http://forum.esetnod32.ru Новое в теме Вирус для iBank2 форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 14:42:25 +0300 Вирус для iBank2 Вирус для системы Клиент-Банк iBank2 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Файл "BIFIT_A\agent.exe" копирует себя в папку "%USERPROFILE%\Application Data\BIFIT_A", копирует "itcspea.dll" в "%WINDOWS%\system32" и самоудаляется. Что ещё делает не знаю.
=============
ради интереса надо было снять образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
тогда будет проще анализировать, какие изменения внесены в систему.
24.01.2013 18:46:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8494/message61839/ http://forum.esetnod32.ru/messages/forum6/topic8494/message61839/ Thu, 24 Jan 2013 18:46:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус для iBank2 Вирус для системы Клиент-Банк iBank2 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi пишет:
проблема в том что Вам необходимо провести полный анализ системы, в техподдержке это сделают и скажут какие именно файлы нужны, удалите все вложения и ссылки которые Вы тут оставили и отправьте все в саппорт с описанием проблемы.

Спасибо.
=============

Удалил.
24.01.2013 16:23:13, LGFox.]]> http://forum.esetnod32.ru/messages/forum6/topic8494/message61817/ http://forum.esetnod32.ru/messages/forum6/topic8494/message61817/ Thu, 24 Jan 2013 16:23:13 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус для iBank2 Вирус для системы Клиент-Банк iBank2 в форуме Обнаружение вредоносного кода и ложные срабатывания.
проблема в том что Вам необходимо провести полный анализ системы, в техподдержке это сделают и скажут какие именно файлы нужны, удалите все вложения и ссылки которые Вы тут оставили и отправьте все в саппорт с описанием проблемы.

Спасибо.
24.01.2013 15:51:49, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic8494/message61812/ http://forum.esetnod32.ru/messages/forum6/topic8494/message61812/ Thu, 24 Jan 2013 15:51:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус для iBank2 Вирус для системы Клиент-Банк iBank2 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi пишет:
Я рекомендовал бы сразу обратится сюда support@esetnod32.ru
=============

А у вас есть сервис, куда можно стучать о новых зловредах? Или в поддержку и стучать?
24.01.2013 15:33:00, LGFox.]]> http://forum.esetnod32.ru/messages/forum6/topic8494/message61811/ http://forum.esetnod32.ru/messages/forum6/topic8494/message61811/ Thu, 24 Jan 2013 15:33:00 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус для iBank2 Вирус для системы Клиент-Банк iBank2 в форуме Обнаружение вредоносного кода и ложные срабатывания.
У вас файлы только до 3,81 Мб можно грузить. Поэтому вот ещё:

Здесь два архива:

- "jre7.rar" - Папка из "Program Files" с java...
- "infotecs.rar" - Папка "C:\Program Files\InfoteCS"
24.01.2013 15:30:03, LGFox.]]> http://forum.esetnod32.ru/messages/forum6/topic8494/message61810/ http://forum.esetnod32.ru/messages/forum6/topic8494/message61810/ Thu, 24 Jan 2013 15:30:03 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус для iBank2 Вирус для системы Клиент-Банк iBank2 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Я рекомендовал бы сразу обратится сюда support@esetnod32.ru
24.01.2013 15:25:14, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic8494/message61807/ http://forum.esetnod32.ru/messages/forum6/topic8494/message61807/ Thu, 24 Jan 2013 15:25:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус для iBank2 Вирус для системы Клиент-Банк iBank2 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добрый день.

У меня стоит iBank2 - клиент-банк.
Недавно появилась ошибка при входе в iBank2: "Transport not found: GET_RESOURCES".
В поддержке ООО Бифит сообщили, что в логах Java обнаружена подгрузка чужого кода.

Файл "BIFIT_A\agent.exe" копирует себя в папку "%USERPROFILE%\Application Data\BIFIT_A", копирует "itcspea.dll" в "%WINDOWS%\system32" и самоудаляется. Что ещё делает не знаю. Зачем-то он обращается в "C:\Program Files\InfoteCS", где у меня установлен какой-то криптопровайдер. На VirusTotal это файл палится только Comodo как TrojWare.Win32.Shiz.SRI. Остальные молчат.
Вся папка "%USERPROFILE%\Application Data\BIFIT_A" в архиве "bifit_a.rar" с паролем "virus".

Я мониторил саму java.exe. Она так же обращается в каталог BIFIT_A (к *.jar пакетам), к "system32\itcspea.dll" и к "C:\AUTOEXEC.BAT". Так же к другим dll в system32.

Для мониторинга java.exe и agent.exe я использовал ProcessMonitor из пакета Sysinternals Suite. Все логи в архиве Logs.rar:

- "Process Monitor Sysinternals On close.PML" - Лог java.exe. При закрытии зараженного java-апплета.
- "Process Monitor Sysinternals On Loading - With Error.PML" - Лог java.exe. При нажатии на кнопку "Новый клиент" в нижнем левом углу и появлении ошибки "Transport not found..."
- "Process Monitor Sysinternals Total.PML" - Лог java.exe. Всеобщий лог - от запуска апплета, ошибки "Transport..." и закрытия апплета.
- "process monitor sysinternals agent startup.pml" - Лог agent.exe. Он запускается, самоудаляется и т.д.
- "Process Monitor Sysinternals After delete BIFIT_A with crash 2.PML" - Лог java.exe. После удаления папки "%USERPROFILE%\Application Data\BIFIT_A".
- "Process Monitor Sysinternals After delete BIFIT_A with crash.PML" - Лог java.exe. После удаления папки "%USERPROFILE%\Application Data\BIFIT_A".

После удаления каталога "%USERPROFILE%\Application Data\BIFIT_A" он больше не появляется (его нет и после перезагрузки ПК), однако java-апплеты валятся с ошибкой. Думаю, первоначально вирус мог установится вместе с программой "C:\Program Files\InfoteCS".

"system32\*.DLL", к которым обращался "java.exe" в архиве "dlls.rar".
Файлы "system32\*", к которым обращался "agent.exe" в архиве "bifit_a_system32.rar".

Страница системы iBank2: https://client.primbank.ru/client_su.html.
Ну вроде все...
Очень надеюсь на вашу помощь!
24.01.2013 15:14:43, LGFox.]]> http://forum.esetnod32.ru/messages/forum6/topic8494/message61806/ http://forum.esetnod32.ru/messages/forum6/topic8494/message61806/ Thu, 24 Jan 2013 15:14:43 +0400 Обнаружение вредоносного кода и ложные срабатывания