АФИША · ФОТО · ФОРУМ · КЛУБЫ · БАРАХОЛКА · zvuk.in/m Добавить анонс
ZVUK.IN - Музыка в Нижнем Новгороде. Анонсы концертов и вечеринок, фоторепортажи, отчеты, обсуждения. Афиша клубов Нижнего Новгорода
Играй Гармонь! 30 лет в эфире. Korpiklaani - Russian Noita 2016
Активные темы · Участники · Репутация · Поиск · Кто тут? · Помощь · WAP · 

> ЗВУК ВОКРУГ -> И всё остальное... -> Флуд и трёп -> То что не влезло в другие форумы :) 

Pinch

Новый "модный" ICQ троян
Ответ в темуСоздание новой темыСоздание опроса
  Freem
19.05.2008 - 01:50
Цитировать сообщение




Теория...



-----------------------------------------
Привет, смотри!!! 1-1.gif
http://co-opworld.com/new/top/20/
Классная вещь! :-)
-----------------------------------------


(ссылки куда вас отправляет пинч могут быть самые разнообразные)

Эта зверушка специализируется на краже конфиденциальной информации. Распространяется через ICQ, да и не только через нее, обладает несметным множеством вариантов, но часть имени Pinch - неизменна. Но никогда ранее не доводилось сталкиваться с ним нос к носу. Что ж, все когда-то бывает впервые, иногда прямо с утра.
Итак, если к вам приходит сообщение вида:

---
Смотри!
< Ссылка на сайт > (< Та же ссылка + рандомное имя файла.zip >
Классная вещь!
---

можете быть уверены, ваш клиент его не отсылал - это и есть проявление троянца.

В своем базовом варианте Пинч воровал пароли. Воровал и отсылал их создателю трояна. Позже в инете нашлись заметки о том, что трояна этого сделали многофункциональным. Какими функциями его "облагораживают" в каждой новой версии - остается только гадать. Но поскольку Касперский обнаруживает все версии Пинча под одной сигнатурой (Trojan-PSW.Win32.LdPinch) - функции его следующие:
Trojan - вирусный код встроен в какое-либо легитимное приложение.
PSW - воровство конфиденциальных данных
Win32 - 32-битное windows-приложение (каковых сейчас большинство)
LdPinch - сигнатура вируса (общая для всех)
gki в нашем примере - модификация вируса.

Trojan-PSW.Win32.LdPinch.gki

Как показывает дальнейшая проверка, троян там не один

Trojan-Spy.HTML.Prikolfraud.b

Чем и как лечить?...


Лучше всего касперским, загруженным с LIVE CD. Из самой системы вряд ли....

По идее - почти всегда при заражении подразумевается работа с реестром, так как именно там хранятся все ссылки на автоматический запуск программ. А пинч именно этим и живет. Проблема в том, что ключей автозапуска в Windows - с десятка три-четыре, все их вряд ли кто вспомнит сразу. Есть полуавтоматический вариант - на сайте компании TrendMicro лежит специальная утилита под названием HiJackThis. Весьма полезный инструмент, позволяющий отследить находящиеся в системе нежелательные процессы, ссылки и тому подобное. Забрать утилитку можно отсюда.

-------------------------------------------
Более подробно тут

Это сообщение отредактировал Freem - 19.05.2008 - 02:00


--------------------
๑۩ - Shit happens - ۩๑
Фотографии
  Лёха(СИНИЙ)
19.05.2008 - 03:19
Цитировать сообщение




хуй на него


--------------------
I HATE YOU!

Хуй, а не ПАНК!

