# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Распространение ISTbar через подложные уpлы Gnutella2

## Minos

Нашествие недобросовестных дельцов в P2P. ISTbar must die. 

Как в сказке ”Терем - теремок”, в P2P сети пришла беда в виде медведя - ISTbar. В открытых сетях появились узлы, которые на любой поступивший запрос возвращают ссылку на архив, содержащий AdWare, или зараженный файл wma, который, используя уязвимость Windows Media Player, выкачивает ISTbar из Интернет. Причем результаты поиска неизменно представлены rar, zip, ace архивами с названием файла, полностью соответствующим строке запроса. Для увеличения привлекательности для конечного пользователя результату присваивается максимальный рейтинг. 
Мир свободных сетей оказался не готов к такой подлости, количество зараженных файлов растет в сети как снежный ком, особенно для популярных запросов. Количество зараженных машин так же возрастает с катастрофической скоростью.

Что бы не быть голословным, предлагаю всем желающим повторить следующий эксперимент:
1.)	Вводим в строку поиска произвольные цифры и буквы, в моем случае это были ”14554215 srvzh kdkjf”. 
2.)	Через некоторое время оказывается, что файлы с таким именем существуют, их даже довольно много и все имеют рейтинг *****. 
3.)	Скачиваем один из файлов и смотрим, что внутри архива. А там оказывается либо файл setup.exe c ISTbar, либо файл 1.wma, при попытке прослушать который опять же происходит заражение компьютера IST bar.

Но как говорится, чем дальше в лес, тем толще партизаны. Через некоторое время оказывается, что файлы ”14554215 srvzh kdkjf” очень популярны у народа  :Wink:  и их начинают качать чуть ли не каждые три - четыре минуты. Этот парадокс вызван тем, что практически во всех P2P сетях поиск источников для известных файлов ведется не по именам, а по содержанию (вернее, по контрольным суммам). &#171;Вражеский&#187; узел возвращает в ответ на запрос ссылку на зараженный файл у себя и контрольную сумму этого файла, а ваш p2p клиент находит такие же файлы на других узлах сети (которые уже скачивали подобные файлы, но по другим запросам). В результате ваш компьютер включается в сеть распространения этого вируса.

В опыте использовалась Shareaza 2.2.1.0. Описанный способ распространения ISTbar проявлялся в основном при работе с сетями Gnutella2 и eDonkey 2000. Причем узлы, подменяющие запрос, скорее всего расположены именно в Gnutella2. Однако описанная уязвимость присуща всем пиринговым сетям.

//==================================================  ==================================================
Итоги обсуждения:
 1. Подложные ссылки распространяются с узлов с IP адресами в диапазоне 85.88.9.1-85.88.9.63, имена файлов в точности соответствуют строке поиска.
 2. Отличить подложные результаты можно по высокому приоритету (5 звезд), размеру файла 1-85 Кб, имени файла, которое точно соответствует запросу, расширению фала (rar, zip реже ace) и неправдоподобно широкому каналу передачи (минимум 120 Мбит/с).
 4. Архивы могут содержать файлы 1.wma, 1wmv или setup.exe
 5. Для обхода фильтрации по контрольной сумме в крнец архива дописываются пустые строки.

Методы борьбы:
 1. Настроить фильтры p2p клиента на блокирование подсети 85.88.9.0 с маской 255.255.255.192 (подробнее ниже).
 2. Критично подходить к результатам поиска и не скачивать файлы, которые соответствуют описанным критериям.
 3. Что-бы не стать вторичным источником указанной заразы надо обновить/установить хороший антивирус и удалить с его помощью все зараженные файлы из общих папок.

 P.S. Мост и Alexey P.  огромное спасибо за помощь.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Да уж, такой гадости даже борцы с пиратской музыкой не придумали. Похоже это может нанести серьёзный удар по пиринговым сетям. А еще это говорит о том что хорошими антивирусами мало кто пользуется.

