Zaloguj się

Anonymous Network · 29.05.2013, 15:45

LockScreen-YQ + BitCoinMiner.AT

Treść widoczna jedynie dla zarejestrowanych użytkowników

pancernik · 29.05.2013, 18:11

Anonymous Network napisał(a): LockScreen-YQ + BitCoinMiner.AT

Treść widoczna jedynie dla zarejestrowanych użytkowników

Webroot - 1/2
MBAM - 2/2
VIPRE IS - 1/2
AVG IS - 0/2
HitmanPro - 1/2

BudbarareHell · 29.05.2013, 19:09

tommyklab napisał(a):
ELWIS1 napisał(a):@ BudbarareHell

Sophos przeanalizował plik i będzie go wykrywał jako: AM-Install.exe -- already detected (AppC/admun-E (latest product version))

Kaspersky również wykrywał niebezpieczne działanie aplikacji.
Tak więc plik ma jeszcze jakiś kod Mabezata, lub pozostałości po nim, a to że został wyleczony oznacza że nie zaraża innych plików.
Jedne laby mogą wykrywać owy plik jako czysty, inne jako wirusa. Widziałem jużrary o wielkości 1 giga zarażone przez Mabezata i dalej zarażały kolejne pliki.

Uruchomienie pod KIS zainfekowanego AM-install.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Porównanie: Oryginalny AM-install.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

i z "doklejonymi resztkami" mebazat''a

[Aby zobaczyć linki, zarejestruj się tutaj]

Skan tego doklejenia na VT:

[Aby zobaczyć linki, zarejestruj się tutaj]

Tommy plik jest nieskzodliwy a kasperski sie drze ze wzgledu na to jak dziala admuncher Tongue

tommyklab · 29.05.2013, 20:04

BudbarareHell napisał(a):Tommy plik jest nieskzodliwy a kasperski sie drze ze wzgledu na to jak dziala admuncher

Czy mam ci filmik nakręcić? Smile

Myślisz, że nie sprawdzałem wcześniej, jak działa oryginalny instalator tego programu w tym samym środowisku? (=ta wyodrębniona z tego zainfekowanego) AD-install.exe przy instalacji pod nadzorem KIS? To było pierwsze, żeby wykluczyć ewentualne FP/błędy.

[Aby zobaczyć linki, zarejestruj się tutaj]

Ten plik z dołączonymi "resztkami powiedzmy mebazat''a" wywołuje alarm i kaspersky cofa całą instalację Smile

BudbarareHell · 29.05.2013, 20:21

Chlopie wylacz kasperskiego postaw tego niby mabezta ipokaz mi czy w documents and steting pojawia sie jakikolwiek dll

Twoja stara · 29.05.2013, 21:04

Treść widoczna jedynie dla zarejestrowanych użytkowników

[url]

[Aby zobaczyć linki, zarejestruj się tutaj]

[/url]

Anonymous Network · 29.05.2013, 21:09

Twoja stara napisał(a):
Treść widoczna jedynie dla zarejestrowanych użytkowników

[url]

[Aby zobaczyć linki, zarejestruj się tutaj]
[/url]

error.

tommyklab · 29.05.2013, 22:20

AM-install.exe - oryginal+"doczepka"-

[Aby zobaczyć linki, zarejestruj się tutaj]

Oryginalny AM-install.exe -

[Aby zobaczyć linki, zarejestruj się tutaj]

Sama "doczepka" -

[Aby zobaczyć linki, zarejestruj się tutaj]

Anonymous Network · 29.05.2013, 23:08

I have to check the file again Smile

.

OPEN · 30.05.2013, 09:58

może ktoś przetestować na najnowszych paczkach :
TrustPort IS 2013
Trend Micro Titanium IS 2013

..z góry thx Wink

Anonymous Network · 30.05.2013, 11:58

ELWIS1 napisał(a): Mabezat

Treść widoczna jedynie dla zarejestrowanych użytkowników
VT:

[Aby zobaczyć linki, zarejestruj się tutaj]

Uwaga: Mabezat jest bardzo groźny i infekuje wszystkie pliki exe, a nawet txt oraz rar. Uruchamiasz na własną odpowiedzialność

Malware bytes- Worm.Mabezat < -- false positive

Looks like an FP.
Ad Muncher isn''t Worm.Mabezat
Next update -> Fix Smile

friend SiRi to agree Wink

sibur · 30.05.2013, 12:53

Anonymous Network napisał(a): LockScreen-YQ + BitCoinMiner.AT

Treść widoczna jedynie dla zarejestrowanych użytkowników

Avira Antivirus Premium 2013 -2/2

Waves · 30.05.2013, 12:54

190 System Care Antivirus

Treść widoczna jedynie dla zarejestrowanych użytkowników

Trochę już mają, więc zapewne będą wykrywane Wink

sibur · 30.05.2013, 13:06

Waves napisał(a): 190 System Care Antivirus

Treść widoczna jedynie dla zarejestrowanych użytkowników

Trochę już mają, więc zapewne będą wykrywane

Avira Antivirus Premium 2013 5/190 Wow

Waves · 30.05.2013, 13:08

@up
Only five? EAM : 190/190 Wink

ZBot rozprowadzany drogą mailową wraz z kilkoma pliczkami z tej akcji Smile

Treść widoczna jedynie dla zarejestrowanych użytkowników

pancernik · 30.05.2013, 13:17

Waves napisał(a): 190 System Care Antivirus

Treść widoczna jedynie dla zarejestrowanych użytkowników

Trochę już mają, więc zapewne będą wykrywane

Webroot - 190/190
MBAM - 190/190
Trend Micro Titanium Internet Security 2013 - 0/190
AVG Internet Security 2013 - 190/190
Outpost SS Pro - 0/190 Facepalm

Waves napisał(a):@up
Only five? EAM : 190/190

ZBot rozprowadzany drogą mailową wraz z kilkoma pliczkami z tej akcji

Treść widoczna jedynie dla zarejestrowanych użytkowników

Webroot wykrywa
MBAM wykrywa
AVG Internet Security 2013 wykrywa
Trend Micro Titanium Internet Security 2013 wykrywa
HitmanPro wykrywa
Outpost SS Pro wykrywa

sibur · 30.05.2013, 13:19

to Waves ,
yes,only five
link to confirm it (spoiler)

[Aby zobaczyć linki, zarejestruj się tutaj]

Waves · 30.05.2013, 13:24

You sent undetected samples to Avira Lab? If no I can do this Smile

sibur · 30.05.2013, 13:39

to Waves ,
If it is possible,please do it Beer

...

ZBot (by Wawes)

[Aby zobaczyć linki, zarejestruj się tutaj]

Anonymous Network · 30.05.2013, 13:40

Waves napisał(a): 190 System Care Antivirus

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

Waves napisał(a):@up
Only five? EAM : 190/190

ZBot rozprowadzany drogą mailową wraz z kilkoma pliczkami z tej akcji

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie