Зловред, а может и больше idk - Страница 2

AlexZir · 03.03.2017, 12:28

клиентский модуль RAdmin-а уже давно (как минимум лет 10) используется разными шпионскими программами и троянами, так что неудивительно, что у вас появились проблемы.

safety · 03.03.2017, 12:39

Цитата:

Сообщение от виктор_лютый

т.е. на данный момент система чистая?

судя по образу ничего особенного нет, кроме левых расширений в браузере Chrome

safety · 03.03.2017, 12:47

Цитата:

Сообщение от AlexZir

клиентский модуль RAdmin-а уже давно (как минимум лет 10) используется разными шпионскими программами и троянами, так что неудивительно, что у вас появились проблемы

Алексей, смотря какая версия Radmin. 3.4 я думаю нормально защищена. (актуальная сейчас 3.5). А вот Ammyy Admin как то вышел из доверия. В последнее время была информация, что сайт часто взламывают, и под видом Ammyy Admin были выложены для скачивания трояны и шифраторы.

Цитата:

Антивирусная компания ESET в четверг сообщила об обнаружении нового вектора кибератаки Buhtrap, нацеленной на российский бизнес. Злоумышленники скомпрометировали дистрибутивы популярной системы удаленного доступа и администрирования Ammyy Admin.

Киберкампания «Операция Buhtrap» («ловушка для бухгалтера») была раскрыта ESET весной 2015 года. Атакующие распространяли банковское шпионское ПО, используя фишинговую рассылку и набор вредоносных программ для контроля над зараженным ПК. 88% жертв атаки – компании из России.

В октябре 2015 года аналитики ESET обнаружили вредоносную активность на сайте компании Ammyy Group. Злоумышленникам удалось загрузить на сервер модификацию дистрибутива программы Ammyy Admin, содержащую установщик легитимной программы и вредоносное ПО группы Buhtrap. Скомпрометированный дистрибутив был доступен для загрузки около недели.

https://news.softodrom.ru/ap/b23593.shtml

Цитата:

Сайт Ammyy Admin был взломан как минимум 2 дня

Зараженный установщик Ammyy Admin, который удалось получить MalwareHunterTeam, был загружен на VirusTotal 20 раз 19 различными пользователями между 14 сентября 07:47:04 и 15 сентября 06:50:39.
Некоторые пользователи имеют очень полезную привычку проверять загружаемые файлы с помощью сервиса VirusTotal. Таким образом, указанный период вероятно относится к промежутку времени, когда сайт был заражен, и некоторые пользователи смогли проверить файл онлайн.
Гибридный анализ файла показал, что внутри него расположен бинарный файл под названием “encrypted.exe”, запакованный вместе с оригинальным установщиком AA_v3.exe. Каждый пользователь, который запустит установщик, также автоматически откроет скрытый файл, который установит шифровальщик Cerber.

https://www.comss.ru/page.php?id=3377

виктор_лютый · 03.03.2017, 12:54

Цитата:

Сообщение от safety

судя по образу ничего особенного нет, кроме левых расширений в браузере Chrome

спс. будем наблюдать,от удаления аваста пожалуй воздержусь.

AlexZir · 03.03.2017, 13:35

Александр, этой новости полгода уже, бинарник давно уже перепаковали. Но за напоминание спасибо отдельное.
В принципе, TeamViewer вполне себе нормальная замена. К тому же я советовал временно перейти на другого клиента удаленки, до выяснения причин, так сказать.

Учитывая установленную у топикстартера версию ОС, предполагаю, что вряд ли там лицензия, скорее, сборка с кучей дополнительного софта. Из предположения можно сделать предварительный вывод, что последними версиями RAdmin там тоже не пахнет.

safety · 03.03.2017, 14:02

согласен, можно было временно отключить radmin server и другим способом понаблюдать за системой.

