# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Trojan-Downloader.JS.Agent.kd

## Jack2

*Kaspersky Internet Security 7.0*

 The requested URL hттp://counter-google.com/stats/index.php is infected with Trojan-Downloader.JS.Agent.kd virus



Новость весит на СекЛабе, но на момент печати этого сообщения актуальна. 



Куда обращаться на предмет пресечения вирусной активности?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ScratchyClaws

В поддержку google ессессно

Google Inc.
1600 Amphitheatre Parkway
Mountain View, CA 94043
phone: (650) 253-0000
fax: (650) 253-0001

(это если охота вживую пообщаться)

или вот сюда
http://www.google.com/support/bin/request.py?ctx=answer
http://www.google.com/support/bin/re...=cf_noresponse

----------


## Jack2

Отписался. Посмотрим, как работают.  :Smiley:

----------


## ScratchyClaws

Когда я писала первое сообщение проверка url от DoctorWeb говорила что там все чисто...

отркрыла страничку.... собсно весь исходный код 


```
:[
```

кстати на секлабе ничего похожего на эту новость не нашлось

и ещё на будущее - если по ссылке есть что-то вредное или опасное - не надо её делать активной

----------


## Jack2

Ссылку передалал, каспер на нее по-прежнему ругается.
На секлабе новость была прямо под *Шифрование дисков в Windows Server 2008 с поддержкой TPM*, которая на главной сейчас имеется. Предыдущую статью убрали, найти ее мне не удалось. Но сути дела это не меняет.

*Добавлено через 1 минуту*
Все же интересно, зачем потерли статью на секлабе.

----------


## ScratchyClaws

Так... теги 


```
[url]
```

вокруг ссылки потри... 


Может кто-нибудь все-таки ответит, есть там сейчас что-нибудь или нет?

----------


## Jack2

Сейчас там пусто. Возможно, зараза работает не круглые сутки. Посмотрим что будет сегодня ночью.

----------


## aintrust

> Может кто-нибудь все-таки ответит, есть там сейчас что-нибудь или нет?


Да, действительно есть, trojan-downloader, написанный на JavaScript - KIS все правильно определяет.

----------


## pig

А мне грузится пустышка.

----------


## aintrust

> А мне грузится пустышка.


Попробуйте загрузить этот ресурс каким-либо даунлоадером, а потом глянуть внутрь. Вполне возможно также, что троян грузится не каждый раз, а по рандомайзу, или же он читает строку _User Agent_ браузера (у меня настроено на IE).

PS. А вот теперь уже _"Connection refused"_.

----------


## SuperBrat

> Да, действительно есть, trojan-downloader, написанный на JavaScript - KIS все правильно определяет.


Если заходить Оpera, то встречает пустая страница.
http://online.drweb.com/?url=1 определяет страницу двубайтного размера.
P.S. Или ловушка настроена на IE?

----------


## aintrust

> Если заходить Оpera, то встречает пустая страница.
> http://online.drweb.com/?url=1 определяет страницу двубайтного размера.
> P.S. Или ловушка настроена на IE?


Да, в Опере он не "прокатит"... 

У меня теперь уже выдает следующую строку:


```
:[
```

PS. Но, в любом случае, троян там есть...

----------


## ScratchyClaws

собственно Креведко тоже пустую страничку грузит 
(уффф... значит у меня все чисто на компе)

----------


## Jack2

Странно, что суппорт молчит. Странно, что статью с секлаба убрали. 
У меня предупреждение идет в Мозилле при работающем Скрипт Блокин.

----------


## aintrust

> Странно, что суппорт молчит. Странно, что статью с секлаба убрали. 
> У меня предупреждение идет в Мозилле при работающем Скрипт Блокин.


А почему вы решили, что домен _counter-google.com_ как-то связан с _google.com_?

