Показано с 1 по 5 из 5.

Анализ трояна, возможно семейство Medbot

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    88

    Анализ трояна, возможно семейство Medbot

    На целый день отключил фаирвол на машине. И из сети провайдера интернета в открытую на запись папку мне таки положили вирус
    Называется файлик setup.exe, а к нему в придачу autorun.inf, чтобы он автоматически стартанул.Ну-ну? разогнался..
    Интересно, что многие антивирусы еще его не определяют, в том числе и мои. VBA32,DrWeb, и KAV.
    Анализ выдал:

    setup.exe : W32/Downloader (Signature: W32/Horst.gen20)

    [ General information ]
    * Decompressing UPX.
    * Display message box (NULL) : Error: msvcrt.dll not found.
    * Creating several executable files on hard-drive.
    * File length: 23552 bytes.
    * MD5 hash: b6e989a4e38179ebefb850c400e945db.

    [ Network services ]
    * Opens URL: hттp://64.XXX.0.205/up/setup1.exe.
    * Connects to 64.XXX.0.205" on port 80 (TCP).
    * Opens URL: 64.XXX.0.205/up/setup1.exe.

    [ Security issues ]
    * Starting downloaded file - potential security problem.

    [ Process/window information ]
    * Modifies other process memory.
    * Modifies execution flow of a remote process.
    * Creates a mutex BC5E6DA8-DD1B-12DD-139A-B5B2378C9A04.

    (C) 2004-2006 Norman ASA. All Rights Reserved.


    Тоесть он качает ещё один файлик, запуская его. А показывает пользователю сообщение об ошибке.

    Скачиваемый файлик - это уже собственно сам гад.

    Анализ:

    setup1.exe : W32/Malware (Signature: W32/Suspicious_M.gen)

    [ General information ]
    * Decompressing Mew.
    * File length: 40239 bytes.
    * MD5 hash: 54693cde72902af30db85a2bd1320a42.

    [ Changes to filesystem ]
    * Creates file C:\WINDOWS\system\smss.exe.

    [ Changes to registry ]
    * Deletes value "KAVPersonal50" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n".

    [ Network services ]
    * Connects to "216.255.189.85" on port 1900 (UDP).
    * Sends data stream (22 bytes) to remote address "", port 1900.
    * Sends data stream (24 bytes) to remote address "216.255.189.85", port 1900.
    * Connects to "rv.rozenan.com" on port 80 (TCP).
    * Sends data stream (30 bytes) to remote address "216.255.189.85", port 1900.
    * Connects to IRC Server.
    * IRC: Uses nickname jeje-1_6792_1143.
    * IRC: Uses username jeje-1_6792_1143.
    * IRC: Uses nickname jeje-1_5182_1143.


    [ Process/window information ]
    * Modifies other process memory.
    * Modifies execution flow of a remote process.

    * Attempts to access service "wscsvc".
    * Attempts to access service "SharedAccess".
    * Attempts to access service "kavsvc".
    * Attempts to access service "SAVScan".
    * Attempts to access service "Symantec Core LC".
    * Attempts to access service "navapsvc".
    * Attempts to access service "wuauserv".
    * Attempts to access service "KAVPersonal50".
    * Disables security related services.
    * Creates a mutex 3645FBCD-ECD2-23D0-BAC4-00DE453DEF6B.

    [ Signature Scanning ]
    * C:\WINDOWS\system\smss.exe (40239 bytes) : W32/Suspicious_M.gen.


    (C) 2004-2006 Norman ASA. All Rights Reserved.

    Создаёт якобы системный файл smss, пытается пристрелить антивир Касперского, посылает кусочки данных, видимо, или пароли, или сигнал о заражении, и присоединяется к серверу ИРК - где их уже ждёт "пастух" - автор вируса, собирающий себе сеть из тысячь компьютеров, чтобы с её помощью рассылать спам, производить атаки сайтов, ну и всё остальное, чего душа пожелает..

    Люди без фаирвола и антивируса вредят уже не только себе, но и всем другим.

    PS: Копаю дальше. После заражения он становится практически невидим - использует технологию Rootkit. Создаёт и запускает драйвер /%SystemRoot%/system32/drivers/drmkaud.sys , маскирующий себя в памяти и на дисках. Или это баг AVZM ?
    Последний раз редактировалось Shu_b; 11.02.2007 в 09:25.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    11.02.2007
    Сообщений
    9
    Вес репутации
    36
    А как делать такой анализ файла? Я скачал нормана он просто сканирует файл а инфо о нём не выдаёт.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    88
    Цитата Сообщение от Logan Посмотреть сообщение
    А как делать такой анализ файла? Я скачал нормана он просто сканирует файл а инфо о нём не выдаёт.
    Это Норман Сэндбокс Лайв http://sandbox.norman.no/live_4.html

    Но прежде чем эксперементировать с вирусами на своём компьютере, подумайте, надо ли оно вам?

  5. #4
    Junior Member Репутация
    Регистрация
    11.02.2007
    Сообщений
    9
    Вес репутации
    36
    Разве это небезапасно?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    88
    Цитата Сообщение от Logan Посмотреть сообщение
    Разве это небезапасно?
    Ещё как..

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 24.03.2012, 20:38
  2. Medbot.HF troyan
    От tup в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 22.02.2009, 01:40
  3. Ответов: 2
    Последнее сообщение: 23.08.2008, 21:20
  4. не возможно удалить трояна Trojan.Win32.BHO.abo
    От piligrim+ в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 20.12.2007, 15:33
  5. Возможно, остатки Трояна?
    От Gray в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 25.04.2007, 01:00

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00256 seconds with 19 queries