Внимание!!! на file.risp.ru был выложен qip8030, при попытке скачать nod32 распознал в нем троян. Я написал об этом файл был убран. Сегодня файл снова появился, при проверке трояна обнаружено не было. файл qip8030.exe появился на бесплатных FTP, я проверил один из них трояна не обнаружил. вот ряд заголовков этого файла --------------------- File Version Information : Version language : Английский (США) CompanyName : The Author of QIP FileVersion : 8.0.3.0 FileDescription : Quiet Internet Pager Setup InternalName : LegalCopyright : LegalTrademarks : OriginalFilename : ProductName : ProductVersion : 8.0.3.0 Creation Date : 12/06/2007 09:12:12 Last Modif. Date : 12/06/2007 09:11:15 Last Access Date : 12/06/2007 09:23:34 FileSize : 2045440 bytes ( 1997.500 KB, 1.951 MB ) FileVersionInfoSize : 1372 bytes File type : Unknown File Type (0x0) Target OS : Unknown (0x0) File/Product version : 8.0.3.0 / 8.0.3.0 Language : Английский (США) (0x409) Character Set : 1252 (ANSI - Latin 1 (US, Western Europe)) (0x4E4) ---------------------- ---------------------- вот заголовки родного quip 8020 No file version information available Creation Date : 12/06/2007 09:56:46 Last Modif. Date : 22/04/2007 02:00:04 Last Access Date : 12/06/2007 09:57:18 FileSize : 2001135 bytes ( 1954.233 KB, 1.908 MB ) Даты Создания и доступа отличаются от даты Модификации ------------------------- вот с форума касперского -------------- http://forum.kaspersky.com/index.php?showtopic=40295&st=0 Новый троян ворует пароли от интернет пейджера QIP посредством впаривания якобы новой версии QIP "8030" хотя последняя версия на официальном сайте http://www.qip.ru/ "QIP 8020" biggrin.gif Распространение идет посредством сети ICQ ,само сообщение(ссылка на файл в нем) --------------- ------------------- а вот похоже и автор, либо чел, который при делах http://forum.xakep.ru/m_903469/mpage_1/key_/tm.htm#903469 QIP Hijack`ed!/Массовый Угон ась, через клиент QIP Имеется QIP двух последних версий (8010 & 8020) + 8030 (её пока нет в проекте на оф-сайте, но у меня есть)которые отсылают на указанную АСЮ свой UIN+Пароль. Данный QIP не является протрояненым или склеенным джоинером. Этот QIP является модификацией QIP! Таким образом сам qip.exe при сканирование так и остаются писанным на Делфи (смотрите картинку). Плюсы: [+] Не палится никакими антивирусами или системами зашиты. [+] В отличие от джоинеров не нуждается в распаковке. [+] QIP поставляется в оригинальном Install`е! [+] Никогда прежде этот qip не был использован, а значит его сигнатура ни в каких базах не существует! [+] Пользователь никогда ничего не заподозрит так как данные версии ничем не отличаются от оригинала. Что требуется от желающего получить себе данный qip: [+] 15WMZ [+] ICQ на которую будут сбрасываться UIN+Пароль. -------------------------- Еще поковырял, вот с оригинального Nullsoft Install System v2.22 -------- > Linker 6.0 вот из затрояненного 8030 Length Of Struc: 02ACh Length Of Value: 0034h Type Of Struc: 0000h Info: VS_VERSION_INFO Signature: FEEF04BDh Struc Version: 1.0 File Version: 8.0.3.0 Product Version: 8.0.3.0 File Flags Mask: 0.0 File Flags: File OS: UNKNOWN File Type: UNKNOWN File SubType: UNKNOWN File Date: 00:00:00 00/00/0000 Struc has Child(ren). Size: 592 bytes. Child Type: StringFileInfo Language/Code Page: 1033/1252 CompanyName: The Author of QIP FileVersion: 8.0.3.0 FileDescription: Quiet Internet Pager Setup InternalName: LegalCopyright: LegalTrademarks: OriginalFilename: ProductName: ProductVersion: 8.0.3.0 Child Type: VarFileInfo Translation: 1033/1252 -----------> Linker 2.25 Отсюда вывод, нужно прибить все эти файлы и спросить хозяина IP где он их взял и зачем так настойчиво распихивает по ресурсам
|