וירוס לא מוכר
-
@makomrar אמר בוירוס לא מוכר:
ואולי מישהו יודע לפענח את זה
https://www.virustotal.com/he/file/8498900e57a490404e7ec4d8159bee29aed5852ae88bd484141780eaadb727bb/analysis/1515258887/לא יאומן. זה מראה שגם האיסט זה לא בגלל עודף כישורים אלא בגלל דיווחים ספציפיים מלקוחות ישראלים שדוקא לא נלמדו בעיון מספיק לדעתי.
@makomrar אמר בוירוס לא מוכר:
הנה הפרטים שמופיעים בESET
http://www.virusradar.com/en/LNK_Agent.ES/map
זה וירוס חדש לפי מה שאני מבין ומסתובב בעיקר בישראל תתקנו אותי אם אני תועהלדעתי הוא ישראלי ונותר גם פה אולי למטרה נורא ספציפית כמו ריגול מסחרי, אחרת אין הבנה לתפוצה הכ"כ מדוייקת שלו באופן לא אופייני כלל.
ראו פה https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/WORM_RETADUP.AThis information stealing malware was one of the IoCs found in recent attacks targeting hospitals in Israel. This malware is also notable for its stealth. It terminates itself after detecting anti-virus products, script file names, analysis, forensics, and debugging tools, as well as sandboxes and virtual machines.
כלומר הוא יועד לתקיפת בתי חולים בארץ. אני מאמין שהם פשוט אלה שניזקו (כי אחרי שמפעיל הוירוס גילה שהוא במקום הנכון הוא ביצע אי אלו דברים שהקפיצו את הנורות ומכאן הדיוח התקשורתי ושל האנטיוירוסים) ולאו דוקא שהצליחו למקד את בכזו רזולוציה.
אני לומד מכאן כמה האנטיורוסים חלשים נגד התקפה ממוקדת וכמה אין תחליף להתנהגות אנוש נכונה. -
@נטפריס איך ניתן לבדוק אם הוירוס הזה מזוהה בתוכנות שברשותי? (דפנדר ומלוורבייטס)
-
https://www.fosshub.com/UsbFix.html
מהנסיון שלי -
@yonig20 אמר בוירוס לא מוכר:
@נטפריס איך ניתן לבדוק אם הוירוס הזה מזוהה בתוכנות שברשותי? (דפנדר ומלוורבייטס)
מנסיון אישי (סריקה יזומה של הכלי החינמי שקולה למגן הקבוע) וגם לפי המופיע בוירוס-טוטל הוא לא.
-
@yyy @סופר
רק להבין שאנחנו מדברים כאן על שני וירוסים שונים, ולא על אלו שמסתירים את הקבצים בDOK ומוסיפים קיצורי דרך במקומם.
הפתרונות נוסו ונבדקו פעמים רבות, וניתן לבדוק שוב ושוב כל עוד הוירוס נשמר לבדיקה.
לפי מה שקראתי בקישור לעיל שהביא @נטפריס, למשתמשי נטפרי (ואולי אף לכאלו שלא) כרגע לא מדובר בסכנה של דליפת מידע משום סוג, מעבר להוספת קיצורי דרך שאינם רצויים, ותהליך פעיל. -
@נטפריס השאלה אם הסריקה היזומה שקולה גם להגנת הEXPLOIT שלהם שאמורה לזהות איומים בזמן-אפס גם כשהם לא מופיעים ברשימת החתימות,אלא על פי פעילותם ברגע האמת.
ייתכן שבסריקה הם לא מזוהים כל זמן שהם לא פועלים.
מעניין עם וירוס טוטל מחשב גם את זה.
בכל אופן תודה רבה על התשובה.
שלחתי למלוורבייטס מייל עם הקישורים שהבאת לעיל, שיוסיפו לתוכנה. -
@yyy הוירוס ש@נטפריס מדבר עליו [יוצר 3 קיצורי דרך בכל תיקיה] לא טופל ע"י USBFIX.
אצלך כן? [פשוט חבל על 150 ש"ח לרכישת אווסט (לא בדקתי כמה זה עולה אצל הצידקים פה שמוכרים ב15% הנחה)] -
@yyy אמר בוירוס לא מוכר:
https://www.fosshub.com/UsbFix.html
מהנסיון שליתבדוק את זה עם וירוס טוטאל ותיהיה מופתע מהתוצאות...