----------


## Minos

> Да уж, такой гадости даже борцы с пиратской музыкой не придумали. Похоже это может нанести серьёзный удар по пиринговым сетям. А еще это говорит о том что хорошими антивирусами мало кто пользуется.


Многие антивирусы новые версии IST bar еще не видят, за P2P сетями мало кто постоянно слидит, там всегда свежачек найти можно.
Вот результат проверки одного из 14554215_srvzh_kdkjf__4_.rar файлов.

AntiVir	6.32.0.6	11.27.2005	no virus found
Avast	4.6.695.0	11.26.2005	no virus found
AVG	718	11.25.2005	no virus found
Avira	6.32.0.6	11.27.2005	no virus found
BitDefender	7.2	11.27.2005	no virus found
CAT-QuickHeal	8.00	11.25.2005	no virus found
ClamAV	devel-20051108	11.25.2005	no virus found
DrWeb	4.33	11.27.2005	no virus found
eTrust-Iris	7.1.194.0	11.27.2005	no virus found
eTrust-Vet	11.9.1.0	11.25.2005	no virus found
Fortinet	2.48.0.0	11.26.2005	suspicious
F-Prot	3.16c	11.24.2005	no virus found
Ikarus	0.2.59.0	11.26.2005	no virus found
Kaspersky	4.0.2.24	11.27.2005	no virus found
McAfee	4637	11.25.2005	no virus found
NOD32v2	1.1305	11.25.2005	no virus found
Norman	5.70.10	11.25.2005	no virus found
Panda	8.02.00	11.27.2005	no virus found
Sophos	4.00.0	11.26.2005	no virus found
Symantec	8.0	11.27.2005	no virus found
TheHacker	5.9.1.044	11.24.2005	no virus found
VBA32	3.10.5	11.26.2005	no virus found

----------


## Geser

Весело...

----------


## Minos

Маленькое уточнение: хосты обманщики находятся только в сети Gnutella2, однако файлы с вредоносным программным обеспечением доступны и в Donkey2000.

----------


## Arkadiy

Я такие видел, не скачал только потому что архив подозрительно маленький был.

----------


## Tra1toR

юзай антиспай с монитором вот и все )) я кстати теперь файлы через bearshare suilsik i e-donkey только  с виртуальной машины качаю, КСТАТИ ОЧ КРУТАЯ ТЕма, причм востанвовить можно просто распокова архив, подробнее wmware набери в инете, вообще нужно какнить про нее статейку накатать, а то не видел тут, думаю пользуется больше половины уже точно кто здесь сидит

----------


## Dark_Blaze

Раз пошла такая пьянка,я тоже поделюсь.Для начала вопрос,я правильно понял,то есть я соединился с Гнутеллой и поймал этот бар?
А теперь,подозрительно маленких архивов очень много,обычно они вылезают при поиски какого либо софта(игру и т.п.)при поике каких то очень популярных видео матерьялов...ну чтоз а мвидео клип размером 1 мега...а то и меньше.И это конечно же звери.НО хотел подлеистя наблюдениями,иногда когда ищэшь что то чего либо нет,либо оно очень редкое то в гнутелле происходит такая штука,фаил с таким анзванием находится,но это архив,маленького размера,со скоростью скачки около гигабайта с чемто(скромненько так...)и в 5 звездами.Так вот,эти файлы определённо кто то или что генерирует,как дуамте что это может быть?

----------


## Minos

Об этих "звезданутых" файлах и идет речь, их генерируют с именем которое точно соответствует запросу. Т.е. можно ввести произвольный набор символов и их якобы найдет, только ответ будет содержать одни сгенерированные архивы с ISTbar.

----------


## Alexey P.

> Я такие видел, не скачал только потому что архив подозрительно маленький был.


 Видимо, на это можно ориентироваться - стоит хотя бы примерно знать размер того, что ищешь.

ЗЫ: Хотя как-то попадался файл 74мБ с Parite.2  :Smiley: .
 Сейчас посмотрел - оно до сих пор там лежит:
hxxp://www.irradiance.net/NewStuff/Animation/ATI9700_Demo/ATI-9700-Animusic-Movie-v1.0.exe (73868256 bytes)
 Не знаю только, с вирем еще или вылечили уже.

