Spy.WildTagent

[santy]

Протокол антивирусной утилиты AVZ версии 3.16
Сканирование запущено в 06.04.05 10:14:06
Загружена база: 10878 сигнатур, 1 нейропрофиль, 23 микропрограммы лечения
Загружены микропрограммы эвристики: 180
Загружены цифровые подписи системных файлов: 28825
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (19 перехвачена, метод ProcAddressHijack.GetProcAddress ->C009511E<>BFF77745
Функция kernel32.dlloadLibraryExA (554) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0095135<>BFF912ED
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0095116<>BFFA0960
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
2. Проверка памяти
Количество найденных процессов: 14
Количество загруженных модулей: 126
Проверка памяти завершена
3. Сканирование дисков
c:\WINDOWS\wt\updater\wcmdmgr.exe>>>>> Вирус !! Spy.WildTangent
c:\WINDOWS\wt\updater\wcmdmgrl.exe>>>>> Вирус !! Spy.WildTangent
c:\WINDOWS\wt\wtupdates\wtcda\files\4.0.0.370\wtcd att.exe>>>>> Вирус !! Spy.WildTangent
c:\WINDOWS\wt\wtcda\wtcdatt.exe>>>>> Вирус !! Spy.WildTangent
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 6 TCP портов и 3 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
>>> C:\PROGRAM FILES\WILDTANGENT\APPS\CDA\CDALOGGER.DLL ЭПС: подозрение на вирус Spy.WindTangent
Проверка завершена
Просканировано файлов: 10786, найдено вирусов 4
Сканирование завершено в 06.04.05 10:21:52
Сканирование длилось 00:07:46

А что это за "зверь", не определяется ни одним антивиром, кроме AVZ?
(кстати, почему в протоколе разные наименования Spy.Wild*, SpyWind*?)

[Зайцев Олег]

Про WildTangent можно почитать тут:
http://www.spyany.com/program/articl...ldTangent.html
http://www.scanspyware.net/info/WildTangent.htm
но самый заслуживающий доверия источник - это лаборатория PertPatrol (ныне CA):
http://www3.ca.com/securityadvisor/pest/emerging.aspx - согласно этим данным, WildTangent был обнаружен на 22386 компьютерах за последний месяц !
Выдержка из описания:

Код:

Will share your first and last name, address, email address, phone number, and other information. Collects system configuration information such as your computer's CPU speed, video card configuration, and DirectX version. Collects product usage information such as the number of product launches and time spent using a product ...

т.е. в переводе это понимается как - "передает вашу фамилию, адрес, адрес электронной почты и другую информацию. Собирает системную конфигурацию и информацию о использовании программынх продуктов ..." -
Из моих исследований - в категорию "Spy" он попал из за передачи персональных данных пользователя, скрытного обмена с сайтом разработчиков, скрытного сбора системной информации, скрытной закачки и установки своих обновлений (замечу, что ядро его "живет" в папке WT внутри Windows, свое наличие он никак визуально не проявляет). У меня в сети от WT было вычищено около 15 ПК, причем о его наличие никто из пользователей не подозревал и никто естественно его не инсталлировал ....
Обмен имеет вид:

Код:

GET http://DNA.WILDTANGENT.COM:80/CDAServer/GameChannelDeliveries.aspx?DP={9761B406-3D07-4D65-940E-89C026F5C606} HTTP/1.1
Accept: */ *
Range: bytes=0-27999
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0
Host: DNA.WILDTANGENT.COM

В адресе есть CLSID - это уникальный код, присвоенный ПК пользователя.
В папке Windows\WT можно найти подпапки с именами типа "2.0.6.007" - это обновления WT, которые он скрытно таскает из Инет - со временем таких папок становится все больше. Причем замечу, что категория у него именно Spy (а не AdWare), он под нее идеально подходит.
WindTangent почти никто не детектирует, кроме AVP, в лаборатории Касперского этого зверя окрестили как Adware.WildTangent (причем я не делаю различия в разновидностях WT, а они делают - они различают AdWare.WildTangent.a, AdWare.WildTangent.b и AdWare.WildTangent.DownloadWare). Однако из моей коллекции WT (у меня штук 50-70 его образцов) AVP детектирует 17 штук - новые разновидности. Причем что интересно - в инсталляции WT он находит знаменитого WinAd. AVP в основном детектирует файлы wtvh.dll, npwthost.dll, wtbgmtt.exe

PS: Сообщение эвристика содержит опечатку в названии зверя ...

[santy]

на Viruscan почему-то ни один из антивирусов не обнаружил данный wildTAgent... (Олег, можно здесь еще предложение по AVZ? Хорошо бы в режиме удаления обнаруженных зараженных файлов выдавать результат удаления: сколько, какие объекты были удалены микропрограммами лечения, а удаление каких отложено. (такое есть в pestpatrol, там формируется флаг "deleted" против каждого объекта)).

[Зайцев Олег]

на Viruscan почему-то ни один из антивирусов не обнаружил данный wildTAgent... (Олег, можно здесь еще предложение по AVZ? Хорошо бы в режиме удаления обнаруженных зараженных файлов выдавать результат удаления: сколько, какие объекты были удалены микропрограммами лечения, а удаление каких отложено. (такое есть в pestpatrol, там формируется флаг "deleted" против каждого объекта)).

Диагностика wildTAgent штука спорная - у них просто хитрое лицензионное соглашение. У того-же PestPatrol есть описание, но начинается оно фразой "PestPatrol does not detect WildTangent. This page is provided for information only...."
Информация об удалении в AVZ будет (типа "удален успешно", "удаление отложено" и т.п.)