-
@שלום-על-ישראל
הוירוס של ה 3 קיצורי דרך נמחק ע''י eset הגירסאות האחרונות שלהםמכירת מחשבים בהתאמה אישית שירות מעולה ומקצועי, תמיכה טכנית ,התקנת תוכנות , ויעוץ בכל הקשור למחשב .
מחבר קווי נייד ונייח עם סינון של נטפרי, מוכר נטסטיקים 4G, משכיר נטסטיקים עם נטפרי.
052-7638681 zeevgros@gmail.com -
@r88 אמר בוירוס לא מוכר:
תבדוק את זה עם וירוס טוטאל ותיהיה מופתע מהתוצאות...
-
@zeevgros לזה בדיוק התכוונתי רק שכתבתי בטעות אווסט במקום איסט... תודה בכל אופן.
-
האם זה קשור ללקוחות נטפרי שהתקינו את התוכנה?
מה שהתגלה לי הוא שכשאני מפעיל את המחשב מחדש (בד"כ אני משאיר אותו במצב שינה) עולה שני חלוניות של WIDDOWS UPDATER שאומר שווינדוס ניסה להתעדכן בהפעלה ונכשל, בבדיקה בניהול המחשב מופיע שתוכנת הWIFREESERVICE הכשילה את העדכון, לפי מה שנראה התיקיה הראשונה שנוצרת הקיצורי דרך, היא ב-C:\WinddowsUpdater צריך לבטל הסתרת קבצי מערכת וכן לבטל הסתרת פריטים מוסתרים ואז מופיע התיקיה ב-C .
-
@zeevgros האם זה לא חוזר אח"כ?
-
@mozes לפי פשוטו נראה שהוויפרי חסמה חיבור לאינטרנט ולכן נחסם העידכון. תתחבר בהדלקה לשרת של נטפרי והעידכון ירד.
הוירוס נצפה גם במחשבים שלא קשורים כלל לנט פרי וממילא ח"ו וויפרי היא לא הגורמת. -
@mozes
האם כך נראית ההודעה?
או כך?
אם כן ההודעה היא בעקבות הוירוס.
וזה אומר שהוירוס כבר אינו קיים, אבל הרישום שלו בהפעלת המחשב קיים.
יעזור לבטל את זה השימוש בקבצים שהועלו בתחילת האשכול.@mozes אמר בוירוס לא מוכר:
בבדיקה בניהול המחשב מופיע שתוכנת הWIFREESERVICE הכשילה את העדכון
צילום מסך מהודעה זו יעזור. שום קשר לא אמור להיות בין השניים (אם ההודעה היא התמונה הנוכחית אין לזה שום קשר לעדכונים).
-
מחיקת וירוס שיוצר קיצורי דרך בכל תיקיה
יש לפתוח את מנהל המשימות ולסיים את פעילות היישום WinddowsUpdater (ברשימת תהליכים).
לאחר הפסקת פעולת הוירוס ניתן להגדיר שהסייר יציג קבצי מערכת מוסתרים (לפנ"כ הוירוס משנה את ההגדרה חזרה תוך רגעים).
הווירוס מסתתר בתקייה מוסתרת בתוך כונן C תחת השם WinddowsUpdater ומתוכה הוא מופעל יש למחוק את התיקייה הנ"ל.
ההדבקה נעשית באמצעות קבצי הווירוס שמופעים בכל הכוננים ובכל התקן נגוע בתיקייה מוסתרת תחת השם WinddowsUpdaterCheck פשוט למחוק כל תיקייה כזו מכל ההתקנים.
(אנטי וירוס מייקרוסופט אינו מזהה את הקבצים הנ"ל כווירוס).
המחשב נקי!!!!להשלמת הנקיון ניתן למחוק את הרישום שמפעיל את הוירוס בעליית המחשב (גם אם לא מוחקים לא קורה כלום כי הקובץ כבר לא נמצא).