----------


## Minos

Дальнейшее изучение этой проблемы выявило, что по сети  на вечер 28.11.2005 распространяется 60 разных архивов содержащих 5 разновидностей вредоносного кода (2 эксплоита и 3 разных Setup.exe, устанавливающих ISTbar). В настоящий момент всю распространяемую гадость обнаруживают DrWeb и VBA  :Wink: .
Базы CLAMAV (ist.rar) основанные на MD5 контрольных суммах приложены к этому соообщению. 

В качестве отличительных особенностей потделок можно назвать:
1. большое количество "завезд" в оценках;
2. размер от 1 Kb до 85 кб;
3. тип архивов zip, rar, ace;
4. огромная заявленная скорость канала для скачивания (меньше 100 Мб/с не встречал).

Кроме того для настройки фильтров выкладываю ссылки на заразу в формате Gnutella2  и Donkey2000.

P.S. Может кто поможет отловить хосты-"обманщики"?

----------


## Tra1toR

Minos реально респект а то тут малок то выкладывает ) очень помог спасибо !!

----------


## Tra1toR

кстати в p2p качает счас ОЧЕНЬ МНОГО НАРОДУ но тут первый раз вижу про это, это как минимум тянет на статью на главную старницу ))

----------


## MOCT

> кстати в p2p качает счас ОЧЕНЬ МНОГО НАРОДУ но тут первый раз вижу про это, это как минимум тянет на статью на главную старницу ))


в P2P зараза распространяется уже долгие годы. причем речь не о червях, а именно о троянцах. просто раньше это были отдельные пользовательские хосты, с которых шла зараза. 
теперь все стало хуже. дело в том, что не имея _заранее_ на своем диске файла с таким именем пользовательский хост не сможет обмануть запрос. (запросы приходят на сервер, а тот сравнивает запрос со списком имеющихся файлов, без обращения к каждому из пользователей). таким образом имеет место p2p-сервер, который на любой запрос генерит ответ содержащий заразу.

----------


## MOCT

> Дальнейшее изучение этой проблемы выявило, что по сети на вечер 28.11.2005 распространяется 60 разных архивов содержащих 5 разновидностей вредоносного кода (2 эксплоита и 3 разных Setup.exe, устанавливающих ISTbar).


удалось отловить 1 wmv, 1 wma и 3 exe файла.

различия в размере архивов идут из-за дозаписи пустых строк в конец архива (и архиву не мешают, и crc файла меняют). видимо как только начинают блокировать по контрольным суммам (если этим вооще кто-то занимается), то сразу меняют файл на слегка другой. это и показывает слабость поиска по контрольной сумме ВСЕГО файла. искать нужно только от того куска, размер которого реально высчитывается исходя из полей заголовка. 

обнаружилась слабость AVZ - трояны _реально_ распространяются в RAR, но AVZ не может проверять эти архивы  :Cry:

----------


## Minos

> в P2P зараза распространяется уже долгие годы. причем речь не о червях, а именно о троянцах. просто раньше это были отдельные пользовательские хосты, с которых шла зараза. 
> теперь все стало хуже. дело в том, что не имея _заранее_ на своем диске файла с таким именем пользовательский хост не сможет обмануть запрос. (запросы приходят на сервер, а тот сравнивает запрос со списком имеющихся файлов, без обращения к каждому из пользователей). таким образом имеет место p2p-сервер, который на любой запрос генерит ответ содержащий заразу.


С тех пор, как P2P сети стали децентрализованы ситуация немного усложнилась. В gnutella2 узловых серверов как таковых нет, вместо них появились Hubы, на которые возложена функция по координации сети и перенаправлению запросов от конечных узлов (leaf). Усложняет все еще и то, что в результате запроса не представляется список всех узлов на которых найден файл.

