Показано с 1 по 9 из 9.

Описание вирусов: Trojan-Proxy.Win32.Lager.ab

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Описание вирусов: Trojan-Proxy.Win32.Lager.ab

    "Зверь" интересен тем, что его файлы сжаты криптером/пакером (причем тип этого криптера мне не известен), и файл на WEB сервере постоянно переупаковывается, т.е. в случае повторной загрузки "зверя" его исполняемые файлы существенно различаются. В упакованном файле сам зверь находится в секции "crpt" этого файла.
    В ходе запуска он создает sysvcs.exe в папке system32, обменивается с Инет, внутри у него прописан URL
    хттп://69.50.184.90/cntr/bin/latest.exe прямо открытым текстом, и еще
    есть адреса:
    хттп://69.50.184.90/cntr/ab.php
    хттп://69.50.161.106/d/ab.php
    хттп://65.75.151.190/d/ab.php

    sysvcs.exe импортирует RASAPI, Wininet, UrlMon. Проявляет бурную
    сетевую активность, обмен ведет по порту 25. Назначение этого "зверя", очевидно, - рассылка спама.
    sysvcs.exe не создает окон, маскировку процесса не применяет.
    Прописывается на автозапуск стандартным способом - в ключ реестра RUN, параметр с именем aupd.
    В расшифрованном теле содержатся строки "Windows update Service" и
    "Provide Windows update", а так-же заготовка bat-файла вида:
    @echo off
    :start1
    if not exist %s goto done1
    del %s
    goto start1
    :done1
    ~update.exe
    :start2
    if not exist ~update.exe goto done2
    del ~update.exe
    goto start2
    :done2
    del update.bat ~update.exe update.bat log.txt

    В теле "зверя" есть типовой код/константы для обмена по электронной
    почте и отправки данных по методу POST.
    Файл ~update.exe создается на диске в папке System32, имеет размер 4 кб, сжатия и шифровки нет, является типичным Trojan-Downloader.
    Кроме всего прочего "зверь" создает в System32 файл zlbw.dll - это
    библиотека компрессии.
    Последний раз редактировалось Alexey P.; 18.11.2005 в 22:27.

  2. Реклама
     

  3. #2
    Full Member Репутация
    Регистрация
    04.10.2005
    Сообщений
    153
    Вес репутации
    42
    Немного не в тему:
    Отправил сегодня этого представителя компьютерной фауны по двум адресам часов в 17.00,честно говоря не сомневался в быстром ответе:

    Первый на.......

    "Здравствуйте.
    В присланном Вами файле обнаружено вредоносное программное обеспечение.

    Trojan-Proxy.Win32.Lager.u

    Его детектирование было включено в следующее обновление антивирусных баз.
    Благодарим за оказанную помощь.
    --------------
    С уважением, Леонид Хованский.
    Вирусный аналитик
    ЗАО "Лаборатория Касперского"
    18 Ноя 2005 18:19:11

    Второй и нееб....

    Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
    Trojan.Galapoper


    Спасибо за сотрудничество.

    --
    С уважением,
    Служба вирусного мониторинга ООО "Доктор Веб"

    18 Ноя 2005 18:53:42

    Ну так и возникла мысль о том, что все наши-ваши тесты будут неполными, если не провести тест на время реакции на отпраленного в вирусные лабы зверя.
    Причём понятно, что нужно учесть эвристику.
    На этого зверя среагировал явно NOD и CAT-QuickHeal, а да и ещё Fortinet/
    МИФ задетектил:Trojan.Win32.Crypt.l Ну это понятно

    З.Ы. Интересно, почему в письме Касперски пишет о Trojan-Proxy.Win32.Lager.u, а на Virustotale и jotty он опознаётся как Packed.Win32.Klone.b?

  4. #3
    Junior Member Репутация
    Регистрация
    20.11.2005
    Сообщений
    5
    Вес репутации
    41
    "Зверь" интересен тем, что его файлы сжаты криптером/пакером (причем тип этого криптера мне не известен)
    это y0da's Crypter

  5. #4
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    49
    неа - это Yoda Protector
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.05.2005
    Сообщений
    89
    Вес репутации
    103
    latest.exe - NOD32 у меня обнаружил его сразу:

    latest.exe - a variant of Win32/TrojanProxy.Lager.F
    Судя по последним удачам, NOD32 заслуживает попадания в список рекомендуемые антивирусы...

    а вот добавление с virustotal:

    AntiVir 6.32.0.6 11.21.2005 no virus found
    Avast 4.6.695.0 11.20.2005 no virus found
    AVG 718 11.21.2005 no virus found
    Avira 6.32.0.6 11.21.2005 no virus found
    BitDefender 7.2 11.22.2005 no virus found
    CAT-QuickHeal 8.00 11.22.2005 (Suspicious) - DNAScan
    ClamAV devel-20051108 11.21.2005 no virus found
    DrWeb 4.33 11.21.2005 Trojan.Galapoper
    eTrust-Iris 7.1.194.0 11.21.2005 no virus found
    eTrust-Vet 11.9.1.0 11.22.2005 Win32.Sinteri
    Fortinet 2.48.0.0 11.21.2005 suspicious
    F-Prot 3.16c 11.22.2005 could be infected with an unknown virus
    Ikarus 0.2.59.0 11.22.2005 no virus found
    Kaspersky 4.0.2.24 11.22.2005 Packed.Win32.Klone.b
    McAfee 4633 11.21.2005 Galapoper
    NOD32v2 1.1296 11.21.2005 a variant of Win32/TrojanProxy.Lager.F
    Norman 5.70.10 11.21.2005 no virus found
    Panda 8.02.00 11.22.2005 no virus found
    Sophos 3.99.0 11.22.2005 no virus found
    Symantec 8.0 11.21.2005 no virus found
    TheHacker 5.9.1.038 11.22.2005 no virus found
    VBA32 3.10.5 11.21.2005 Trojan.Win32.Crypt.l

