Исследователи также описывают применение картинки в формате .jpeg, внутри которой по факту находится PHP-архив .phar. В случае с атакой, исследованной нашими экспертами, внутри архива .zip был спрятан исполняемый код.
      .
      View the full article
    • robocop1974
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
×
×
  • Создать...