Пончик Привет!
  ReeVe
19.05.2008 - 08:21
Цитировать сообщение

unsuccessfully



Freem, 19.05.2008 - 02:50
Проблема в том, что ключей автозапуска в Windows - с десятка три-четыре, все их вряд ли кто вспомнит сразу

Хм, имхо, если у тебя 3-4 десятка ключей автозапуска, то на компе как минимум много лишнего 1-1.gif

Как правило, всякая подобная живность очень несложно вылавливается руками следующим способом: как только обнаружили что что-то поймали - заходим в C:\windows\system32, сортируем по дате создания и смотрим последний файл. Потом стираем одноименный ключик автозагрузки, как правило который в ветке HKEY_LM (полный путь не помню, посмотреть негде)


--------------------
Никогда не спорьте с дебилом, иначе Вы опуститесь на его уровень, где он Вас и задавит своим опытом.
Hail spellcheck!
Фотографии
  PyJIoH
19.05.2008 - 08:47
Цитировать сообщение




2ReeVe:
а в в C:\windows\system32 не появляются нужные файлы? или эта папка неизменнас момента установки винды?


--------------------
Профессиональная организация свадеб, юбилеев, корпоративок, концертов. Фото-, видео съемка. тел 410-43-35.
www.event-nn.ru
Фотографии
  ReeVe
19.05.2008 - 09:03
Цитировать сообщение

unsuccessfully



2PyJIoH:
Ну не знаю, у меня эта папка мало меняется с момента настройки винды. К тому же там часто обновляется ключик с характерным названием, как правило вирус создается позже него. К тому же я сказал не "удаляем последний файл", а "смотрим на последний файл" 1-1.gif

Кстати, в половине случаев надо перезагрузиться в безопасный режим, так как подобные штуки нередко самовосстанавливаются.

Тем не менее все равно лучше чем каспер с LiveCD. Имхо. Хотя не исключаю что у меня профессиональное искривление мозга 1-1.gif


--------------------
Никогда не спорьте с дебилом, иначе Вы опуститесь на его уровень, где он Вас и задавит своим опытом.
Hail spellcheck!
Фотографии
  Lexx
19.05.2008 - 09:05
Цитировать сообщение




Lotox: Что с сервером случилось?
Коннект: Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!
Lotox: Кирилл, если не начнешь выражаться нормально, мы найдем нового системного администратора. Повторяю вопрос - что случилось?
Коннект: Што-о?.. Слуцилась... )


--------------------
Каждый раз, когда Путин смотрит на огонь в камине, он вспоминает о Прометее и улыбается. Все, кто присвоил заслуги Путина жестоко поплатились за это. Даже Майкл Джексон[RIP]... Мальчики — не наша тема.
  allz
19.05.2008 - 09:34
Цитировать сообщение

генералисимус всех медуз



2ReeVe:
тока пока ты смотриш в System 32 пароли от аськи уже уплыли)))


--------------------
-------------------------------
Не курит! наркотками не балуетсо !!!балуетсо ФЛУДОМ
[Ы-ФЛУДОГЕНЕРАТОР] - Словоблуд
недомузыкант- криворукий и глухой (с)
балуюсь мануальным фотофакингом
Фотографии
  -=40in=-
19.05.2008 - 09:58
Цитировать сообщение

ЫЫЫ



ReeVe, 19.05.2008 - 09:21
в ветке HKEY_LM (полный путь не помню, посмотреть негде)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Добавлено 19.05.08 в 10:01
есть еще гдето раздельчик, в котором прописаны проги и модули Services (Службы)
Там прописываются проги, которые должны грузиться всегда, не зависимо от пользователя и до его входа в систему... fingerup.gif
Фотографии
  ReeVe
19.05.2008 - 10:07
Цитировать сообщение

unsuccessfully



allz, 19.05.2008 - 10:34
тока пока ты смотриш в System 32 пароли от аськи уже уплыли)))

Пока ты перезагружаешь комп на LiveCD... Ну ты меня понял 1-3.gif

Общий вывод - нехрен открывать левые сцылки


--------------------
Никогда не спорьте с дебилом, иначе Вы опуститесь на его уровень, где он Вас и задавит своим опытом.
Hail spellcheck!
Фотографии
  allz
19.05.2008 - 11:21
Цитировать сообщение

генералисимус всех медуз



ReeVe, 19.05.2008 - 10:07
Общий вывод - нехрен открывать левые сцылки

правильно! я вот и не открываю)))