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.05.2005
    Сообщений
    89
    Вес репутации
    103
    В тему:

    На этого зверя среагировал явно NOD и CAT-QuickHeal, а да и ещё Fortinet/
    Вот кстати ответ на сканирование Yoda Protector:

    AntiVir 6.32.0.6 11.21.2005 no virus found
    Avast 4.6.695.0 11.20.2005 no virus found
    AVG 718 11.21.2005 no virus found
    Avira 6.32.0.6 11.21.2005 no virus found
    BitDefender 7.2 11.22.2005 no virus found
    CAT-QuickHeal 8.00 11.22.2005 (Suspicious) - DNAScan
    ClamAV devel-20051108 11.21.2005 no virus found
    DrWeb 4.33 11.21.2005 no virus found
    eTrust-Iris 7.1.194.0 11.21.2005 no virus found
    eTrust-Vet 11.9.1.0 11.22.2005 no virus found
    Fortinet 2.48.0.0 11.22.2005 suspicious
    F-Prot 3.16c 11.22.2005 no virus found
    Ikarus 0.2.59.0 11.22.2005 no virus found
    Kaspersky 4.0.2.24 11.22.2005 no virus found
    McAfee 4633 11.21.2005 no virus found
    NOD32v2 1.1296 11.21.2005 no virus found
    Norman 5.70.10 11.21.2005 no virus found
    Panda 8.02.00 11.22.2005 no virus found
    Sophos 3.99.0 11.22.2005 no virus found
    Symantec 8.0 11.21.2005 no virus found
    TheHacker 5.9.1.039 11.22.2005 no virus found
    VBA32 3.10.5 11.21.2005 no virus found

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Цитата Сообщение от Зайцев Олег
    ... В ходе запуска он создает sysvcs.exe в папке system32
    ... Прописывается на автозапуск стандартным способом - в ключ реестра RUN
    ... Файл ~update.exe создается на диске в папке System32
    ... "зверь" создает в System32 файл zlbw.dll
    Данные функции не работают в Windows 2k/XP. Даже непонятно как данная программа получила гордое название Virus – Trojan, если он несовместим с Windows XP, то есть - не работает без прав Administrator. Значит это вирус только для Windows 9x.
    Разве большая проблема написать похожие на эту, вредоносные программы для Linux и который также будет работать только с правами привилегированного пользователя. Думаю, такие программы некто не стал бы называть вирусами для Linux, на них просто некто не обратит внимание.
    Ах, да вспомнил, что на Windows есть многолетня, устоявшийся традиция все программы без разбора запускать с правами Administrator . Если это так то, тогда действительно это вирус.

  9. #8
    Junior Member Репутация
    Регистрация
    24.11.2005
    Сообщений
    2
    Вес репутации
    41
    Цитата Сообщение от Firza
    Данные функции не работают в Windows 2k/XP.
    работают, и не только из под администратора
    Цитата Сообщение от Firza
    Думаю, такие программы некто не стал бы называть вирусами для Linux, на них просто некто не обратит внимание.
    кто этот постоянно упоминающийся "некто" ?

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Цитата Сообщение от waddafq
    работают, и не только из под администратора
    Какая из мною перечисленных функций данного “вируса” работает без прав Administrator? Я, конечно, имел в виду Windows 2k/XP на NTFS. В описании “вируса” не было сказано, в каком именно месте находится: “автозапуск стандартным способом - в ключ реестра RUN”. Если это в HKLM, то там вирусам вход запрещен, если в HKCU, то там действительно вирус может писать и добавлять ключи в RUN (в данном случаи это неименит смыло).
    Ах, да на Windows может быть пользователи группы “Power User” но по уровню прав это братья-близнецы c Administrators. И когда я писал про “не работает без прав Administrator” то не имел ввиду такую бессмысленную вещь как “Power User”.
    Если кто-то советует не пользоваться все время правами Administrator это надо понимать, что надо пользоваться правами Limited User. А использовать “Power User” бессмысленно.

Похожие темы

  1. Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank
    От v119 в разделе Описания вредоносных программ
    Ответов: 1
    Последнее сообщение: 15.03.2010, 13:56
  2. uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb): описание и лечение
    От NickGolovko в разделе Вредоносные программы
    Ответов: 48
    Последнее сообщение: 30.11.2009, 23:09
  3. Описание вирусов: Email-Worm.Win32.Rays
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 9
    Последнее сообщение: 25.09.2007, 19:39
  4. Описание вирусов: Hoax.Win32.Avgold.h
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 3
    Последнее сообщение: 10.08.2005, 20:41
  5. Описание вирусов: Hoax.Win32.Renos.a-b
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 2
    Последнее сообщение: 10.08.2005, 18:08

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01443 seconds with 24 queries