Хз как назвать)

[cvazar]

Короче дело так - при запуске ярлыка WoW сработал KIS2013

При обращении WoW к C:\windows\sistem32\oledsp32.dll обнаружен virus.win32.sality.t ну и все это дело было вылечено

Вопрос это чего такое и де оно взялось?

а вот картинка чтоб голословным не быть http://joxi.ru/AEcrVP3JTJA6Xd0Skio

Edited October 1, 2014 by cvazar

[Kofeek]

Скорее подхватили левый файл.

Удалите все папки кроме Data, заного извлеките файлы из архива.

[Astik]

Советую сменить пароли на всех аккаунтов, почт и прочего.

ъ

Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта.

Инсталляция

 

При запуске зараженного файла из тела вируса извлекается следующий файл:

 

* %System%\oledsp32.dll — имеет размер 25600 байт

 

Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе.

 

Процедура заражения

 

Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR.

 

Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт.

 

При заражении вирус дописывает себя в конец последней секции PE-файла.

 

После того как Sality.t завершает свою работу, управление снова передается оригинальной программе.

 

Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска.

 

Деструктивная активность

 

Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов.

 

Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла:

 

 

 

%System%\TFTempCache

В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время.

 

Кроме того, туда помещается информация о дате и времени работы с окнами, содержащими в заголовках такие строки:

 

 

* TERM

* CONNECT

* СОЕДИНЕН

* УДАЛЕНН

* REMOTE

* LOGIN

* PASS

* СВЯЗ

* ТЕРМ

* ПОДКЛЮЧ

* MOZIL

* OUTLOOK

* SERV

* ПОЧТ

* NET

* CHAT

* MONEY

* РЕГИСТ

* EGIST

* SYSTEM

* ПАРОЛ

* PIN

* ПЕРЕД

* ПИН

 

Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL.

 

Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя.

 

Содержимое файла «%WinDir%\edialer.ini» похищается.

 

Все собранные данные вирус отсылает на один из электронных адресов злоумышленника:

 

 

Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями:

 

 

.vdb

.key

.avc

.tjc