Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Trojan.Win32.KillAV.cn - KernelMode троян

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Trojan.Win32.KillAV.cn - KernelMode троян

    Небольшая троянская программа, предназначена для борьбы с антивирусами, Firewall и антивирусными утилитами. Размер исполняемого файла около 5 кб. В случае запуска скрытно выполняет следующие действия:
    1. Создает на диске драйвер C:\WINDOWS\system32\unpr.sys размером 2.5 кб (данный файл хранится в теле Трояна)
    2. Регистрирует драйвер через стандартное API под именем UNPR, после чего завершает работу

    Троян не загружает установленный драйвер, поэтому его загрузка пройдет только после перезагрузки компьютера. Драйвер осуществляет слежение за загрузкой без перехвата функций, при помощи документированного механизма уведомлений о загрузке PE файлов в память (LoadImageNotifyRoutine). Получив уведомление о запуске процесса драйвер сравнивает имя исполняемого файла процесса с базой имен, имеющейся в драйвере (в драйвере две базы - база имен EXE файлов и база имен драйверов). Обнаружив совпадение, драйвер открывает процесс и завешает его работу.

    Троян блокирует работу процессов с именами: avp.exe avpm.exe avz.exe bdmcon.exe bdss.exe ccapp.exe ccevtmgr.exe cclaw.exe ccpxysvc.exe fsav32.exe fsbl.exe fsm32.exe gcasserv.exe iao.exe icmon.exe inetupd.exe issvc.exe kav.exe kavss.exe kavsvc.exe klswd.exe livesrv.exe mcshield.exe msssrv.exe nod32krn.exe nod32ra.exe pavfnsvr.exe rtvscan.exe savscan.exe zclient.exe

    Как легко заметить, в базе троянского драйвера есть avz.exe, что приводит к блокировке его запуска. Защититься от этого просто - идентификация процесса идет по имени, поэтому для защиты достаточно переименовать исполняемый файл, дав ему случайное имя типа 123.exe. Для удаления троянского драйвера можно применить скрипт AVZ следующего вида:
    begin
    DeleteService('UNPR', true);
    RebootWindows(true);
    end.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    142
    не креативно по имени процессы килять

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от [500mhz] Посмотреть сообщение
    не креативно по имени процессы килять
    Есть другие варианты?
    ---
    С уважением,
    Borka.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Да и не один, например одна из версий этого зверька убивает АВ по заголвку окна...

  6. #5
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от Muffler Посмотреть сообщение
    Да и не один, например одна из версий этого зверька убивает АВ по заголвку окна...
    М-да... И о чем я думал...
    ---
    С уважением,
    Borka.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    142
    заголовок тоже не панацея ) может же быть русская версия и англицкая
    и соответственно заголовки будут разными
    лучше сделать элементарную контрольну сумму куска кода , и места мало занимает и эффективно, и по ней килять процес

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    интересно, самозащита каспера спасала, когда каспер его сигнатуру не знал или нет ?

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    142
    не думаю
    он же не из ring3 киляет а из 0, а там все равны, шо каспер шо вирус

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    По идее сначало надо обойти проактивку, чтобы установить драйвер.
    Затем снять хуки, чтобы можно было кильнуть процесс. =))

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    По идее сначало надо обойти проактивку, чтобы установить драйвер.
    Да, но насколько я знаю, это не проблема с проктивкой Касперского...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Цитата Сообщение от [500mhz] Посмотреть сообщение
    не думаю
    он же не из ring3 киляет а из 0, а там все равны, шо каспер шо вирус
    +1 согласен логично!

    Цитата Сообщение от Muffler Посмотреть сообщение
    Да, но насколько я знаю, это не проблема с проктивкой Касперского...
    +1 ! Хотелось бы услышать мнение DVI
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от Jolly Rojer Посмотреть сообщение
    +1 ! Хотелось бы услышать мнение DVI
    Лучше уж мнение Олега - у него уже есть испытательный стенд для препарирования зверька.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Цитата Сообщение от Muffler Посмотреть сообщение
    Да, но насколько я знаю, это не проблема с проктивкой Касперского...
    DVI. я хотел услышать именно Ваш комментари именно относительно данной цитаты как оффициального представителя ЛК

    Цитата Сообщение от DVi Посмотреть сообщение
    Лучше уж мнение Олега - у него уже есть испытательный стенд для препарирования зверька.
    Мнение Олега я в принципе уже знаю обсуждалось в привате с Олегом и Олег это может подтвердить (хотя конкретно мнение о драйвере не обсуждалось... просто его можно было получить по ходу логического рассуждения)
    Последний раз редактировалось Jolly Rojer; 03.12.2007 в 13:21.
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от Jolly Rojer Посмотреть сообщение
    DVI. я хотел услышать именно Ваш комментари именно относительно данной цитаты как оффициального представителя ЛК
    У меня нет испытательного стенда, поэтому я не могу никак прокомментировать эту цитату. Возможно, ее сможет прокомментировать сам Muffler.

