Страница 1 из 8 12345 ... Последняя
Показано с 1 по 20 из 146.

Вирус Win32.Polipos

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795

    Question Вирус Win32.Polipos

    Всем здравствуйте!
    Сегодня получил очередную рассылку от Dr.Web. В ней было сказано о начале распространения вируса Win32.Polipos. В частности писалось, что это очень опасный полиморфный вирус и определят его пока только Dr.Web. Так же было написано, что только Доктор может успешно лечить этот вирус благодаря высокому технологическому уровню антивирусного ядра. В связи с чем просьба ко всем у кого есть образец данной заразы слить для закачки, а также высказаться по данной теме (реакция других антивирусов, возможность лечения и др.). Есть предположение, что Dr.Web в очередной раз хвалится.
    Заранее всем спасибо.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Почитайте эту: http://forum.drweb.com/viewtopic.php?t=2810 тему.

    Сам пресс релиз:
    Антивирус Dr.Web защищает пиринговые сети от опасного вируса Win32.Polipos
    19 апреля 2006 года

    Служба вирусного мониторинга компании «Доктор Веб» информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже в течение целого месяца распространяется по различным пиринговым сетям.

    Началось распространение Win32.Polipos в марте этого года. Тогда же (20 марта) он был добавлен в вирусную базу антивируса Dr.Web и с этого момента для наших пользователей он не представлял никакой угрозы. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция "нейтрализации" целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

    Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

    При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами:

    savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll
    smss, csrss, spoolsv, ctfmon, temp


    Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.

    Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.

    Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако обращает на себя внимание довольно любопытное обстоятельство. Несмотря на то, что присутствие в P2P-сетях Win32.Polipos не является ни для кого новостью уже около месяца, антивирус Dr.Web до последних дней был единственным, кто его детектировал. В самом начале эпидемии пользователи Dr.Web сетовали на срабатывание антивируса на якобы чистые файлы, но вирусные аналитики компании «Доктор Веб» подтвердили факт существования именно нового вируса. Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web.

    В настоящее время Служба вирусного мониторинга компании «Доктор Веб» разработала и процедуру лечения зараженных вирусом Win32.Polipos файлов. Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах. Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит - все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз.
    Описание http://info.drweb.com/virus_description/102959
    Win32.Polipos
    ()

    Сложный полиморфный вирус.

    При запуске заражает скринсейвер (получает из реестра), заражает logonui.exe и logon.scr в системной директории, внедряет свой код во все процессы.

    Удаляет файлы:


    drwebase.vdb, avg.avi, vs.vsn, anti-vir.dat, avp.crc
    chklist.ms,ivb.ntz, ivp.ntz, chklist.cps, smartchk.ms
    smartchk.cps, aguard.dat, avgqt.dat, lguard.vps

    Не заражает процессы в памяти:


    savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll
    smss, csrss, spoolsv, ctfmon, temp

    Не заражает файлы, имена которых содержат:


    tb dbg f- nav pav mon rav nvc fpr dss ibm inoc scn pack vsaf vswp fsav
    adinf sqstart mc watch kasp nod setup temp norton mcafee anti tmp
    secure upx forti scan zone labs alarm symantec retina eeye virus
    firewall spider backdoor drweb viri debug panda shield kaspersky
    doctor trend micro sonique cillin barracuda sygate rescue pebundle ida
    spf assemble pklite aspack disasm gladiator ort expl process eliashim
    tds3 starforce safe'n'sec avx root burn aladdin esafe olly grisoft avg
    armor numega mirc softice norman neolite tiny ositis proxy webroot
    hack spy iss pkware blackice lavasoft aware pecompact clean hunter
    common kerio route trojan spyware heal alwil qualys tenable avast a2
    etrust spy steganos security principal agnitum outpost avp personal
    softwin defender intermute guard inoculate sophos frisk alwil protect
    eset nod32 f-prot avwin ahead nero blindwrite clonecd elaborate
    slysoft hijack roxio imapi newtech infosystems adaptec swift sound
    copystar astonsoft gear software sateira dfrgntfs

    Зараженный компьютер становится участником децентрализованной peer2peer сети Gnutella.

    Содержит строку:


    Win32.Polipos v1.2 by Joseph

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    Спасибо за информацию! Правда она уже известна. Интересно посмотреть образцы заразы, а также реакцию других антивирей на нее.
    Может кто писал в ЛК или еще куда? Что ответили?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Цитата Сообщение от Синауридзе Александр
    Может кто писал в ЛК или еще куда? Что ответили?
    Вы тему то на форуме ( http://forum.drweb.com/viewtopic.php?t=2810 ) читали???

    Цитата Сообщение от oig, 19.04.2006 19:24
    На даный момент ситуация:

    http://www.virustotal.com/
    CAT-QuickHeal 8.00 04.19.2006 (Suspicious) - DNAScan
    DrWeb 4.33 04.19.2006 Win32.Polipos
    Fortinet 2.71.0.0 04.19.2006 W32/Polipos.V12
    ------------------------------------------------------------------------------------
    http://virusscan.jotti.org/
    Dr.Web Found Win32.Polipos
    ------------------------------------------------------------------------------------
    http://www.fortinet.com/FortiGuardCe...s_scanner.html
    The file mshearts.rar appears to be clean
    на каспере, скрепя сердце, признали в инфицированных файлах наличие Worm Win32.Plipos - цитирую - и то со второго раза, правда, в список всяческих зараз отчего то не занесли. Остальные противостолбнячные монстры молчат, как рыба об лёд......