----------


## Minos

Злобные хосты найдены: все они распологаются в диапазоне от 85.88.9.1/26, для их блокировки надо заблокировать в фильтре P2P клиента подсеть 85.88.9.0 с маской 255.255.255.192. В Shareaza 2.2.x это делается путем добавления правила в разделе "Безопасность"(Вид/Безопасность или View/Security). На появившейся форме кликнуть правой кнопкой мыши и в появившемся контекстном меню выбрать "Добавить правило/Add Rule...". В форме создания правила хадаем следующие параметры (Русская/Английская версии):
Тип/Type: Адрес сети (IP)/Network (IP) Address
Заметка/Comment: Вводите название правила, например block IstBar
IP адрес/IP Address: 85.88.9.0
Маска сети/Netmask: 255.255.255.192
Действие/Action: Запретить/Deny
Истекает/Expire: Никогда/Never

Пользователи Shareaza 2.2.x могут импортировать правило из приложенного к сообщению архива. Для этого надо:
1.Скачать архив приложенный к сообщению 
2. Извлечь файл IstBlock.xml из архива.
3. Кликнуть правой кнопкой на закладке "Безопасность"(Вид/Безопасность) и выбрать Импорт.
4. В появившемся окне найти наш извлеченный IstBlock.xml

----------


## userr

> обнаружилась слабость AVZ - трояны _реально_ распространяются в RAR, но AVZ не может проверять эти архивы


А как троян вылезает из этого rar, чтобы реально заразить машину? Я очень сомневаюсь, что человек, пользующийся avz, способен натравить avz на архив, но не способен проверить разархивированные файлы.  :Smiley:

----------


## MOCT

> А как троян вылезает из этого rar, чтобы реально заразить машину? Я очень сомневаюсь, что человек, пользующийся avz, способен натравить avz на архив, но не способен проверить разархивированные файлы.


я поздравляю всех людей, пользующихся AVZ, но данные трояны еще не детектируются. ничем. поэтому проверка файлов ничего не даст.

----------


## Minos

> я поздравляю всех людей, пользующихся AVZ, но данные трояны еще не детектируются. ничем. поэтому проверка файлов ничего не даст.


Все обнаруженные варианты уже точно видят DrWeb и VBA; KAV видит 4 объекта из 5-ти.

*Setup1.exe*:
AntiVir	6.32.0.6	11.29.2005	TR/Dldr.IstBar.nj.1
Avast	4.6.695.0	11.29.2005	no virus found
AVG	718	11.29.2005	no virus found
Avira	6.32.0.6	11.29.2005	TR/Dldr.IstBar.nj.1
BitDefender	7.2	11.29.2005	no virus found
CAT-QuickHeal	8.00	11.29.2005	TrojanDownloader.IstBar.nk
ClamAV	devel-20051108	11.29.2005	no virus found
DrWeb	4.33	11.29.2005	Trojan.Isbar.391
eTrust-Iris	7.1.194.0	11.29.2005	no virus found
eTrust-Vet	11.9.1.0	11.29.2005	no virus found
Fortinet	2.48.0.0	11.29.2005	W32/Istbar.NK!dldr
F-Prot	3.16c	11.28.2005	no virus found
Ikarus	0.2.59.0	11.29.2005	no virus found
Kaspersky	4.0.2.24	11.29.2005	Trojan-Downloader.Win32.IstBar.nk
McAfee	4639	11.29.2005	no virus found
NOD32v2	1.1307	11.28.2005	Win32/TrojanDownloader.IstBar.NK
Norman	5.70.10	11.29.2005	no virus found
Panda	8.02.00	11.29.2005	no virus found
Sophos	4.00.0	11.29.2005	no virus found
Symantec	8.0	11.29.2005	no virus found
TheHacker	5.9.1.046	11.29.2005	no virus found
VBA32	3.10.5	11.29.2005	Trojan-Downloader.Win32.IstBar.nk

