Показано с 1 по 10 из 10.

Новая разновидность Trojan.PSW.Linage

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Новая разновидность Trojan.PSW.Linage

    Сегодня у нас с вети была обнаружена новаю разновидность трояна Trojan.PSW.Linage (разновидность "e" по Касперскому) на одном из ПК. Я провел анализ этого троянца и вот его описание:
    Троян при первом запуске копирует себя в папку Program Files под именем explorer.exe и прописывает себя в автозагрузку классическим способом (ключ реестра Run, параметр LoadMeth1). Размер файла - 48640 байт. Внутри exe файла (в его хвосте) расположена библиотека, которая при запуске копируется трояном в папку System32 под именем htdll.dll (размер 22528, сжата UPX). Библиотека предназначена для реализации функций кейлоггера (это клавиатурный хук, который ко всему прочему импортирует winsock и судя по всему может передавать собранную информацию напрямую).
    Троян может бороться с некоторыми Firewall (например, список exe оригинален - EGHOST.EXE, MAILMON.EXE, KAVPFW.EXE, IPARMOR.EXE).
    Напоследок замечу, что этот троян не ловится многими антивирусами:
    AntiVir TR/PSW.Linage.E (3.71 seconds taken)
    Avast No viruses found (12.68 seconds taken)
    BitDefender No viruses found (6.26 seconds taken)
    ClamAV No viruses found (3.08 seconds taken)
    Dr.Web No viruses found (4.41 seconds taken)
    F-Prot Antivirus No viruses found (0.37 seconds taken)
    Kaspersky Anti-Virus Trojan.PSW.Linage.e (4.27 seconds taken)
    mks_vir No viruses found (2.13 seconds taken)
    NOD32 No viruses found (2.95 seconds taken)
    Norman Virus Control No viruses found (1.04 seconds taken)

    Не менее оригинален и находящийся в теле трояна текст, являющийся шаблоном для отправки письма - http://www.webshell.cn/tw.asp?tomail...l.cn&mailbody= xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxx

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest

    Re:Новая разновидность Trojan.PSW.Linage

    Ты Dr.Web посылаешь что находишь?

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Новая разновидность Trojan.PSW.Linage

    Цитата Сообщение от Geser
    Ты Dr.Web посылаешь что находишь?
    Нет, а с Касперским дружу - у них оперативный саппорт, реагирует в среднем за 1-4 часа
    (у нас лицензионный AVP на всех почтовых серверах стоит). Я послал этого трояна Dr.Web-у - он его действительно не детектирует (судя по on-line проверке)

  5. #4
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    73

    Re:Новая разновидность Trojan.PSW.Linage

    А я Касперу всего один раз послал - ни ответа, ни привета. Правда через неделю втихаря в базу включили.

  6. #5
    Geser
    Guest

    Re:Новая разновидность Trojan.PSW.Linage

    [quote author=Зайцев Олег link=board=4;threadid=195;start=0#msg1090 date=1099487508]
    Нет, а с Касперским дружу - у них оперативный саппорт, реагирует в среднем за 1-4 часа
    (у нас лицензионный AVP на всех почтовых серверах стоит). Я послал этого трояна Dr.Web-у - он его действительно не детектирует (судя по on-line проверке)
    [/quote]
    Посылай Dr.Web тоже. Они теперь оперативнее реагируют. Всётаки КАВ задалбывает тормознутостью Так что юзаю пока Dr.Web.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Новая разновидность Trojan.PSW.Linage

    Цитата Сообщение от azza
    А я Касперу всего один раз послал - ни ответа, ни привета. Правда через неделю втихаря в базу включили.
    то факт - у них любят, чтобы в письме кроме виря был еще список серийников на пол листа - чем их больше, тем быстрее реакция

    А по тормозам KAV действительно лидер (причем я не верю в "эвристические алгоритмы" - тот же drWeb хотя бы пытается реально выдавать подозрения на троянов - у KAV я в сущности никогда не видел срабатывания его эвристики по делу ... ). Так что DrWeba я включу в списки рассылки вирусни, пускай пополняют базы

  8. #7
    Geser
    Guest

    Re:Новая разновидность Trojan.PSW.Linage

    Кстати, всякую муть, которая не вирусы, можешь скыдывать Лавасофтовцам http://www.lavasofthelp.com/submit/ они носом не крутят, добавляют что присылаешь

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Новая разновидность Trojan.PSW.Linage

    Цитата Сообщение от Geser
    Кстати, всякую муть, которая не вирусы, можешь скыдывать Лавасофтовцам http://www.lavasofthelp.com/submit/ они носом не крутят, добавляют что присылаешь
    Проще ее отдать самому себе и занести в AVZ

  10. #9
    Geser
    Guest

    Re:Новая разновидность Trojan.PSW.Linage

    [quote author=Зайцев Олег link=board=4;threadid=195;start=0#msg1111 date=1099557648]
    Проще ее отдать самому себе и занести в AVZ
    [/quote]
    Это правильно, но AVZ пока ещё пользуются не все

  11. #10
    Geser
    Guest

    Re:Новая разновидность Trojan.PSW.Linage

    Кста, как будет закончен новый интерфейс я попробую пробить анонс на kpnemo.ru и kadets.ru
    И не забудь английскую версию

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 17.08.2010, 12:12
  2. Новая разновидность Bagle
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 6
    Последнее сообщение: 29.10.2004, 15:01
  3. Новая разновидность MyDoom
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 2
    Последнее сообщение: 27.10.2004, 09:43

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01186 seconds with 19 queries