למי שמתמצא בקבצי הרג'יסטרי ניתן למחוק את הרישום מהכתובת דלהלן:
HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Run
ולמחוק את המפתחות
WinddowsUpdate
WinddowsUpdaterמי שאינו מתמצא הרישום ניתן להשתמש בתוכנת ה Cקלינר בכלי רישום ולבחור בקטגוריה הפעלה באתחול לאחר הסריקה יופיעו שני ערכי הרישום הנ"ל וניתן לאשר למוחקם
בהצלחה!!!
-
@professional
תודה רבה!!!!!!!!!!!!!!!
אכן זה קשור לווינדוס אופדייטר
יש לציין שבמנהל הישומים (עכ"פ אצלי) זה רשום בשם אחר משהו כמו AUTO... V.... 3 -
@professional אמר בוירוס לא מוכר:
מחיקת וירוס שיוצר קיצורי דרך בכל תיקיה
יש לפתוח את מנהל המשימות ולסיים את פעילות היישום WinddowsUpdater (ברשימת תהליכים).
לאחר הפסקת פעולת הוירוס ניתן להגדיר שהסייר יציג קבצי מערכת מוסתרים (לפנ"כ הוירוס משנה את ההגדרה חזרה תוך רגעים).
הווירוס מסתתר בתקייה מוסתרת בתוך כונן C תחת השם WinddowsUpdater ומתוכה הוא מופעל יש למחוק את התיקייה הנ"ל.
ההדבקה נעשית באמצעות קבצי הווירוס שמופעים בכל הכוננים ובכל התקן נגוע בתיקייה מוסתרת תחת השם WinddowsUpdaterCheck פשוט למחוק כל תיקייה כזו מכל ההתקנים.
(אנטי וירוס מייקרוסופט אינו מזהה את הקבצים הנ"ל כווירוס).
המחשב נקי!!!!להשלמת הנקיון ניתן למחוק את הרישום שמפעיל את הוירוס בעליית המחשב (גם אם לא מוחקים לא קורה כלום כי הקובץ כבר לא נמצא).
למי שמתמצא בקבצי הרג'יסטרי ניתן למחוק את הרישום מהכתובת דלהלן:
HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Run
ולמחוק את המפתחות
WinddowsUpdate
WinddowsUpdaterמי שאינו מתמצא הרישום ניתן להשתמש בתוכנת ה Cקלינר בכלי רישום ולבחור בקטגוריה הפעלה באתחול לאחר הסריקה יופיעו שני ערכי הרישום הנ"ל וניתן לאשר למוחקם
בהצלחה!!!
אבל כבר העלו קבצים שעושים את כל הנ"ל בלחיצה קלה והנה הוא (מצורף בקובץ הזה כמה וכמה שיטות לטפל בוירוס הקיצורי הדרך ויש להפעיל ולהמתין עד שיופיע "הוירוב נמחק" ככל הנראה הוא מטפל בעיקר בוירוס מכאן ולהבא אבל 3 קיצורי דרך ימצאו פה ושם ויש לפעול לפי מה שכתבו למעלה לעשות חיפוש למצוא LNK במחשב ולמחוק כל מה שכתוב בו הורדות משחקים וכו' [באנגלית])
0_1515630353498_אנטי וירוס לקיצורי דרך - להעתיק קובץ זה לאונקי-לא בתוך תיקיה- ולהפעילו משם .zip -
תשובת מלוורבייטס למייל ששלחתי להם על כך שהתוכנה שלהם לא מזהה את הוירוס.
Julia (Malwarebytes Support)Jan 11, 08:31 PST
Hello ---- and welcome to the Malwarebytes Consumer Helpdesk. My name is Julia and I'll be assisting you today.
Do you have any samples of this new infection?
If so, could you scan them via Virus Total.
(we have access to the samples there)
Or it can be submitted to our forum:
Please send your sample in a .zip file to our public forums
○ Note: Your .zip file must be password protected with "infected" to be reviewed
○ If you would like to add any comments, please add these as an additional attachment
https://forums.malwarebytes.com/index.php?/forum/51-newest-malware-threats/
Once your sample has been received, we will review it and then add it to the database definitions as necessary.Regards
Julia Wallace
Senior Malware Removal Specialist,Malwarebytes Consumer Support,
מישהו העלה במקרה את הוירוס לאתר הנ"ל?
-