*Setup2.exe*:
AntiVir	6.32.0.6	11.29.2005	TR/Dldr.IstBar.nj.1
Avast	4.6.695.0	11.29.2005	no virus found
AVG	718	11.29.2005	no virus found
Avira	6.32.0.6	11.29.2005	TR/Dldr.IstBar.nj.1
BitDefender	7.2	11.29.2005	no virus found
CAT-QuickHeal	8.00	11.29.2005	no virus found
ClamAV	devel-20051108	11.29.2005	no virus found
DrWeb	4.33	11.29.2005	Trojan.Isbar.390
eTrust-Iris	7.1.194.0	11.29.2005	no virus found
eTrust-Vet	11.9.1.0	11.29.2005	no virus found
Fortinet	2.48.0.0	11.29.2005	suspicious
F-Prot	3.16c	11.28.2005	no virus found
Ikarus	0.2.59.0	11.29.2005	no virus found
Kaspersky	4.0.2.24	11.29.2005	no virus found
McAfee	4639	11.29.2005	no virus found
NOD32v2	1.1307	11.28.2005	no virus found
Norman	5.70.10	11.29.2005	no virus found
Panda	8.02.00	11.29.2005	no virus found
Sophos	4.00.0	11.29.2005	no virus found
Symantec	8.0	11.29.2005	no virus found
TheHacker	5.9.1.046	11.29.2005	no virus found
VBA32	3.10.5	11.29.2005	Trojan-Downloader.Win32.IstBar.nk

*Setup3.exe*:
AntiVir	6.32.0.6	11.29.2005	TR/Dldr.IstBar.nj.1
Avast	4.6.695.0	11.29.2005	no virus found
AVG	718	11.29.2005	no virus found
Avira	6.32.0.6	11.29.2005	TR/Dldr.IstBar.nj.1
BitDefender	7.2	11.29.2005	no virus found
CAT-QuickHeal	8.00	11.29.2005	TrojanDownloader.IstBar.nj
ClamAV	devel-20051108	11.29.2005	no virus found
DrWeb	4.33	11.29.2005	Trojan.Isbar.392
eTrust-Iris	7.1.194.0	11.29.2005	no virus found
eTrust-Vet	11.9.1.0	11.29.2005	no virus found
Fortinet	2.48.0.0	11.29.2005	W32/Istbar.NJ!dldr
F-Prot	3.16c	11.28.2005	no virus found
Ikarus	0.2.59.0	11.29.2005	no virus found
Kaspersky	4.0.2.24	11.29.2005	Trojan-Downloader.Win32.IstBar.nj
McAfee	4639	11.29.2005	no virus found
NOD32v2	1.1307	11.28.2005	Win32/TrojanDownloader.IstBar.NJ
Norman	5.70.10	11.29.2005	no virus found
Panda	8.02.00	11.29.2005	no virus found
Sophos	4.00.0	11.29.2005	no virus found
Symantec	8.0	11.29.2005	no virus found
TheHacker	5.9.1.046	11.29.2005	no virus found
VBA32	3.10.5	11.29.2005	Trojan-Downloader.Win32.IstBar.nh

*1.wma\1.wmv*
Antivirus	Version	Update	Result
AntiVir	6.32.0.6	11.29.2005	no virus found
Avast	4.6.695.0	11.29.2005	no virus found
AVG	718	11.29.2005	no virus found
Avira	6.32.0.6	11.29.2005	no virus found
BitDefender	7.2	11.29.2005	no virus found
CAT-QuickHeal	8.00	11.29.2005	no virus found
ClamAV	devel-20051108	11.29.2005	no virus found
DrWeb	4.33	11.29.2005	Trojan.Isbar.389
eTrust-Iris	7.1.194.0	11.29.2005	no virus found
eTrust-Vet	11.9.1.0	11.29.2005	no virus found
Fortinet	2.48.0.0	11.29.2005	Downloader_UA.C-tr
F-Prot	3.16c	11.28.2005	no virus found
Ikarus	0.2.59.0	11.29.2005	no virus found
Kaspersky	4.0.2.24	11.29.2005	Trojan-Downloader.WMA.Wimad.d
McAfee	4639	11.29.2005	Downloader-UA.c
NOD32v2	1.1307	11.28.2005	no virus found
Norman	5.70.10	11.29.2005	no virus found
Panda	8.02.00	11.29.2005	no virus found
Sophos	4.00.0	11.29.2005	no virus found
Symantec	8.0	11.29.2005	no virus found
TheHacker	5.9.1.046	11.29.2005	no virus found
VBA32	3.10.5	11.29.2005	Trojan-Downloader.WMA.Wimad.d