судя по списку установленных программ:
установлен Radmin Server 3.4

вообще r_server с цифровой подписью.
C:\WINDOWS\SYSTEM32\RSERVER30\RSERVER3.EXE
3, 4, 0, 0
Действительна, подписано Famatech International Corp.,

AlexZir · 03.03.2017, 14:07

Хех, получилось как у классика "Пастернака не читал, но осуждаю". Надо было мне всё-таки в лог глянуть перед предварительными выводами

safety · 03.03.2017, 14:22

на один из файлов из каталога rserver30 таки ругается Касперский, так что скорее всего пакет радмин без действительной лицензии

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\RSERVER30\WSOCK32.DLL
Имя файла WSOCK32.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ПРОВЕРЕННЫЙ DLL

www.virustotal.com 2017-02-28
Kaspersky not-a-virus:RemoteAdmin.Win32.RAdmin.wk

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ DLL
File_Id 2A425E19D000
Linker 2.25
Размер 30720 байт
Создан 13.01.2010 в 23:54:24
Изменен 13.01.2010 в 23:54:24

TimeStamp 19.06.1992 в 22:22:17
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя WSOCK32.DLL
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 2.3.0.0
Описание Famatech Radmin Server Expansion
Производитель Famatech Fan Club

Доп. информация на момент обновления списка
SHA1 968DA067C976004DE73087E641217C204B20AB3F
MD5 A094EFFBB91BA2002F815340EDA30890

Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\RSERVER30\RSERVER3.EXE

Ссылки на объект
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

AlexZir · 03.03.2017, 14:26

Цитата:

Сообщение от safety

WSOCK32.DLL

Насколько помнится, он отвечает за сетевую активность. Системная библиотека в каталоге прикладной программы - это подозрительно. Так что немудрено.

виктор_лютый · 03.03.2017, 14:27

наблюдается тенденция периодически выключаться, у того пк естессно нема монитора и прочего, ташить его до своего рабочего места, отключать свой рабочий пк и тдп. такой геморой...
что его крашит ума не приложу (минидамп пустой,журнал офф был), хоть шиндовс переставляй кек.
За что все не любят винду, "стабильность не не слышали"...

03.03.2017, 12:28	#11 (permalink)
AlexZir support Регистрация: 19.08.2007 Адрес: Зея Сообщений: 15,797 Записей в дневнике: 71 Сказал(а) спасибо: 166 Поблагодарили 203 раз(а) в 86 сообщениях Репутация: 75760	клиентский модуль RAdmin-а уже давно (как минимум лет 10) используется разными шпионскими программами и троянами, так что неудивительно, что у вас появились проблемы.

03.03.2017, 12:28
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Аналогичные темы создавались ранее, вы можете ознакомиться с ними Обрубается wi-fi сеть переодически, может раз в день, а может через каждую минуту. Очередной зловред Зловред Win32 Tenga

03.03.2017, 13:35	#15 (permalink)
AlexZir support Регистрация: 19.08.2007 Адрес: Зея Сообщений: 15,797 Записей в дневнике: 71 Сказал(а) спасибо: 166 Поблагодарили 203 раз(а) в 86 сообщениях Репутация: 75760	Александр, этой новости полгода уже, бинарник давно уже перепаковали. Но за напоминание спасибо отдельное. В принципе, TeamViewer вполне себе нормальная замена. К тому же я советовал временно перейти на другого клиента удаленки, до выяснения причин, так сказать. Учитывая установленную у топикстартера версию ОС, предполагаю, что вряд ли там лицензия, скорее, сборка с кучей дополнительного софта. Из предположения можно сделать предварительный вывод, что последними версиями RAdmin там тоже не пахнет.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

03.03.2017, 14:02	#16 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	согласен, можно было временно отключить radmin server и другим способом понаблюдать за системой. судя по списку установленных программ: установлен Radmin Server 3.4 вообще r_server с цифровой подписью. C:\WINDOWS\SYSTEM32\RSERVER30\RSERVER3.EXE 3, 4, 0, 0 Действительна, подписано Famatech International Corp.,

03.03.2017, 14:07	#17 (permalink)
AlexZir support Регистрация: 19.08.2007 Адрес: Зея Сообщений: 15,797 Записей в дневнике: 71 Сказал(а) спасибо: 166 Поблагодарили 203 раз(а) в 86 сообщениях Репутация: 75760	Хех, получилось как у классика "Пастернака не читал, но осуждаю". Надо было мне всё-таки в лог глянуть перед предварительными выводами

03.03.2017, 14:27	#20 (permalink)
виктор_лютый Banned Регистрация: 02.12.2010 Сообщений: 1,130 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 69	наблюдается тенденция периодически выключаться, у того пк естессно нема монитора и прочего, ташить его до своего рабочего места, отключать свой рабочий пк и тдп. такой геморой... что его крашит ума не приложу (минидамп пустой,журнал офф был), хоть шиндовс переставляй кек. За что все не любят винду, "стабильность не не слышали"...