# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Подозрительный файл

## Username

Здравствуйте, сегодня перезагрузил FlashGet, и при старте FlashGetа, зонеаларм ругнулся на файл C:\Program Files\FlashGet\inapp4.exe (41 472 байт дата создания 28.02), просящегося в интернет.
Проверил на вирустотал:
Файл inapp4.exe получен 2008.02.28 22:02:40 (CET)
Текущий статус: закончено 
Результат: 5/32 (15.62%)



АнтивирусВерсияОбновлениеРезультат
AhnLab-V32008.2.28.22008.02.28-
AntiVir7.6.0.672008.02.28HEUR/Malware
Authentium4.93.82008.02.28-Avast4.7.1098.02008.02.28-
AVG7.5.0.5162008.02.28-BitDefender7.22008.02.28-
CAT-QuickHeal9.502008.02.28-
ClamAV0.92.12008.02.28-
DrWeb4.44.0.091702008.02.28-
eSafe7.0.15.02008.02.28Suspicious File
eTrust-Vet31.3.55712008.02.28-
Ewido4.02008.02.28-FileAdvisor12008.02.28-
Fortinet3.14.0.02008.02.28-
F-Prot4.4.2.542008.02.28-
F-Secure6.70.13260.02008.02.28-
IkarusT3.1.1.202008.02.28-
Kaspersky7.0.0.1252008.02.28-
McAfee52412008.02.28-
Microsoft1.33012008.02.28-
NOD32v229092008.02.28-
Norman5.80.022008.02.28-
Panda9.0.0.42008.02.27Suspicious file
Prevx1V22008.02.28Heuristic: Suspicious Self Modifying FileRising20.33.32.002008.02.28-Sophos4.27.02008.02.28-Sunbelt3.0.906.02008.02.28-
Symantec102008.02.28-TheHacker6.2.9.2292008.02.25-VBA323.12.6.22008.02.27-
VirusBuster4.3.26:92008.02.28-Webwasher-Gateway6.6.22008.02.28Heuristic.Malware
http://www.virustotal.com/ru/analisi...ad02ff9e8f0065

Я так понял, что файл пришел как обновление для флэшгета, но я его не обновлял.
Вот еще 2 ini файла из папки флешгета от 28.02

*FGUpdate3.ini*

[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031

[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%

[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

*fgres1.ini*

[root]
version=1.0.0.1034
enable=1
interval=10
[hotlink-cn]
number=1
text1=µзДФФЛРР»єВэЈїЗлБўјґУЕ»ЇЈЎ
link1=http://home.wangmeng.com/ab.aspx?lii=102271,321,216,4621,90007,26654,
26654,76647&dest=http%3a%2f%2fkiller.
www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3
d26654%26b%3d76647%26c%3d%26d%3d%26e%3d%26f%3d
[hotlink-tw]
number=0
[hotlink-en]
number=0
[proper-link]
link=http://www.kuaiche.com/?from=cn
text=ИИГЕµзУ°ЧКФґПВФШ
[gif-link]
filename=FlashGet_LOGO.gif
url=http://home.wangmeng.com/ab.aspx?lii=103481,321,216,5419,22112,14070,14070,  76215&dest=
http%3a%2f%2fkiller.
www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3d  14070%26b%3d76215%26c%3d%
26d%3d%26e%3d%26f%3d

Спасибо за помощь!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

http://virusinfo.info/showthread.php?t=1235

----------


## Username

drweb.com 
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирусы: Trojan.DownLoader.49401, Trojan.MulDrop.11828.

Спасибо за сотрудничество.

Получается, китайцы через "обновление" FlashGet, могут насовать что угодно.
Повторю еще раз, я FlashGet САМ не обновлял. Осторожней с FlashGetом теперь буду...

----------


## Толик

выловил inapp4.exe 40,5 KB (41 472 байт) после сообщения 
блокировщика Аваст о попытке удаления какого-то файла... rundll32.exe кажется... программой  inapp4.exe, что и насторожило...
Может доктора все-таки ошиблись?