----------


## MOCT

> Все обнаруженные варианты уже точно видят DrWeb и VBA; KAV видит 4 объекта из 5-ти.


есть хороший анекдот про то, что "в Кремле тоже не дураки сидят".
одна перекомпиляция, и процесс пошел по новой...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## userr

> я поздравляю всех людей, пользующихся AVZ, но данные трояны еще не детектируются. ничем. поэтому проверка файлов ничего не даст.


Не вижу какое отношение это имеет к тому, что avz не проверяет rar

----------


## MOCT

> Не вижу какое отношение это имеет к тому, что avz не проверяет rar


да это само по себе. но после того, как AVZ станет детектировать этих зверей, то все равно ничего в этих файлах не найдет...

----------


## Minos

Сервис раздачи IstBar усложнился, теперь к строке прибавляют либо произвольный набор символов, либо популярные слова поиска типа warez, full version и т.д.
Кроме того появились поддельные записи wmv размером 1-2 Мб, причем у них отсутствует присловутый рейтинг 5 звезд. Раздача непосредственно с узлов-подстав уже практически не ведется, для этих целей используется только машины рядовых пользователей.
 Еще немного, и подделки можно будет разоблачить только после скачивания. Реально теперь можно защитится только заблокировав узлы-подставы.

----------


## MOCT

> Сервис раздачи IstBar усложнился, теперь к строке прибавляют либо произвольный набор символов, либо популярные слова поиска типа warez, full version и т.д.


а новые урлы для eMule есть?

----------


## Minos

Вот несколько, но большие музыкальные файлы пока только на Gnutella

ed2k://|file|ircork.rar|2114|16d907922d5d031ead9747401f7f  4d65|/
ed2k://|file|02%20-%20ircork.zip|63674|b571b42148038930eab2c031046390  0d|/
ed2k://|file|*crack*%20ircork.zip|87298|d9a90e5b6b6932d45  d6981e9756e44cf|/
ed2k://|file|ircork.zip|76288|00a557484ae235dc339f5500ab5  9a6aa|/
ed2k://|file|ircork.zip|60623|1c9f09697da28778cffff192650  88468|/
ed2k://|file|*HonkyTonk*%20ircork.rar|58120|40da4ca4165b1  41ef26b33d67f68f77a|/
ed2k://|file|www.torrented.to...ircork.zip|56219|1690ce94  dc3350dea988329ecd9f73ee|/
ed2k://|file|ircork.zip|21324|f0d1a51ce93035420bc3789616b  c56b3|/
ed2k://|file|01%20ircork.zip|29980|b336d55869de5e62a42078  bd7701b69d|/
ed2k://|file|ircork.rar|51655|01c5249555137eabfe2bc9f819c  d0649|/

----------


## Minos

Анализ новых "музыкальных" файлов без завышенного "звездного" статуса показал, что в них не содержится непосредственно ссылок для скачивания вредоносного программного обеспечения. Однако музыку послушать вам также не удастся, вместо этого вас прямяком направят на порносайты.

----------


## MOCT

> Анализ новых "музыкальных" файлов без завышенного "звездного" статуса показал, что в них не содержится непосредственно ссылок для скачивания вредоносного программного обеспечения. Однако музыку послушать вам также не удастся, вместо этого вас прямяком направят на порносайты.


под понятие "троян" подпадают программы, которые являются не тем, за что себя выдают, или содержать скрытые потенциально опасные функции. я думаю что такие файлы тоже нужно соответствующим образом оценивать.