  6. #5
    Full Member Репутация Репутация
    Регистрация
    27.01.2006
    Адрес
    MSK
    Сообщений
    34
    Вес репутации
    41
    К сожалению до сих пор никто (кроме Dr.Web) уверенно не детектирует.

    Fortinet на www.virustotal.com детектирует, но на официальном сайте Fortinet онлайн сканер говорит
    >The file calc.exe appears to be clean

    Лечение было создано для тех, кто всё же успел подхватить - для них есть cureit!.
    Ilya, Doctor Web, Ltd.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    Кто что думает по этому поводу? Интересная ситуация... Какие данные в настоящее время? Кто из АВ-компаний ещё детектирует эту заразу?
    Left home for a few days and look what happens...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Цитата Сообщение от ALEX(XX)
    Кто что думает по этому поводу? Интересная ситуация...
    Т.е. если я правильно понял, получается, что другие антивирусы не могут не то что лечить от этой заразы, но даже детектировать ее ?!
    Вот это да. В пресс-релизе написано
    Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web.
    Это наводит на размышления...
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Full Member Репутация Репутация
    Регистрация
    27.01.2006
    Адрес
    MSK
    Сообщений
    34
    Вес репутации
    41
    Это наводит на размышления...
    На какие же? :-)
    Ilya, Doctor Web, Ltd.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Цитата Сообщение от kps
    Это наводит на размышления...
    Цитата Сообщение от Ilya_K
    На какие же? :-)
    Во всех темах одно и тоже... :))))))
    вспоминается: Сегодня читал SMS, много думал...

  11. #10
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    46
    Цитата Сообщение от kps
    Это наводит на размышления...
    Действительно, если учесть, что вирус сносит основную вирусную базу ДрВеба - drwebase.vdb.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    Вот что на форуме НОД ответили

    That's after a long time after ZMist one of the "best" viruses i've seen.
    It's indeed highly complex - the encryption algo is medium difficult and the virus uses a lot of tricks. I've here some samples with nice antiemulation tricks, such as code performance speed tests (meaning the virus will know when it runs in a virtual environment) and registry dummy - writing tricks, such as trying to write a random value to the registry and trying to read it later and compare it. If not equ or if it doesn't exist the virus exits. The virus is able to act as space filler, same technic was used by the tschernobyl virus already (CIH). The virus is able to use EPO functionallity, it looks for common API calls after the entry point and hooks/redirects them. Means the virus does not execute its own code/decrypter at a fixed position after the entry point.

    Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time.
    Left home for a few days and look what happens...

  13. #12
    diizii
    Guest
    описание поменялось
    Win32.Polipos представляет собой сложный полиморфный вирус.

    Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом основное зашифрованное тело вируса записывается в новой секции.

    При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют следующие имена процессов:

    savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon, temp.
    Таким образом, в памяти оказываются несколько копий вируса каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся обще доступными для участников этой сети.

    Win32.Polipos перехватывает следующие API функции:

    ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW.
    При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, дистрибутивы и т.д.) вирус создает чистую копию во временном каталоге с именем ptf*.tmp, которую и запускает.

    Вирус удаляет следующие файлы антивирусных программ:

    drwebase.vdb, avg.avi, vs.vsn, anti-vir.dat, avp.crc, chklist.ms,ivb.ntz, ivp.ntz, chklist.cps, smartchk.ms, smartchk.cps, aguard.dat, avgqt.dat, lguard.vps.
    Win32.Polipos не заражает файлы, имена которых содержат следующие строки:

    tb dbg f- nav pav mon rav nvc fpr dss ibm inoc scn pack vsaf vswp fsav adinf sqstart mc watch kasp nod setup temp norton mcafee anti tmp secure upx forti scan zone labs alarm symantec retina eeye virus firewall spider backdoor drweb viri debug panda shield kaspersky doctor trend micro sonique cillin barracuda sygate rescue pebundle ida spf assemble pklite aspack disasm gladiator ort expl process eliashim tds3 starforce safe'n'sec avx root burn aladdin esafe olly grisoft avg armor numega mirc softice norman neolite tiny ositis proxy webroot hack spy iss pkware blackice lavasoft aware pecompact clean hunter common kerio route trojan spyware heal alwil qualys tenable avast a2 etrust spy steganos security principal agnitum outpost avp personal softwin defender intermute guard inoculate sophos frisk alwil protect eset nod32 f-prot avwin ahead nero blindwrite clonecd elaborate slysoft hijack roxio imapi newtech infosystems adaptec swift sound copystar astonsoft gear software sateira dfrgntfs
    Вирус содержит строку Win32.Polipos v1.2 by Joseph .

