# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Описание вирусов: Trojan-Proxy.Win32.Lager.ab

## Зайцев Олег

"Зверь" интересен тем, что его файлы сжаты криптером/пакером (причем тип этого криптера мне не известен), и файл на WEB сервере постоянно переупаковывается, т.е. в случае повторной загрузки "зверя"  его исполняемые файлы существенно различаются.  В упакованном файле сам зверь находится в секции "crpt" этого файла. 
В ходе запуска он создает sysvcs.exe в папке system32, обменивается с Инет, внутри у него прописан URL
хттп://69.50.184.90/cntr/bin/latest.exe прямо открытым текстом, и еще
есть адреса:
хттп://69.50.184.90/cntr/ab.php
хттп://69.50.161.106/d/ab.php
хттп://65.75.151.190/d/ab.php

sysvcs.exe импортирует RASAPI, Wininet, UrlMon. Проявляет бурную
сетевую активность, обмен ведет по порту 25. Назначение этого "зверя", очевидно, - рассылка спама.
sysvcs.exe не создает окон, маскировку процесса не применяет.
Прописывается на автозапуск стандартным способом - в ключ реестра RUN, параметр с именем aupd.
В расшифрованном теле содержатся строки "Windows update Service" и
"Provide Windows update", а так-же заготовка bat-файла вида:
@echo off
:start1
if not exist %s goto done1
del %s
goto start1
:done1
~update.exe
:start2
if not exist ~update.exe goto done2
del ~update.exe
goto start2
:done2
del update.bat ~update.exe update.bat log.txt

В теле "зверя" есть типовой код/константы для обмена по электронной
почте и отправки данных по методу POST.
Файл ~update.exe создается на диске в папке System32, имеет размер 4 кб, сжатия и шифровки нет, является типичным Trojan-Downloader.
Кроме всего прочего "зверь" создает в System32 файл zlbw.dll - это
библиотека компрессии.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## WaterFish

Немного не в тему:
Отправил сегодня этого представителя компьютерной фауны по двум адресам часов в 17.00,честно говоря не сомневался в быстром ответе:

Первый на....... :Smiley: 

"Здравствуйте.
В присланном Вами файле обнаружено вредоносное программное обеспечение. 

Trojan-Proxy.Win32.Lager.u

Его детектирование было включено в следующее обновление антивирусных баз. 
Благодарим за оказанную помощь.
--------------
С уважением, Леонид Хованский.
Вирусный аналитик
ЗАО "Лаборатория Касперского"
*18 Ноя 2005 18:19:11*

Второй и нееб.... :Smiley: 

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.Galapoper


Спасибо за сотрудничество.

-- 
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

*18 Ноя 2005 18:53:42*

Ну так и возникла мысль о том, что все наши-ваши тесты будут неполными, если не провести тест на время реакции на отпраленного в вирусные лабы зверя. 
Причём понятно, что нужно учесть эвристику.
На этого зверя среагировал явно NOD и CAT-QuickHeal, а да и ещё Fortinet/
МИФ задетектил:Trojan.Win32.Crypt.l  Ну это понятно :Smiley: 

З.Ы. Интересно, почему в письме Касперски пишет о Trojan-Proxy.Win32.Lager.u, а на Virustotale и jotty  он опознаётся как Packed.Win32.Klone.b?

----------


## UsAr

> "Зверь" интересен тем, что его файлы сжаты криптером/пакером (причем тип этого криптера мне не известен)


это y0da's Crypter

----------


## Sanja

неа - это Yoda Protector  :Wink:

----------


## kvit

latest.exe - NOD32 у меня обнаружил его сразу:




> latest.exe - a variant of Win32/TrojanProxy.Lager.F


Судя по последним удачам, NOD32 заслуживает попадания в список рекомендуемые антивирусы...  :Smiley: 

а вот добавление с virustotal:

AntiVir	6.32.0.6	11.21.2005	no virus found
Avast	4.6.695.0	11.20.2005	no virus found
AVG	718	11.21.2005	no virus found
Avira	6.32.0.6	11.21.2005	no virus found
BitDefender	7.2	11.22.2005	no virus found
CAT-QuickHeal	8.00	11.22.2005	(Suspicious) - DNAScan
ClamAV	devel-20051108	11.21.2005	no virus found
DrWeb	4.33	11.21.2005	Trojan.Galapoper
eTrust-Iris	7.1.194.0	11.21.2005	no virus found
eTrust-Vet	11.9.1.0	11.22.2005	Win32.Sinteri
Fortinet	2.48.0.0	11.21.2005	suspicious
F-Prot	3.16c	11.22.2005	could be infected with an unknown virus
Ikarus	0.2.59.0	11.22.2005	no virus found
Kaspersky	4.0.2.24	11.22.2005	Packed.Win32.Klone.b
McAfee	4633	11.21.2005	Galapoper
NOD32v2	1.1296	11.21.2005	a variant of Win32/TrojanProxy.Lager.F
Norman	5.70.10	11.21.2005	no virus found
Panda	8.02.00	11.22.2005	no virus found
Sophos	3.99.0	11.22.2005	no virus found
Symantec	8.0	11.21.2005	no virus found
TheHacker	5.9.1.038	11.22.2005	no virus found
VBA32	3.10.5	11.21.2005	Trojan.Win32.Crypt.l

----------


## kvit

В тему:




> На этого зверя среагировал явно NOD и CAT-QuickHeal, а да и ещё Fortinet/


Вот кстати ответ на сканирование Yoda Protector:

AntiVir	6.32.0.6	11.21.2005	no virus found
Avast	4.6.695.0	11.20.2005	no virus found
AVG	718	11.21.2005	no virus found
Avira	6.32.0.6	11.21.2005	no virus found
BitDefender	7.2	11.22.2005	no virus found
*CAT-QuickHeal	8.00	11.22.2005	(Suspicious) - DNAScan*
ClamAV	devel-20051108	11.21.2005	no virus found
DrWeb	4.33	11.21.2005	no virus found
eTrust-Iris	7.1.194.0	11.21.2005	no virus found
eTrust-Vet	11.9.1.0	11.22.2005	no virus found
*Fortinet	2.48.0.0	11.22.2005	suspicious*
F-Prot	3.16c	11.22.2005	no virus found
Ikarus	0.2.59.0	11.22.2005	no virus found
Kaspersky	4.0.2.24	11.22.2005	no virus found
McAfee	4633	11.21.2005	no virus found
NOD32v2	1.1296	11.21.2005	no virus found
Norman	5.70.10	11.21.2005	no virus found
Panda	8.02.00	11.22.2005	no virus found
Sophos	3.99.0	11.22.2005	no virus found
Symantec	8.0	11.21.2005	no virus found
TheHacker	5.9.1.039	11.22.2005	no virus found
VBA32	3.10.5	11.21.2005	no virus found

----------


## Firza

> ... В ходе запуска он создает sysvcs.exe в папке system32 
> ... Прописывается на автозапуск стандартным способом - в ключ реестра RUN
> ... Файл ~update.exe создается на диске в папке System32
> ... "зверь" создает в System32 файл zlbw.dll


Данные функции не работают в Windows 2k/XP. Даже непонятно как данная программа получила гордое название Virus – Trojan, если он несовместим с Windows XP, то есть - не работает без прав Administrator. Значит это вирус только для Windows 9x. 
Разве большая проблема написать похожие на эту, вредоносные программы для Linux и который также будет работать только с правами привилегированного пользователя. Думаю, такие программы некто не стал бы называть вирусами для Linux, на них просто некто не обратит внимание.
Ах, да вспомнил, что на Windows есть многолетня, устоявшийся традиция *все* программы без разбора запускать с правами Administrator  :Sad: . Если это так то, тогда действительно это вирус.

----------


## waddafq

> Данные функции не работают в Windows 2k/XP.


работают, и не только из под администратора



> Думаю, такие программы некто не стал бы называть вирусами для Linux, на них просто некто не обратит внимание.


кто этот постоянно упоминающийся "некто" ?

----------


## Firza

> работают, и не только из под администратора


Какая из мною перечисленных функций данного “вируса” работает без прав Administrator? Я, конечно, имел в виду Windows 2k/XP на *NTFS*. В описании “вируса” не было сказано, в каком именно месте находится: “автозапуск стандартным способом - в ключ реестра RUN”. Если это в HKLM, то там вирусам вход запрещен, если в HKCU, то там действительно вирус может писать и добавлять ключи в RUN (в данном случаи это неименит смыло).
Ах, да на Windows может быть пользователи группы “Power User” но по уровню прав это братья-близнецы c Administrators. И когда я писал про “не работает без прав Administrator” то не имел ввиду такую бессмысленную вещь как “Power User”. 
Если кто-то советует не пользоваться *все время* правами Administrator это надо понимать, что надо пользоваться правами Limited User. А использовать “Power User” бессмысленно.

----------