----------


## Minos

ISTBar теперь распространяется с лицензией.
Архивы с ISTBar серьезно "распухли". Связано это с добавлением в архив файла лицензии. Сей юридический гэг можно посмотреть в приложении к посту. Однако файл лицензии призван не столько решать проблемы с "законом", сколько изменять контрольную сумму архивов, в которые его добавляют. Дело в том, что после текста самой лицензии каждый раз добавляется разное количество символов абзаца и пробелов. Такой нехитрый трюк обеспечивает обман системы фильтрации децентрализованных P2P сетей, основанный на оценках пользователей.
В дополнение к ISTbar, через те же узлы начала распространяться и реклама. В настоящее время пользователям подсовываются картинки в формате jpg с рекламой одного из лохотронов. Кроме того, для загрузки был выложен непосредственно и ничем не заархивированный exe файл, содержащий в себе Trojan-Clicker:
AntiVir	6.33.0.61	12.16.2005	TR/Click.Delf.DM.5
Avast	4.6.695.0	12.16.2005	Win32:Trojano-2761
AVG	718	12.15.2005	Clicker.ZR
Avira	6.33.0.61	12.16.2005	TR/Click.Delf.DM.5
BitDefender	7.2	12.17.2005	no virus found
CAT-QuickHeal	8.00	12.17.2005	TrojanClicker.Delf.dm
ClamAV	devel-20051108	12.16.2005	no virus found
DrWeb	4.33	12.16.2005	Trojan.Click.731
eTrust-Iris	7.1.194.0	12.17.2005	no virus found
eTrust-Vet	12.3.3.0	12.16.2005	no virus found
Fortinet	2.54.0.0	12.17.2005	Adware/AdClicker
F-Prot	3.16c	12.15.2005	no virus found
Ikarus	0.2.59.0	12.17.2005	Trojan-Clicker.Win32.Delf.DM
Kaspersky	4.0.2.24	12.17.2005	Trojan-Clicker.Win32.Delf.dm
McAfee	4652	12.16.2005	AdClicker-DK
NOD32v2	1.1327	12.17.2005	Win32/TrojanClicker.Delf.DM
Norman	5.70.10	12.16.2005	W32/Agent.JOC
Panda	8.02.00	12.17.2005	Spyware/AdClicker
Sophos	4.01.0	12.17.2005	no virus found
Symantec	8.0	12.17.2005	no virus found
TheHacker	5.9.1.057	12.16.2005	Trojan/Clicker.Delf.dm
VBA32	3.10.5	12.17.2005	Trojan-Clicker.Win32.Delf.dm
P.S. Выкладываю обновленные базы к Clamav для удаления всего оисанного мусора.

----------


## Minos

> под понятие "троян" подпадают программы, которые являются не тем, за что себя выдают, или содержать скрытые потенциально опасные функции. я думаю что такие файлы тоже нужно соответствующим образом оценивать.


Дяди из DrWeb ответили, что это был не вирус. Мы им поверим...  :Wink: , но в базы идущие с этой темой добавим...

----------


## MOCT

> Дяди из DrWeb ответили, что это был не вирус. Мы им поверим... , но в базы идущие с этой темой добавим...


да мы тоже не утверждаем, что "вирус"...

добавление переводов строк они использовали еще при распространении архивов.
я обратил внимание на то, что Касперский, подобно AVZ, уже стал детектировать сами архивы с IstBar, а не файлы внутри архивов. в качестве противодействия этому они стали менять и начинку архивов, а не только размер.

p.s. жаль только, что на FTP не появляются новые образцы...

----------


## Minos

> да мы тоже не утверждаем, что "вирус"...
> добавление переводов строк они использовали еще при распространении архивов.


Сейчас они стали не только к архиву добавлять пустые строки, но и в файл лицензии.




> p.s. жаль только, что на FTP не появляются новые образцы...


