Показано с 1 по 13 из 13.

вирус во временном файле avz ver 4.01

  1. #1
    multya
    Guest

    вирус во временном файле avz ver 4.01

    вот такая штуковина интересная получилась, излагаю... решил "пощупать" что за утилитка такая avz. качнул, распаковал, с настройками по умолчанию запустил сканить диск с.... и каково было мое удивление когда спайдер (drweb) начал "пищать" о том что временный файл созданный утилитой инфицирован. ну думаю мало ли, фальс алярм, но нет, никакой не фальс... вот что говорит на этот файл virustotal:

    This is a report processed by VirusTotal on 11/24/2005 at 11:45:54 (CET) after scanning the file "avz_1456_1._mp" file.

    Antivirus Version Update Result
    AntiVir 6.32.0.6 11.24.2005 TR/Bagle.gen
    Avast 4.6.695.0 11.24.2005 Win32:Beagle-FR
    AVG 718 11.23.2005 I-Worm/Bagle
    Avira 6.32.0.6 11.24.2005 TR/Bagle.gen
    BitDefender 7.2 11.24.2005 Trojan.Bagle.BK
    CAT-QuickHeal 8.00 11.24.2005 (Suspicious) - DNAScan
    ClamAV devel-20051108 11.24.2005 Worm.Bagle.CD-1
    DrWeb 4.33 11.24.2005 Win32.HLLM.Beagle.9219
    eTrust-Iris 7.1.194.0 11.23.2005 no virus found
    eTrust-Vet 11.9.1.0 11.24.2005 Win32.Glieder.CJ
    Fortinet 2.48.0.0 11.24.2005 W32/Mitglieder.GJ-dldr
    F-Prot 3.16c 11.24.2005 security risk named W32/Backdoor.HDU
    Ikarus 0.2.59.0 11.23.2005 no virus found
    Kaspersky 4.0.2.24 11.24.2005 Trojan-Downloader.Win32.Bagle.h
    McAfee 4635 11.23.2005 W32/Bagle.gen
    NOD32v2 1.1303 11.24.2005 Win32/Bagle.DR
    Norman 5.70.10 11.23.2005 no virus found
    Panda 8.02.00 11.23.2005 Trj/Mitglieder.GB
    Sophos 3.99.0 11.24.2005 Troj/BagleDl-AK
    Symantec 8.0 11.24.2005 Trojan.Lodear.D
    TheHacker 5.9.1.044 11.23.2005 W32/Bagle.GEN@MM
    VBA32 3.10.5 11.23.2005 Trojan-Downloader.Win32.Bagle.f


    это как понимать, так и должно быть?

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Интеренсое открытие, а что, в FAQ (хелп и on-line документация на http://z-oleg.com/secur/avz_doc/) ничего не сказано ? Там специально пункт 7.7 есть ... он называется "7.7 Во время сканирования диска мой антивирусный монитор сообщил, что файл avz*.tmp заражен вирусом или является вредоносной программой". И вот что там написано:
    Подобные сообщения могут выдаваться антивирусными мониторами, при этом зараженный файл обнаруживается в папке TEMP и имеет имя вида avz_XXXX_Y.tmp. Это временные файлы, которые создаются AVZ в ходе проверки архивов, писем электронной почты, MHT файлов и т.п., причем XXXX - это PID процесса AVZ, а Y - уровень вложенности архива.
    Часто бывает так, что сканер и монитор применямого антивируса почему-то не находит вирусы/трояны в каком-либо архиве (причин несколько - может быть, в настройках антивируса отключена проверка архивов, антивирус не умеет проверять данный тип архива, архив находится в папке, проверка которой запрещена для антивируса и его монитора и т.п.). В момент извлечения AVZ-ом файла из архива антивирусный монитор проверяет его и может обнаружить вредоносную программу. В этом случае срабатывание вполне объяснимо и дальнейшая реакция может быть любой - можно разрешить антивирусному монитору "вылечить" файл, можно дать ему команду игнорировать - в любом случае AVZ рассчитан на возможность неожиданного удаления временного файла и сбоя в его работе не последует.

  4. #3
    multya
    Guest
    ну ступил маленько, бывает сказал же в начале что только решил "пощупать"... еще раз прошу прощения.

    но возник второй вопрос. почему тогда ваша программа сама не обнаружила этот вирус после того как натравил ее на папку с инфицированным файлом? лог работы avz:
    Протокол антивирусной утилиты AVZ версии 4.01
    Сканирование запущено в 24.11.2005 14:09:40
    Загружена база: 18035 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, база от 18.11.2005 10:37
    Загружены микропрограммы эвристики: 357
    Загружены цифровые подписи системных файлов: 45847
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=06DFA0)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
    SDT = 8046DFA0
    KiST = 804742B8 (24
    Проверено функций: 248, перехвачено: 0, восстановлено: 0
    2. Проверка памяти
    Количество найденных процессов: 30
    Количество загруженных модулей: 345
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 319 описаний портов
    На данном ПК открыто 29 TCP портов и 7 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 377, извлечено из архивов: 1, найдено вредоносных программ 0
    Сканирование завершено в 24.11.2005 14:09:58
    Сканирование длилось 00:00:18

    методика лечения - стоит установлено "только отчет"

    any comments?