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Цитата Сообщение от ALEX(XX)
    Вот что на форуме НОД ответили
    а перевести... :))

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    Цитата Сообщение от Shu_b
    а перевести... )
    Перевод корявый получается... Счас посмеёмся. Кто знает толком английский, помогите. Но смысл таков: "Это - после долгого времени после ZMist один из "лучших" вирусов я видел.
    Это действительно очень сложно - шифрование algo среднее трудный, и вирус использует много уловок. Я имею здесь некоторые образцы с хорошими уловками антиэмуляции, типа кодовых тестов скорости работы (будет знать значение вируса, когда это бежит в действительной окружающей среде), и кукла регистрации - пишущие уловки, типа попытки написать случайную ценность регистрации и попытке прочитать это позже и сравнить это. Если не equ или если это не существует вирусные выходы. Вирус в состоянии действовать как космический наполнитель, та же самая техника использовалась tschernobyl вирусом уже (CIH). Вирус в состоянии использовать EPO functionallity, это ищет общие запросы программного интерфейса приложения после того, как вход указывает, и вербует/переадресовывает их. Означает, что вирус не выполняет его собственный code/decrypter в неподвижном положении после пункта входа.

    Очистка становится хитрой, поскольку доктор Веб уже заявил правильный, однако, уборщик будет доступен скоро через мой weblog так или иначе в течение этой недели, когда я имею некоторое время."
    Left home for a few days and look what happens...

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    В целом, из английского текста я смысл уловил, но вот самостоятельно дать перевод не могу
    Судя по постам на оф. форуме, сегодня образец этого зверя попал в лаборатории ESET. Посмотрим результат. Жаль образца нет
    Последний раз редактировалось ALEX(XX); 20.04.2006 в 17:57.
    Left home for a few days and look what happens...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    Здравствуйте!
    Форум Dr.Web совсем скучный и его я читал. Чуть не уснул. У кого нибудь есть образец этой заразы или нет Скиньте.

  18. #17
    _HEKTO_
    Guest
    Вот, что у меня с переводом получилось
    После давнего ZMist это один из "лучших" вирусов, которые я видел.
    Он действительно крайне сложен - криптоалгоритм средней сложности, плюс вирус использует множество tricks (трюки, уловки). Я вижу нескоько примеров (не уверен: I've here some samples with) отличных антиэмуляционных трюков, таких как измерение скорости выполнения кода (это эзначает, что вирус будет знать, когда он запущен в виртуальном окружении) и обнаружения фиктивного реестра, такой как запись в реестр случайных значений, а затем попытка их прочесть и сравнить. Если они не совпадают или не удалось их прочесть, то вирус ничего не делает. Этот вирус "is able to act as space filler" - способен заполнять несипользуемое пространство файла (т.е. при записи в exe не увеличивается его длинна - прим. мое), аналогичную технику использовал "Чернобыль" (CIH). Вирус способен использовать "EPO functionality", он ищет типичные вызовы API после точки входа и подменяет/перенаправляет их. Т.о. вирус не начинает выполнение своего кода/расшифровщика с некоторой фиксированной позиции после точки входа ("entry point")

    "Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time."

    Насчет DrWeb я не понял. В общем, обещает выложить лечилку в скорости на этой неделе через свой блог.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    _HEKTO_ Огромное спасибо!
    Left home for a few days and look what happens...

  20. #19
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    49
    Касперы говорят - работают - Сегодня / Завтра все будет.

    Интересно под "все" лечение тоже подразумавается?!
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  21. #20
    Full Member Репутация Репутация
    Регистрация
    27.01.2006
    Адрес
    MSK
    Сообщений
    34
    Вес репутации
    41
    Цитата Сообщение от Sanja
    Касперы говорят - работают - Сегодня / Завтра все будет.

    Интересно под "все" лечение тоже подразумавается?!
    updates.drweb.com
    win32.polipos
    For a period from 1 January 2006 till ...

    drwtoday.vdb (2006-03-20 20:27:25, MD5: 2e664cec370e04dfd97e0a3e0ff31275)
    ...
    Win32.Polipos
    ...

    -------------------------
    drwtoday.vdb (2006-04-20 00:20:38, MD5: 6424ec79e376ca4579310ebe2fb8d8f1)
    ...
    Win32.Polipos(2)
    ...

    судя по всему (2) - запись для лечения ;)

    Когда же хоть кто-то проснётся?
    Ilya, Doctor Web, Ltd.

Страница 1 из 8 12345 ... Последняя

Похожие темы

  1. Win32.Polipos
    От tasohell в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 01.04.2010, 17:10
  2. Win32.Polipos + еще какие-то троянчики
    От greeny в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 01.03.2010, 14:56
  3. jjdrive32.exe+Win32.HHLW.Lime, Win32.Polipos
    От nishe в разделе Помогите!
    Ответов: 31
    Последнее сообщение: 27.02.2010, 18:04
  4. Win32.Polipos
    От Psilo в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 25.11.2007, 22:40
  5. Win32.Polipos или бессилие Касперского...
    От dapredator в разделе Антивирусы
    Ответов: 9
    Последнее сообщение: 22.04.2006, 16:09

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01013 seconds with 24 queries