По заявкам радиослушателей... Только там, практически ничего нового, только перепаковано и все.

----------


## Geser

> Сейчас они стали не только к архиву добавлять пустые строки, но и в файл лицензии.
> 
> 
> По заявкам радиослушателей... Только там, практически ничего нового, только перепаковано и все.


Только сделайте там отдельную папку что бы не мешать всё вместе

----------


## MOCT

> Только сделайте там отдельную папку что бы не мешать всё вместе


ну ты прям как будто на FTP заглянуть не можешь!  :Smiley: 
она уж полнедели как существует  :Wink:

----------


## Geser

> ну ты прям как будто на FTP заглянуть не можешь! 
> она уж полнедели как существует


Не заметил

----------


## MOCT

> По заявкам радиослушателей... Только там, практически ничего нового, только перепаковано и все.


мерси!
было интересно посмотреть на jpg.
да и clicker я раньше не встречал.

чем безумнее поисковый запрос, тем удивительней результат...

----------


## Minos

Сегодня еще порыскал по означенным выше узлам и обнаружил, что постепенно "звездная" болезнь у ISTBar проходит. У большей части обнаруженных новых файлов рейтинга вообще нет, как и у большинства объектов в p2p сетях. Это обстаятельство затрудняет визуальную фильтрацию результатов поиска. Кроме того однозначно можно констатировать резкий рост числа зараженных узлов. Если на прошлой недели поиск выявлял несколько десятков источников файла на один hub, то теперь счет пошел на сотни... Хорошо, что все распространяемые образцы ISTBar не пытаются зомбировать заражаемые компьютеры, превращая их в распространителей заразы, а то бы в миг вспыхнула масштабная эпидемия, и никакая фильтрация не помогла бы.

----------


## Minos

В очередной раз изменились названия исполняемых файлов распространяемой заразы. Теперь в скаченных архивах помимо файла лицензии находятся exe файлы с названиями YSB_toolBar.exe и Setup_tollBar.exe. Образцы как обычно на ftp.

----------


## Minos

Обнаружено еще несколько узлов рассылающих подложные файлы. Первая группа узлов находится в диапазоне 209.190.0.0-209.190.127.255. В основном здесь распространяются *.wmv файлы, при посмотре которых открывается "клубничный" сайт или грузится Adware.SaveNow. Также закачивается две модификации Trojan-Clicker . Все образцы на ftp папка 2 в папке IstBar.
Вторая группа в диапазоне 209.160.0.0-209.160.79.255, отсюда идут файлы подозрительно похожие на Spyware. Желающие могут поковыряться, образцы расположены в папке 3 папки IstBar на ftp.

К сообщению приложен файл с блокирующими правилами для shareaza.

----------


## Minos

Более серьёзное изучение новых источников заразы показало, что в отличии от ISTBar новые узлы разбросаны по подсетям, и блокирование диапазона адресов в связи с этим является излишним. В настоящее время список узлов распространяющих заразу следующий:
64.151.98.36
68.178.200.89
63.246.153.64
209.190.122.186
209.160.32.221
209.165.244.242
206.222.26.34

Во всех случаях клиент Gnutella2 подложного узла идентифицируется как Gnucleus 2.2.0.0.

----------


## MOCT

> Вторая группа в диапазоне 209.160.0.0-209.160.79.255, отсюда идут файлы подозрительно похожие на Spyware. Желающие могут поковыряться, образцы расположены в папке 3 папки IstBar на ftp.


а может это тот самый мифический polipos?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Alexey P.

> а может это тот самый мифический polipos?


 Только  Ikarus-ом не проверяйте, он полипосов за сутки на virustotal наловил как грязи  :Smiley: . В их статистике других вирусов почти не видно.
 Представляю, сколько мусора получат другие антивирусы от этих его ложных детектов.

----------


## Minos

> а может это тот самый мифический polipos?


Нет, AdWare - DrWeb уже знает их в лицо: Adware.Adwert, а у VBA - Trojan-Clicker.Win32.Agent.hi

----------

