Snatch.exe
В сети icq появился новый вирус. Контакт, зараженный вирусом рассылает файл Snatch.exe.
Чего эта сволочь делает — я пока не понял. Но как минимум моментально начинает рассылку себя самой по всем контактам.
В сети icq появился новый вирус. Контакт, зараженный вирусом рассылает файл Snatch.exe.
Чего эта сволочь делает — я пока не понял. Но как минимум моментально начинает рассылку себя самой по всем контактам.
Вытыривает с твоего компа тебя из онлайн, рассылает по всем контактам себя саму, плюс пишет , что «погляди , интересная вещь», то есть получается с Искусственным интелектом вирус. Кто вскрыл Код и более подробно как себя обезопасить можно?
Не принимать файло, а если уже принял — проверяй на ВирусТотал»е
Получил я его, запустил в песочнице, посмотрел и удалил.
Где его можно взять?
«искуственный интелект» прописан, так как даёт более-мение внятные ответы на твои вопросы…
отрывок беседы:
привет. это что?
V (14:27:08 16/08/2010)
привет!
WasP (14:27:40 16/08/2010)
ты мне пытаешься что-то отправить… это что?
V(14:27:48 16/08/2010)
ну мини игра типа )
WasP (14:29:07 16/08/2010)
а мама на какой фамилии сейчас? на ****? я просто письмо писать буду, потому и спрашиваю… 🙂
WasP (14:30:12 16/08/2010)
Даш, это точно ты отправляешь? а то на вирус смахивает…
V(14:30:21 16/08/2010)
нет, что ты? как можно?! )
WasP (14:30:32 16/08/2010)
%)
WasP (14:30:49 16/08/2010)
и всё-таки про фамилию…
я принял файл, но не открывал его, ибо 5-й точкой чувствовал подвох. вскоре всем коллегам начал приходить этот файл.
вот нашёл блог, где описали проблему:
«Массовое хищение учетных записей ICQ произошло в течение минувшего получаса. Пользователи популярного мессенджера получили предложение скачать файл «Snatch». Те, кто скачал этот файл, немедленно лишились доступа к своему контакт-листу в ICQ. После этого началась цепная реакция — рассылка аналогичных запросов на передачу файла всем пользователям контакт-листа.
Как комментируют специалисты, для того, чтобы заблокировать дальнейшую отправку, необходимо в диспетчере задач Microsoft Windows удалить в списке процессов «Snatch.exe». После этого в системном реестре удалите все записи, содержащие «Snatch.exe». После этого переустановите программу-клиент ICQ и обязательно смените пароль своей учетной записи.»
Почему антивирус его не видит?
К примеру в процессах или в реестре….
Выковырял из процессов, в реестре 1 запись… удалил. но можно ли спокойно дальше работать ?
вот к стати результаты сканирования «Snatch» различными антивирусами:
http://www.virustotal.com/file-scan/report.html?id=41e19d03853208caec30a3c6c9bffa038e6b03f0a021b24bbac092dbdbff788c-1281964606
Тираз, я считаю в ручном режиме гарантий нет… нужно сканить систему антивирями, которые выявили этот вирус. списком выше есть ссылка. и если антивирь выудит, то гарантия хоть какая-то появится…((
Изучил Snatch.exe
Прога написана на Borland Delphi, представляет собой простейший ICQ-клиент, умеет весело беседовать.
Для собственной беседы тырит пароли, похоже знает как работать через прокси.
Список асек которые знает:
QIP Infium
QIP 2010
IM ICQ
причем зараза знает только стандартные пути их установки, однако через TaskKill валит их в процессах
Адрес, куда сливает инфу выловить не удалось:( если она вообще их сливает
Цепляется к ICQ серверу по адресу 64.12.201.185, если его уронить на время, то прога кажись накроется, хотя и вроде как знает что такое login.icq.com
Кстати взможно пароль она не меняет, видел как народы с телефона потом заходили в сеть
Реагирует на слова в сообщении и их части:
слово или часть:
троян
трой
вирь
вирус
Ответ:
нет, что ты? как можно?! )
нет, глянь )))
слово или часть:
чито
що
шо
че
чё
чо
что
Ответ:
ну мини игра типа )
глянь ))
слово или часть:
не могу
ринимает
Ответ:
включи в настройках передачу файлов )
слово или часть:
ахуя
ачем
Ответ:
а зачем рыбе велосипед? )
слово или часть:
Бот
бот
Ответ:
эээ… сам ты бот =\
слово или часть:
Сейчас
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще
Ответ:
file
слово или часть:
спам
Ответ:
где это видано чтоб спаммеры файлы слали? это я шлю!
И также знает:
привет!
здра
хай
здар
прев
прив
Вирус достаточно легко удаляется даже не профессионалами. Последовательность действий описана здесь: http://mobichel.ru/posts/post2143.html
В QIP 2005 не меняется пароль…. Не только у меня. Как быть?
Кстати, помог откат системы на день назад
Вмрус вроде бы удалил, но теперь ни опера ни мозила не запускается(((
Что делать?
Максим, посмотрите сообщение от Ditilin
Как откатить систему?
Мне теперь уже на два дня наверное нужно, т.к. это все вчера случилось…
А кроме отката что-нибудь помогает для смены пароля?
1-е Удалил загруженный файл Snatch.exe в сохраненных файлах Квипа
2-е Восстановил систему до ближайшей точки восстановления
В реестре Виндовс его нет
Пароль не меняется даже на сайте icq, но так было еще 3 недели назад.
если через сайт или квип пасс не меняет, то сменит через Юпас чейнжер)) проверено