Троян с "Вечной жизнью"

[NoAdmin 0]

Ссылка исправлена! Всем Спасибо! До новых! встреч!

Изменено 5 апреля, 2008 пользователем NoAdmin

[NoAdmin 0]

Новая зараза!

 

При заходе на сайт (http://www.***.ua/) отработал KIS - троян.

 

обнаружено: троянская программа Trojan-Spy.Win32.Zbot.bcn URL: http://***.biz/ex/new/load.php//load

обнаружено: троянская программа Trojan-Clicker.HTML.IFrame.bk URL: http://www.***.ua/

 

заблокирован.

 

Однако открылось окно какого-то EXE-шника.

 

Т.е. несмотря на блокировку - загрузился файл в корень С:

 

 

Упакованный файл - [удалено]

Изменено 19 апреля, 2008 пользователем Алексей Шевченко
Нельзя выкладывать на форум подозрительные файлы! //Алексей Шевченко

[radioelectron 91]

NoAdmin, в архиве, который Вы выложили, лежит HTML document c расширением .exe следующего содержания:

<html>
<head>
<title>Kaspersky Internet Security 7.0</title>
<STYLE type="text/css"><!--BODY{background-color:#ffffff;font-family:verdana,sans-serif}PRE{font-family:sans-serif}--></STYLE></head>
<body>
<h1>ACCESS DENIED</h1>
<h2>The requested URL could not be retrieved</h2>
<hr noshade size="1px">
<p>While trying to retrieve the URL: <u>http://atomakayan.biz/ex/new/load.php</u></p>
<p>The folowing error was encountered:
<ul>
<li><strong>The requested object is INFECTED. The following viruses <a href=http://www.viruslist.com/en/search?VN=Trojan-Spy.Win32.Zbot.bcn>Trojan-Spy.Win32.Zbot.bcn</a> were found</strong>
</ul>
</p>
<p>Please contact your service provider if you feel this is incorrect.</p><BR clear="all">
<HR noshade size="1px">
<ADDRESS>
Generated Sat Apr 19 18:15:52 2008
by Kaspersky Internet Security 7.0
</ADDRESS>
</body>
</html>

[NoAdmin 0]

И о чем это все говорит?

[Ig0r 1 181]

И о чем это все говорит?

О том, что вирус не пропущен. Вместо него записался отчет о блокировке.

[NoAdmin 0]

Отчет записался в виде EXE-файла? Shock!

[radioelectron 91]

Отчет записался в виде EXE-файла? Shock!

Вирус хотел записать свои вредоносные данные в .ехе-файл, а Каспер эти данные не пропустил.