| Внимание!!! на file.risp.ru был выложен qip8030, при попытке скачать nod32 распознал в нем троян. Я написал об этом файл был убран. Сегодня файл снова появился, при проверке трояна обнаружено не было. файл qip8030.exe появился на бесплатных FTP, я проверил один из них трояна не обнаружил. вот ряд заголовков этого файла ---------------------
File Version Information : Version language : Английский (США)
CompanyName : The Author of QIP
FileVersion : 8.0.3.0
FileDescription : Quiet Internet Pager Setup
InternalName :
LegalCopyright :
LegalTrademarks :
OriginalFilename :
ProductName :
ProductVersion : 8.0.3.0 Creation Date : 12/06/2007 09:12:12
Last Modif. Date : 12/06/2007 09:11:15
Last Access Date : 12/06/2007 09:23:34
FileSize : 2045440 bytes ( 1997.500 KB, 1.951 MB )
FileVersionInfoSize : 1372 bytes
File type : Unknown File Type (0x0)
Target OS : Unknown (0x0)
File/Product version : 8.0.3.0 / 8.0.3.0
Language : Английский (США) (0x409)
Character Set : 1252 (ANSI - Latin 1 (US, Western Europe)) (0x4E4)
----------------------
----------------------
вот заголовки родного quip 8020 No file version information available Creation Date : 12/06/2007 09:56:46
Last Modif. Date : 22/04/2007 02:00:04
Last Access Date : 12/06/2007 09:57:18
FileSize : 2001135 bytes ( 1954.233 KB, 1.908 MB ) Даты Создания и доступа отличаются от даты Модификации ------------------------- вот с форума касперского --------------
http://forum.kaspersky.com/index.php?showtopic=40295&st=0
Новый троян ворует пароли от интернет пейджера QIP посредством впаривания якобы новой версии QIP "8030" хотя последняя версия на официальном сайте http://www.qip.ru/ "QIP 8020" biggrin.gif
Распространение идет посредством сети ICQ ,само сообщение(ссылка на файл в нем)
--------------- -------------------
а вот похоже и автор, либо чел, который при делах
http://forum.xakep.ru/m_903469/mpage_1/key_/tm.htm#903469 QIP Hijack`ed!/Массовый Угон ась, через клиент QIP Имеется QIP двух последних версий (8010 & 8020) + 8030 (её пока нет в проекте на оф-сайте, но у меня есть)которые отсылают на указанную АСЮ свой UIN+Пароль.
Данный QIP не является протрояненым или склеенным джоинером. Этот QIP является модификацией QIP! Таким образом сам qip.exe при сканирование так и остаются писанным на Делфи (смотрите картинку).
Плюсы:
[+] Не палится никакими антивирусами или системами зашиты.
[+] В отличие от джоинеров не нуждается в распаковке.
[+] QIP поставляется в оригинальном Install`е!
[+] Никогда прежде этот qip не был использован, а значит его сигнатура ни в каких базах не существует!
[+] Пользователь никогда ничего не заподозрит так как данные версии ничем не отличаются от оригинала. Что требуется от желающего получить себе данный qip:
[+] 15WMZ
[+] ICQ на которую будут сбрасываться UIN+Пароль. -------------------------- Еще поковырял, вот с оригинального Nullsoft Install System v2.22 -------- > Linker 6.0 вот из затрояненного 8030 Length Of Struc: 02ACh
Length Of Value: 0034h
Type Of Struc: 0000h
Info: VS_VERSION_INFO
Signature: FEEF04BDh
Struc Version: 1.0
File Version: 8.0.3.0
Product Version: 8.0.3.0
File Flags Mask: 0.0
File Flags:
File OS: UNKNOWN
File Type: UNKNOWN
File SubType: UNKNOWN
File Date: 00:00:00 00/00/0000 Struc has Child(ren). Size: 592 bytes. Child Type: StringFileInfo
Language/Code Page: 1033/1252
CompanyName: The Author of QIP
FileVersion: 8.0.3.0
FileDescription: Quiet Internet Pager Setup
InternalName:
LegalCopyright:
LegalTrademarks:
OriginalFilename:
ProductName:
ProductVersion: 8.0.3.0 Child Type: VarFileInfo
Translation: 1033/1252 -----------> Linker 2.25 Отсюда вывод, нужно прибить все эти файлы и спросить хозяина IP где он их взял и зачем так настойчиво распихивает по ресурсам
|