    Судя по тесту Олега (и тому, что он написал мне в приват), действия, совершаемые этим зверьком, успешно пресекаются и проактивкой, и самозащитой работающего на компьютере KAV/KIS7.

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Цитата Сообщение от Muffler Посмотреть сообщение
    Да, но насколько я знаю, это не проблема с проктивкой Касперского...
    Просто не просто, а большая часть малвар при инсталляции драйвера палятся проактивкой - будь то поведенческий анализ, будь то монитор реестра.
    anti-malware.ru

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    142
    Проверка WOWLoader
    Автором был предоставлен билд и админка. Билд удачно отработал на WinХРsp2
    Размер: 13,5кб
    Упакованого: 7кб

    avcheck.biz
    VirusBuster 4.3.23:9 2007-11-19 18:25:21 ok
    BitDefender v7.60825 2007-11-20 142 ok
    DrWeb 4.33.0.09211 2007-11-20 14:47:11 ok
    ClamAV 0.91.2/4855 2007-11-20 12:28:35 ok
    f-prot 3.16.16 2007-11-17 0:40:15 ok
    Avast! 071119-1 2007-11-20 0:1:0 ok
    KAV 5.7.13 2007-11-20 15:11:2 ok
    Avira 2.1.11-34 2007-11-20 14:50:12 ok
    McAfee v5166 2007-11-19 70 ok
    ArcaVir 1.0.5 2007-11-20 4:55:4 ok
    Nod32 2.04 2007-11-13 5:35:14 ok

    Kasper 7.0.0.124 проактивная защита - ОК
    Outpost Firewall Pro 8 - ОК

    Проверка на трафе дала хороший результат!
    Было загруежено 350.
    80,13% и учтите еще то что траф предпочтительно уса был.

    Используется новая техника обхода, не BITS!

    Комментарии:
    ------------------
    Обошел аутпост и каспера - это есть гуд! Хочю отметить что у меня это первый лоадер который обошел эти защиты. Админка - тоже понравилась, простая но функциональная.
    Коменты от el-
    код понравился, довольно оригинальный метод обхода, описанию соответствует
    в тему про проактивку
    проверялось данное малваре 10 дней назад
    http://:http://forum.web-hack.ru/ind...0&#entry564888

    ждем коментов от девелоперов проактивки
    Последний раз редактировалось drongo; 03.12.2007 в 16:24.

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от vaber Посмотреть сообщение
    Просто не просто, а большая часть малвар при инсталляции драйвера палятся проактивкой - будь то поведенческий анализ, будь то монитор реестра.
    Совершенно верно - конкретно на этого зловреда проактивка KIS дает алерт "Перехвачена попытка создания значения в ключе системного реестра, который входит в группу System Services..."

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Цитата Сообщение от [500mhz] Посмотреть сообщение
    ждем коментов от девелоперов проактивки
    Как говорят девелоперы, им нужны факты

    Кстати есть довольно прилично методов обхода, популярный пример - говяный rku последних версий, ставит свой поганый драйвер втихую, проактивка молчит.

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    forum.web-hack.ru/index.php?showtopic=67412
    Оценивание производят независимые эксперты: Maestro, el- и 500mhz.
    Независимый эксперт 500mhz может дать зверька нам? На экспертизу.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Возможно, ее сможет прокомментировать сам Muffler.
    Не секрет что есть несколько способов обхода проактивной защиты КИС и КАВ(которые мы здесь не будем называть и обсуждать - не тот форум) на которые не обращает внимания ЛК.

    Просто не просто, а большая часть малвар при инсталляции драйвера палятся проактивкой - будь то поведенческий анализ, будь то монитор реестра.
    Да, это правда.

    Независимый эксперт 500mhz может дать зверька нам? На экспертизу.
    Хм... После такой фразы напрашивается вопрос, а вам(разработчикам) за что деньги платят? Тем более это уже давно публично описано и реализовано...

Страница 1 из 2 12 Последняя

Похожие темы

  1. Последствия Trojan.Win32.KillAV.ayh
    От Андрей Ильин в разделе Помогите!
    Ответов: 17
    Последнее сообщение: 25.02.2010, 12:04
  2. Trojan.Win32.Killav как убить
    От pomy в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 22.02.2009, 06:33
  3. Trojan.Win32.KillAV.ne
    От Metky в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 22.02.2009, 03:19
  4. Trojan.Win32.KillAV.cn - KernelMode Trojan.
    От MAPKOBKA^^ в разделе Custom descriptions of malware
    Ответов: 1
    Последнее сообщение: 05.12.2007, 01:49
  5. Trojan.Win32.KillAV.ee (файл icota32.dll)
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 11.01.2005, 12:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00066 seconds with 19 queries