Вирус в ICQ
![гильдия Бойцы (Мастер)[9183]](../images/clans/fighters_small.gif){kind=small}
![гильдия Охотники Илдиора (Грандмастер)[15988]](../images/clans/hunters_small.gif){kind=small}
![гильдия Учителя (Адепт)[550]](../images/clans/teachers.gif){kind=small}
level13 
Назад к темам раздела.
2011-01-03 10:39:16 ![гильдия Столичные Шахтеры (Элита)[179834]](../images/clans/miners_capital_small.gif){kind=small} ![гильдия Мудрецы (Элита)[78316]](../images/clans/thinkers_small.gif){kind=small} AndreyF level13 Мне от Принцесс вчера приходило, но отказался на принятие файла. Советую тебе комп почистить антивирусом и сменить пароль от аськи | ||
| 2011-01-03 10:44:12 AndreyF _Дракон_ level13 C:WINDOWSPrefetch Там находятся ярлыки на последние запускаемые файлы) Так что можно там все почистить это только вам в пользу) А можно и не чистить заразы там нету. | ||
| 2011-01-03 10:53:56 _Дракон_ AndreyF а как тогда удалить? | ||
| 2011-01-03 10:54:23 yashchar Гы, сегодня стало интересно, что ж за файл такой. Решил поэкспериментировать: ESS и DrWeb его не видят, их использовать бесполезно. Miranda со включенным SSL, MD5 ему не по зубам ))) Летайте самолетами Аэрофлота  | ||
| 2011-01-03 10:56:00 _Дракон_ yashchar тебе смешно..а многим не до шуток) | ||
| 2011-01-03 11:00:38 yashchar _Дракон_ Ну я просканировал реестр, вручную, разумеется, он не создает нигде ярлыков на автозапуск, библиотек в себе вроде не содержит, иначе его попалил бы эвристический анализ... Так что вроде бы - запустился один раз и нагадил Все что я смог - отправить его на анализ в DrWeb И ESET)) | ||
2011-01-03 11:04:11 ![гильдия Собиратели (Грандмастер)[15218]](../images/clans/druids_small.gif){kind=small} глаголь ася для школоло, стесняющихся своего писклявого голоса  | ||
| 2011-01-03 11:35:28 yashchar Сказал доблестный первокурсник  | ||
2011-01-03 11:40:42 ![гильдия Королевские Лабоходы (Новичок)[13]](../images/clans/labers_small.gif){kind=small} FA-18 мде)))а я удивлялся в 2 ночи чо эта меня пошли по 2му кругу поздравлять | ||
| 2011-01-03 11:59:58 level13 AndreyF ты бы прочил мой последний ночной пост )) А вообще такое антивирусами так сразу и не увидится. народ, кто на форумах разбирается судя по коду говорят, что просто студенты развлекаются... но пароли возможно от аськи угнать может... _PriNceSS_ что именно то не понятно? | ||
| 2011-01-03 12:00:50 _Дракон_ level13 пароли наврятли)так как с телефона сижу нормально) | ||
| 2011-01-03 12:00:56 level13 Автор: WhiteElephant Дата: 03 Янв 2011 10:15 IM-Worm.Win32. QiMiral.ax 28 октября, 2010 Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium". Является приложением Windows (PE-EXE файл). Имеет размер 938496 байт. Написана на Delphi. Деструктивная активность После запуска червь показывает свое окно, в котором отображает картинку: При попытке закрытия окна вредоноса, происходит лишь его сокрытие, а деструктивные действия продолжают выполняться. Червь выполняет поиск окон с именами классов: TMainForm TManForm Определяет процесс, который создает данные окна и производит чтения памяти процесса на предмет определения пароля пользователя. Если такие окна не были найдены – червь определяет месторасположение установленного IM клиента, прочитав значение параметра "InstallLocation" ключа реестра: [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstall QIP Infium] [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstall QIP 2010] Затем выполняет поиск ".qip" файлов, содержащих информацию о профиле пользователя, которые хранятся в каталоге "Profiles". Поиск осуществляется по следующим каталогам: %Program Files%QIP InfiumProfiles %Documents and Settings%%Current User%Application Data QIPProfiles Завершает работу IM клиентов, выполняя следующие команды: taskkill /F /IM qip.exe taskkill /F /IM infium.exe taskkill /F /IM icq.exe Удаляет файлы: LIlangs.cfg Файл настройки языковых параметров программы мгновенных сообщений QIP. LangsEnglish.dll Файл библиотеки с английским интерфейсом для QIP Infium. LangsRussian.dll Файл библиотеки с русским интерфейсом для QIP Infium. Где - один из стандартных путей установки программы мгновенных сообщений: %Program Files%QIP Infium %Program Files%QIP %Program Files%QIP 2010 Или каталог указанный пользователем для установки клиента мгновенных сообщений. Удаление вышеуказанных файлов приводит к невозможности запуска соответствующего клиента мгновенных сообщений (QIP или QIP Infium). Выполняет обращения по следующему адресу: 64.12.201.185 На момент создания описания данный ресурс был недоступен. Распространение После получения логина и пароля от учетной записи, используя собственный компонент для работы с ICQ протоколом, червь осуществляет рассылку своего тела по всему списку контактов. При этом имя рассылаемого файла указывается как: Snatch Также червь имеет небольшой механизм ведения диалога. | ||
| 2011-01-03 12:01:36 level13 _Дракон_ а кто сказал, что сразу будут использовать?)) потом спама ради смогут ) | ||
| 2011-01-03 12:09:50 level13 говорят каспер уже видит. | ||
| 2011-01-03 12:21:26 _Дракон_ я удалил на много проще) зашел в асю с телефона и файл спокойно удалился) переустановил аську и все работает))) | ||
| 2011-01-03 12:29:29 yashchar На самом деле, как альтернативу QIP можно использовать RnQ. Установки он не требует. Записей в реестре не создает, все хранит в своей папке, назначить которую можно любой. Присутствует SSL и MD5 | ||
| 2011-01-03 12:29:40 глаголь yashchar конеш, мне терь можно | ||
| 2011-01-03 12:31:04 черный_клинок Мне вот интересно, а что эта темка делает в персонажах, куда смотрят модеры, или темка из серии "сириус в 100500 раз шлет вирусы по аське"?)) | ||
| 2011-01-03 12:38:31 level13 ну раз сказал, что здесь не место, то конечно же закрыто. кому надо сами разберутся. | ||
| 2011-01-03 12:46:26 Korwin черный_клинок Темка предупредительная. Подобные темы всегда постились в Персах. И от того, что автор обазвал бы её, скажем - Всем персонажам лиги у которых я есть в ICQ, смысл темы не поменяется.
Закрыто | ||
| 1 | 2 |