----------


## Username

После запуска inapp4.exe - Trojan.MulDrop.11828 появляется:
C:\WINDOWS\system32\biosnt.dll - Trojan.DownLoader.49401
У меня еще знакомые наловили его через FlashGet.
Я так понял, кто-то ломанул сайт флэшгета, и насунул трояна, вместо апдэйта.
inapp4.exe тянулся из этой ссылки http://dl.flashget.com/flashget/appA.cab в файле FGUpdate3.ini. Но ссылку быстро прибили (Не удается найти веб-страницу).

----------


## Толик

Здравствуйте,

inapp4.exe_ - Trojan-Dropper.Win32.Agent.exo

Детектирование файла будет добавлено в следующее обновление.

Пожалуйста, при ответе включайте переписку целиком.

--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
e-mail: [email protected]
http://www.kaspersky.com/

Значит вирус точно....
Щас скачаю CureIt

----------


## Username

Новый "подарок" от FlashGetа C:\Program Files\FlashGet\inapp5.exe
И снова тихо http://www.virustotal.com/ru/analisi...f72999e83c39a9

----------


## akok

> Здравствуйте,
> 
> inapp4.exe_ - Trojan-Dropper.Win32.Agent.exo
> 
> Детектирование файла будет добавлено в следующее обновление.
> 
> Пожалуйста, при ответе включайте переписку целиком.
> 
> --
> ...



Тогда лучше AVPTool

----------


## Username

inapp5.exe
BitDefender 7.2 2008.03.02 Trojan.Agent.AHDK 
BitDefender уже бьет.

----------


## Username

Нет ну это просто ПЭ:
C:\Program Files\FlashGet\inapp6.exe
http://www.virustotal.com/ru/analisi...23954e58a519e2

----------


## drongo

Мда, флешгет стал загрузчиком троянов  
 То ли взломали сервера флешгета, то ли совсем опустились до внедрения юзерам троянов. В любом случае рекомендую удалить это счастье, есть куча менеджеров закачки более   белых и пушистых  :Smiley:  сделайте всё же свежие логи по правилам, интересно ведь, что за сюрпризы у вас живут, которых не заметили.

----------


## SuperBrat

> Мда, флешгет стал загрузчиком троянов  
>  То ли взломали сервера флешгета, то ли совсем опустились до внедрения юзерам троянов. В любом случае рекомендую удалить это счастье, есть куча менеджеров закачки более   белых и пушистых  сделайте всё же свежие логи по правилам, интересно ведь, что за сюрпризы у вас живут, которых не заметили.


Советую обратить свое внимание на бесплатный российский Free Download Manager, который давно отказался от всякого рода зловредов в дистрибутиве.

----------


## Толик

FlashGet сервак просто хакнули, уверен...
Менять на другое не хочется, не знаю как в других менеджерах есть или нет, но старт закачки по расписанию очень нужен, выключение по завершению + работа с уже закаченными файлами очень удобна...
Drongo, логи думаю нет смысла делать, блокировщиком антивиря вроде остановил запуск... cureit добил остатки в system volume information

*Добавлено через 10 минут*

Хотя сделаю щас логи много что-то у АВЗ подозрений на кейлогеры...

----------


## psw

> FlashGet сервак просто хакнули, уверен...
> Менять на другое не хочется, не знаю как в других менеджерах есть или нет, но старт закачки по расписанию очень нужен, выключение по завершению + работа с уже закаченными файлами очень удобна...


В ReGet'е есть и планировщик закачек и выключение ПК или разрыв связи после скачивания. К тому же бесплатный для домашнего использования.

----------


## Толик

Если подозрение на кейлогер зеленым выделено - это ведь значит безопасно? Уж было перепугался, а выделены подозрения в менеджере dll зеленым

----------


## psw

> Если подозрение на кейлогер зеленым выделено - это ведь значит безопасно? Уж было перепугался, а выделены подозрения в менеджере dll зеленым


Если ты видишь в логе "зеленый" процесс, это значит, что к нему подцеплена хотя бы одна DLL, не проходящая по базе безопасных (оранжевая). Процессы, у которых все модули безопасные, в логах не показываются.