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Если доктор WEB заблокирует файл, то AVZ его уже не увидит - следовательно реагировать будет доктор, AVZ будет молчать. Или второй вариант - зверь просто незнаком AVZ, поэтому AVZ его вытащил из какого-то архива, а доктор отреарировал. А если просто натравить AVZ на папку с файлом *.tmp, то он этот файл проверять скорее всего не будет - по дефолту сканируются файлы типа *.exe, *.com и т.п. - нужно или файл переименовать, или в настройке задать "сканировать все файлы"
    В любом случае стоит прислать образец файлика со зверем на newvirus@z-oleg.com, судя по всему в базе Trojan-Downloader.Win32.Bagle.h отсутствует.

  6. #5
    multya
    Guest
    - ставлю спайдер доктора на паузу - значит доктор ничего не блокирует (можете мне поверить)
    - архив называется Nycholas.zip, внутри файл 12.exe - и судя по логу avz он таки был распакован
    - и самое последнее - его таки нет в ваших базах, вышлю мылом

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от multya
    - ставлю спайдер доктора на паузу - значит доктор ничего не блокирует (можете мне поверить)
    - архив называется Nycholas.zip, внутри файл 12.exe - и судя по логу avz он таки был распакован
    - и самое последнее - его таки нет в ваших базах, вышлю мылом
    Да, файл пришел - этого зверя в базах не было, я его только что туда добавил.

  8. #7
    nickob
    Guest

    Trojan-Downloader.Win32.Bagle.h

    здрасте!
    Хотелось бы узнать про Trojan-Downloader.Win32.Bagle.h
    Что за троян и что он может сделать на компе.
    Получил по почте zip внутри 12.exe, КАВ обновлялся пару дней назад, на него не среагировал, после запуска:
    - забеспокоился оутпост, выдавая сообщения про изменение памяти некоторыми приложениями.
    -В автозагрузке (в реестре) появилось 2 пары записей: у юзера и локал машине.
    -Исчез exe-шник оутпоста.
    -после перезагрузки сломался антивирус.

    Теперь последствия устраняю, хотелось бы выяснить что еще может натворил данный троян.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    Нужно сделать логи, по ним можно будет посмотреть
    http://virusinfo.info/showthread.php?t=1235

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    На viruslist.com нашёл описания нескольких последних Биглей:
    http://www.viruslist.com/ru/viruses/...?virusid=94809
    http://www.viruslist.com/ru/viruses/...?virusid=98405
    http://www.viruslist.com/ru/viruses/...?virusid=96999
    http://www.viruslist.com/ru/viruses/...?virusid=97000

    Вообще их там только с описаниями десятка два, а общим счётом уже за две сотни. Правда, это класс Email-Worm. По Trojan-Downloader только пара ссылок и свежее предупреждение.

    Если своими словами, то ничего хорошего от нового гада ждать не надо. Его задача - натащить на компьютер-жертву своих родственничков. В частности (как следует из предупреждения) - зомбирующий компонент, делающий из заражённой машины узел ботнета. То есть, будете либо спам рассылать, либо атаковать, на кого хозяин покажет.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от pig
    На viruslist.com нашёл описания нескольких последних Биглей:
    http://www.viruslist.com/ru/viruses/...?virusid=94809
    http://www.viruslist.com/ru/viruses/...?virusid=98405
    http://www.viruslist.com/ru/viruses/...?virusid=96999
    http://www.viruslist.com/ru/viruses/...?virusid=97000

    Вообще их там только с описаниями десятка два, а общим счётом уже за две сотни. Правда, это класс Email-Worm. По Trojan-Downloader только пара ссылок и свежее предупреждение.

    Если своими словами, то ничего хорошего от нового гада ждать не надо. Его задача - натащить на компьютер-жертву своих родственничков. В частности (как следует из предупреждения) - зомбирующий компонент, делающий из заражённой машины узел ботнета. То есть, будете либо спам рассылать, либо атаковать, на кого хозяин покажет.
    Trojan-Downloader.Win32.Bagle.f - это небольшой файл, называется обычно 12.exe, размер 9742 байта. Снабжен иконкой, которая соответсвует файлу-картинке. После запуска открывает программу просмотра изображений Windows с какой-то картинкой - чтобы у пользователя не возникло сомнений в случае его запуска, что это не программа, а именно картинка.
    Упаковщик/криптер не опознался, но тем не менее есть. Распакованный размер около 40 кб, в теле содержится база адресов (типа хттп://www.etwas-mode.de/z.php) - с одного из них производится загрузка самого Bagle и ссохранение под именем anti_troj.exe.

  12. #11
    Antivirus_KZ
    Guest

    Question

    Мне встречался вместе с файлом anti_troj.exe еще один гад
    с именем anti_av.exe.exe
    а это что за зверь???

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Почти наверняка Бигль. Ещё попадались такие: antiav_exe.exe, antiav_dll.dll.

  14. #13
    Seeress
    Guest

    Новый Beagle

    Сегодня получила письмо:
    От кого: Cppr <cppr@y.net.ye>
    Тема: Dorothy

    Тело: foto-bank

    Приложение: Ann.zip

    При открытии приложения Avast нашел Win32:Beagle-FR [Wrm].

Похожие темы

  1. Вирус в файле SSax.tmp
    От саня в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 11.05.2011, 07:52
  2. Вирус в файле winlogon
    От smeley в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 06.08.2009, 16:40
  3. Вирус в файле autorun.inf
    От Nikko в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 05.06.2009, 15:16
  4. Вирус в файле svchost.exe
    От DR.ThRaX в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 22.02.2009, 06:48
  5. Вирус в файле wmdrtc32.dll
    От romeo1 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 28.10.2008, 23:24

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00592 seconds with 20 queries