Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи nadworny_av
Выбрать дату в календареВыбрать дату в календаре

1
зашифровано с расширением id-*[email protected], возможно, Filecoder.DG
 
nadworny_av
nadworny_av
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 27.12.2012
Размещено 04.04.2016 14:22:49
EAV-0138750602
ESET Endpoint Antivirus 5.0.2126.3, ESET File Security 4.5.12005.0
XP, Vista, 7, 8.1, Server 2003, Server 2008

Здравствуйте!
Сегодня часть файлов на сетевых обменниках оказалась зашифрована.
Файлы вида [имя файла].id-[число][URL=mailto:[email protected]][email protected][/URL]
Образцы в архиве, пароль infected
Источник заражения неизвестен.

Заранее благодарю.
Перейти
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
 
nadworny_av
nadworny_av
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 27.12.2012
Размещено 27.12.2012 14:33:35
Доброго времени суток!

Проблема проявилась, когда у одного из пользователей сетевого обменника перестали открываться документы из его сетевой папки.
"Приложение sysNT.exe выполнило... и будет закрыто". Документы оказались исполняемыми файлами с иконкой Word'а, скрытых файлов в папке не обнаружено. Пользователь говорит, что незадолго до этого ESET Endpoint Antivirus выругался на что-то, но вспомнить больше не смог.

Взял проверить папку к себе на компьютер. Что удалось выяснить.
Сканирование ESET EA 5.0.2122.10 инфицированных файлов заразы не обнаружило.
Сканирование утилитами DrWeb CureIT и Kaspersky Virus Removal Tool обнаружило трояны, но лечить отказалось.

Далее... При запуске инфицированного файла ESET EA обнаруживает запущенный процесс sysNT.exe и благополучно убивает его с сообщением:
[QUOTE]вероятно модифицированный Win32/TrojanDropper.Agent.IISTPVU троянская программа очищен удалением - изолирован[/QUOTE]
Но не слишком быстро, поэтому в системе становится на несколько инфицированных документов (doc, docx) больше. Тем не менее в некоторых случаях документ открывается в ассоциированной программе. Позже распакованные документы удавалось обнаружить в папке C:\temp32 в нумерованных подкаталогах (если до них не успевал добираться вирус и инфицировать снова :)
В автозагрузке появился файл s[B]t[/B]sNT.exe, но ESET EA на него не среагировал. Файл был удален мной из автозагрузки и после перезагрузки снова туда не прописался.

Краткое резюме (как я себе это вижу): приложение sysNT.exe при запуске прописывает s[B]t[/B]sNT.exe в автозагрузку пакует документы, до которых успевает добраться и себя в исполняемый файл. При запуске распаковывает документ в папку C:\temp32, открывает его вордом, распаковывает и запускает sysNT.exe

Необходимо решение по автоматическому лечению и восстановлению инфицированных документов.
Очень надеюсь на вашу помощь.
Лог UVS во вложении.
Изменено: nadworny_av - 27.12.2012 14:35:04
Перейти
1