--------------------
-------------------------------
Не курит! наркотками не балуетсо !!!балуетсо ФЛУДОМ
[Ы-ФЛУДОГЕНЕРАТОР] - Словоблуд
недомузыкант- криворукий и глухой (с)
балуюсь мануальным фотофакингом
Фотографии
  Freem
19.05.2008 - 11:38
Цитировать сообщение




2ReeVe:
Грубоватый способ))


Ваще вирь то не расшифровывает пароль аськи, а кэширует его. И с помощью этого потом заходит и отсылает ссылку по всем контактам. Далее отправляет зашифрованный пароль создателю на одну страничку =))
А то я уж испугался када увидел "Ваш номер используется на другом компьютере" =))
Ваще пароль надо менять хотя бы раз в месяц =)) 8 байт на пароль это конечно ерунда полная...

Это сообщение отредактировал Freem - 19.05.2008 - 11:41


--------------------
๑۩ - Shit happens - ۩๑
Фотографии
  ReeVe
19.05.2008 - 14:18
Цитировать сообщение

unsuccessfully



Freem, 19.05.2008 - 12:38
Ваще пароль надо менять хотя бы раз в месяц =)) 8 байт на пароль это конечно ерунда полная...

ХЗ, 5 лет не менял, ни одной проблемы.

Freem, 19.05.2008 - 12:38
2ReeVe:
Грубоватый способ))

Не спорю, чтобы удостовериться в том что сработало надо неплохо разбираться в компах. Однако всяко лучше чем загрузка с LiveCD и автоматическое лечение. Во всяком случае для таких простых вирей


--------------------
Никогда не спорьте с дебилом, иначе Вы опуститесь на его уровень, где он Вас и задавит своим опытом.
Hail spellcheck!
Фотографии
  ТОС
19.05.2008 - 18:58
Цитировать сообщение




надоели мне просто всякую х*йню по асе присылать!!!типо оцени сайт и всё такое!!!!срать я хотел на весь спам!!! 3-6.gif


--------------------
Звук, который меняет сознание,
Свет, который касается тебя
Мир, в котором музыка – это сила
А энергия ритма - это душа.
  Хмель*****
19.05.2008 - 19:46
Цитировать сообщение




Lexx, 19.05.2008 - 10:05
Lotox: Что с сервером случилось?
Коннект: Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!
Lotox: Кирилл, если не начнешь выражаться нормально, мы найдем нового системного администратора. Повторяю вопрос - что случилось?
Коннект: Што-о?.. Слуцилась... )

Зачод!
Freem, 19.05.2008 - 02:50
Привет, смотри!!!
http://co-opworld.com/new/top/20/
Классная вещь! :-)

Сегодня от девушки прищло, кстате эй тоже от меня. Странно. короче пришло сразу друг другу, хотя не кто не открывал. Больше ни кто не жаловался.


--------------------
И че?
Фотографии
  Zebrochka
22.05.2008 - 00:17
Цитировать сообщение




2Хмель*****:
хааа... никто не жаловался!!!!! ты мне несколько дней назад тоже присылал!!!!


кстати, от меня такой фигни не приходило еще?


--------------------
маленький добрый поласатый лошадка

-{//флудогенератор полосатый//}-копыта, грива, хвост прилагаются

Лучше в содеянном признаться сразу,
Чтобы потом мучительно не подыскивать фразы
А вдруг не найдутся?
Чтобы не оправдываться: "мол виноват"
Многие обрадуются: "Да как же ты, брат?"
Бог с ними. Пусть дуются.

Фотографии


В теме сейчас:



Опции темы
 




Поющие гитары:





     ZVUK.IN   
Все права на материалы, находящиеся на сайте "ZVUK.IN", охраняются в соответствии с законодательством РФ, в том числе, об авторском праве и смежных правах. Использование материалов сайта допускается только с разрешения редакции или авторов материалов. При любом использовании материалов сайта, гиперссылка на "ZVUK.IN" обязательна.