-
Анализ трояна, возможно семейство Medbot
На целый день отключил фаирвол на машине. И из сети провайдера интернета в открытую на запись папку мне таки положили вирус
Называется файлик setup.exe, а к нему в придачу autorun.inf, чтобы он автоматически стартанул.Ну-ну? разогнался..
Интересно, что многие антивирусы еще его не определяют, в том числе и мои. VBA32,DrWeb, и KAV.
Анализ выдал:
setup.exe : W32/Downloader (Signature: W32/Horst.gen20)
[ General information ]
* Decompressing UPX.
* Display message box (NULL) : Error: msvcrt.dll not found.
* Creating several executable files on hard-drive.
* File length: 23552 bytes.
* MD5 hash: b6e989a4e38179ebefb850c400e945db.
[ Network services ]
* Opens URL: hттp://64.XXX.0.205/up/setup1.exe.
* Connects to 64.XXX.0.205" on port 80 (TCP).
* Opens URL: 64.XXX.0.205/up/setup1.exe.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Modifies other process memory.
* Modifies execution flow of a remote process.
* Creates a mutex BC5E6DA8-DD1B-12DD-139A-B5B2378C9A04.
(C) 2004-2006 Norman ASA. All Rights Reserved.
Тоесть он качает ещё один файлик, запуская его. А показывает пользователю сообщение об ошибке.
Скачиваемый файлик - это уже собственно сам гад.
Анализ:
setup1.exe : W32/Malware (Signature: W32/Suspicious_M.gen)
[ General information ]
* Decompressing Mew.
* File length: 40239 bytes.
* MD5 hash: 54693cde72902af30db85a2bd1320a42.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\system\smss.exe.
[ Changes to registry ]
* Deletes value "KAVPersonal50" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n".
[ Network services ]
* Connects to "216.255.189.85" on port 1900 (UDP).
* Sends data stream (22 bytes) to remote address "", port 1900.
* Sends data stream (24 bytes) to remote address "216.255.189.85", port 1900.
* Connects to "rv.rozenan.com" on port 80 (TCP).
* Sends data stream (30 bytes) to remote address "216.255.189.85", port 1900.
* Connects to IRC Server.
* IRC: Uses nickname jeje-1_6792_1143.
* IRC: Uses username jeje-1_6792_1143.
* IRC: Uses nickname jeje-1_5182_1143.
[ Process/window information ]
* Modifies other process memory.
* Modifies execution flow of a remote process.
* Attempts to access service "wscsvc".
* Attempts to access service "SharedAccess".
* Attempts to access service "kavsvc".
* Attempts to access service "SAVScan".
* Attempts to access service "Symantec Core LC".
* Attempts to access service "navapsvc".
* Attempts to access service "wuauserv".
* Attempts to access service "KAVPersonal50".
* Disables security related services.
* Creates a mutex 3645FBCD-ECD2-23D0-BAC4-00DE453DEF6B.
[ Signature Scanning ]
* C:\WINDOWS\system\smss.exe (40239 bytes) : W32/Suspicious_M.gen.
(C) 2004-2006 Norman ASA. All Rights Reserved.
Создаёт якобы системный файл smss, пытается пристрелить антивир Касперского, посылает кусочки данных, видимо, или пароли, или сигнал о заражении, и присоединяется к серверу ИРК - где их уже ждёт "пастух" - автор вируса, собирающий себе сеть из тысячь компьютеров, чтобы с её помощью рассылать спам, производить атаки сайтов, ну и всё остальное, чего душа пожелает..
Люди без фаирвола и антивируса вредят уже не только себе, но и всем другим.
PS: Копаю дальше. После заражения он становится практически невидим - использует технологию Rootkit. Создаёт и запускает драйвер /%SystemRoot%/system32/drivers/drmkaud.sys , маскирующий себя в памяти и на дисках. Или это баг AVZM ?
Последний раз редактировалось Shu_b; 11.02.2007 в 09:25.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
А как делать такой анализ файла? Я скачал нормана он просто сканирует файл а инфо о нём не выдаёт.
-
Сообщение от
Logan
А как делать такой анализ файла? Я скачал нормана он просто сканирует файл а инфо о нём не выдаёт.
Это Норман Сэндбокс Лайв http://sandbox.norman.no/live_4.html
Но прежде чем эксперементировать с вирусами на своём компьютере, подумайте, надо ли оно вам?
-
-
Junior Member
- Вес репутации
- 63
-
Сообщение от
Logan
Разве это небезапасно?
Ещё как..
-