----------


## Толик

Чесно говоря начал делать логи с перепугу, после первого скрипта перегрузился комп, запустился сам скан диск и теперь в менеджере внедренных dll АВЗ нет тех файлов (штук 6 было) с подозрением 50% на кейлогер
один из файлов был C:\WINDOWS\system32\msv1_0.dll
C:\WINDOWS\system32\winspool.drv ето второй, было подозрение 50% теперь после ребута 0,6%
Что-то не то... то ли авз глюкануло... то ли фиг его знает что творится... посмотрите логи?

----------


## Username

С оффсайта:
http://bbs.flashget.com/en/viewtopic...st=0&sk=t&sd=a



> I've also noticed that windows\system32\sens.dll is a modified file (detected by Commodo Firewall) and it is something I managed to find people discussing in other forums on the internet (sorry, I didn't remember to copy down the URLs). I also was informed by Commodo of an odd file I had never seen before: windows\system32\msvqohas.dll. I can not find its name through google. Virustotal reports sens.dll as a file patched to include a trojan, and msvqohas is reported as suspicious. 
> 
> Since I have to use this install while backing up data, I am going to try running SFC.exe /scannow to see if I can fix any modified files. Virustotal scanned my protected sens.dll and it was clean.


У меня на ноутбуке sens.dll был патченный  :Sad: 
Восстановил командой SFC.exe /scannow, причем размер и дата файла не менялись, только МД5 изменено было...

----------


## DVi

Огромное спасибо за информацию. Вот аналитический взгляд на эту проблему из вирлаба Лаборатории Касперского: http://www.viruslist.com/ru/weblog?weblogid=207758686

----------


## Username

> Огромное спасибо за информацию. Вот аналитический взгляд на эту проблему из вирлаба Лаборатории Касперского: http://www.viruslist.com/ru/weblog?weblogid=207758686


Спасибо за ссылку!
Итересно все-таки узнать какие действия производят эти трояны...

*Добавлено через 4 минуты*

З.Ы. Кстати отключение автообновления в настройках FlashGetа, не влияет на обработку ини (FGUpdateХ.ini) файлов...

----------


## Username

http://bbs.flashget.com/en/viewtopic...p=33042#p33042



> Hello.
> 
> Avira Antivir detected a Flashget file on my system to be a trojan/hijacker.
> 
> Virus or unwanted program 'TR/Hijacker.Gen [trojan]'
> detected in file 'C:\Program Files\FlashGet\FGUpdate\update.exe.
> Action performed: Move file to quarantine
> 
> 6 AV products picked up the file on Virustotal. Can this be all false positive? Or coincidence?
> ...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Username

Новый "подарок". 

FGUpdate3.ini




> [Add]
> fgres1.ini=1.0.0.1069
> FlashGet_LOGO.gif=1.0.0.1047
> updates.exe=1.2.1.1
> 
> 
> [AddEx]
> 
> [fgres1.ini]
> ...


updates.cab Содержит updates.exe - http://www.virustotal.com/ru/analisi...d774d1a5d0f3fc

Патчит dmserver.dll -  http://www.virustotal.com/ru/analisi...8f5ab830b1f234 , переименовывая оригинальную на dmserveresl.dll

Дропает ms****.dll, с рэндомными буквами в конце. http://www.virustotal.com/ru/analisi...1086b387c13406

----------


## Vagon

Посмотрел у себя тоже самое,что описано выше.Сейчас Антивиром проверю.Проверил отдельно файлики - чистые.

*Добавлено через 6 часов 23 минуты*

Вот кстати,сейчас пытался ФаршГет включить

 :Huh:

----------


## Alexey P.

> FlashGet сервак просто хакнули, уверен...


 Угу, и с тех пор всё хакают и хакают, уже более полугода.
"Гиви поскользнулся на шкурке апельсина и упал на мой старый дедушкин кинжал. И так двадцать восемь раз."
 Имхо, это уже не хак, это распространение авторами стороннего софта средствами flashget. В том числе и троянов - кто платит, тот и заказывает музыку.

----------

