Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 866 867 868 869 870 871 872 873 874 875 876 ... 1784 След.
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 16:12:23
похоже на этот вариант
http://forum.esetnod32.ru/forum16/topic9167/

[QUOTE]Эксперты вирусной лаборатории ESET обнаружили новую версию банковского трояна Carberp. В результате его анализа было установлено, что вредоносный код начал использовать специальную Java-библиотеку с открытым исходным кодом (т.н. Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java.

Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ, который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, который детектируется ESET как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей. [/QUOTE]

здесь, как раз в папке с агентом этот файлик
javassist
Изменено: santy - 22.06.2013 16:14:25
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 16:02:17
[QUOTE]Арвид пишет:
какие-то лентяи файл компилировали[/QUOTE]
вот-вот, тоже подумал такое
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 16:00:45
цифровая все таки подозрительная
[QUOTE]Цифр. подпись Действительна, подписано IdentityMine Inc[/QUOTE]

но еще больше вот это инфо
[QUOTE]Описание TODO: <Описание файла>
Производитель TODO: <Название компании>
[/QUOTE]
кстати, довольно часто встречается, и не всегда у зловредов.
что это может означать.
-------
может, какая то инфо не попала при компиляции файла? и остались поля незаполненные
Изменено: santy - 22.06.2013 16:01:48
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 15:55:31
да, здесь цифровая подпись вводит в заблуждение.
я тоже крутил образ по всякому, потом отменил статус проверенные и выбрал фильтр по дате. так и обнаружился этот файл.
Перейти
[ Закрыто] Win32/Spy.Banker.ZNX, Словили вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 15:53:42
+
имеет смысл перейти на 6.0.316 версию ESET вместо четверки.

[QUOTE]"Модуль" = "c:\program files\eset\eset nod32 antivirus\ekrn.exe" ( 1: Безопасно ) ; ESET Service ; ESET ;
"Версия файла" = "4.2.71.3 " ( 1: Безопасно ) ;
"Имя продукта" = "ESET Smart Security" ( 1: Безопасно ) ;
[/QUOTE]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 15:49:41
интересно, на основании чего ESET sysinspector присвоил рейтинг безопасности подозрительному файлу

[QUOTE]"bifit_agent" = "C:\Users\User\AppData\Roaming\iBank2\agent.exe" ( 2: Безопасно ) ; TODO: <Описание файла> ; TODO: <Название компании> ; [/QUOTE]

http://forum.esetnod32.ru/forum6/topic9659/
Перейти
[ Закрыто] Win32/Spy.Banker.ZNX, Словили вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 14:53:56
ок, проверяйте как банк будет работать без этого "лишнего" файлика. можно дополнительно связаться с техподдержкой банка и выяснить, нужен ли этот файлик для работы банка.
Изменено: santy - 22.06.2013 14:54:46
Перейти
[ Закрыто] Win32/Spy.Banker.ZNX, Словили вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 14:42:14
еще,
если для работы банка необходима java, то установите актуальную версию java

поскольку скриптом мы удалили старую версию
[QUOTE]; Java™ 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet[/QUOTE]

возможно, через нее и пробили систему, поскольку актуальный бильд для java 6 v 45
http://www.oracle.com/technetwork/java/javase/downloads/jre6downloads-1902815.html
Изменено: santy - 22.06.2013 14:43:05
Перейти
[ Закрыто] Win32/Spy.Banker.ZNX, Словили вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 14:38:27
теперь надо проверить, чтобы ваш банк нормально выполнял все транзакции, файл я отправил в вирлаб, будем ждать результат.
Перейти
[ Закрыто] Win32/Spy.Banker.ZNX, Словили вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 14:31:25
судя по айпишнику, который есть в файле cfg, перекидывает куда то не туда.
https://www.nic.ru/whois/?query=198.100.144.39
айпишник канадский
в этом файле прописан.
[QUOTE]bifit_a.cfg[/QUOTE]
Перейти
Пред. 1 ... 866 867 868 869 870 871 872 873 874 875 876 ... 1784 След.