----------


## ScratchyClaws

кстати, если поискать гуглом counter-google.com то можно получить предупреждение что 


> this site may harm your computer

----------


## Палыч

Русскоязычный Гугл тоже не дремлет: http://www.google.ru/search?hl=ru&q=...%B2+Google&lr=
Кстати, ссылка на наш форум вторая в списке. Не плохо по-мойму.  :Smiley:

----------


## Макcим

> Попробуйте загрузить этот ресурс каким-либо даунлоадером, а потом глянуть внутрь.


Каким например? Я пробовал разные и всё равно получал вместо трояна ерунду.

----------


## borka

> Каким например? Я пробовал разные и всё равно получал вместо трояна ерунду.


Что онлайн Доктора, что просмотр сайта, что НетВампир - одинаково. Два байта - и ничего больше... Либо вообще ничего.

----------


## Muzzle

> Русскоязычный Гугл тоже не дремлет: http://www.google.ru/search?hl=ru&q=...%B2+Google&lr=
> Кстати, ссылка на наш форум вторая в списке. Не плохо по-мойму.


Уже первая  :Wink: 
Вчера проверял,был ява скрипт который дарил трояна,сегодня глухо.
ЗЫ.смотрел FireFox`ом

----------


## aintrust

> Каким например? Я пробовал разные и всё равно получал вместо трояна ерунду.


Так, видимо, поздно уже... =) Похоже, злоумышленники отключили закачку трояна - еще вчера до обеда. Если кому-то интересно, что именно выдавалось клиенту, могу выслать в личку - декодируйте, проверяйте и т.д. Кстати, Максим, там лежал скрипт, очень похожий (возможно, даже идентичный) на один из тех, что ты мне уже присылал. 

Начало там такое:


```
<div id="mydiv"></div>
<Script Language='JavaScript'>
function xor_str(plain_str, xor_key) { 
  var xored_str = "";
  for (var i = 0 ; i < plain_str.length; ++i) 
    xored_str += String.fromCharCode(xor_key ^ plain_str.charCodeAt(i));
  return xored_str; 
} 
var plain_str = "\xe4\xce\xce\xb2\xa5\xb6\xe4\xa9\xa9\xe4\xf9\xe4\xaa\xa1\xb3\xe4\x85\xb6\xb6\xa5\xbd\xec\xed\xff\xce\xb2\xa5\xb6..."
...
```

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

> Так, видимо, поздно уже... =) Похоже, злоумышленники отключили закачку трояна - еще вчера до обеда.


Этот я не качал, я качал до этого много. Как-то они дифференцировали то, что я захожу не браузером и давали ерунду (пустая страница, грустный смайл и так далее).



> Кстати, Максим, там лежал скрипт, очень похожий (возможно, даже идентичный) на один из тех, что ты мне уже присылал.


Я не удивлюсь, даже если он ставит тоже самое.

----------


## aintrust

> Как-то они дифференцировали то, что я захожу не браузером и давали ерунду (пустая страница, грустный смайл и так далее).


Ну, дифференцировать можно, как минимум, по строке _User Agent_. У моего даунлоадера я установил _User Agent_ в точности как у _Internet Explorer_ 6-й версии - и именно в таком варианте я и получил трояна с этого сайта.

----------


## Макcим

Не помогло, я тоже пробовал.  :Sad:  А какой у Вас даунлоадер?

----------


## aintrust

Вчера утром для закачки я использовал _FlashGet_.

----------


## Jack2

Похоже, как только ссылки на заразу появились в Гугле, закачку отключили.  :Sad: 

*Добавлено через 1 минуту*
Не, ни фига. Троян по-прежнему закачивается.
Касперский только что ругался снова.
Проблема не решена.

----------


## vaber

:"http://": counter-google.com/stats/index.php
Размещен эксплоит, в случае эксплуатации уязвимости загружает и запускает на исполнение трояна-загрузчика весом 7 кб
Тот в свою очередь загружает еще одного трояна - на этот раз шпиона-банкера. Оба файла при завершении работы удаляют оригинальный файл.
Троян-загрузчик:

http://www.virustotal.com/resultado....cbdd5ae91f0521

При запуске загрузчик внедряется в системный процесс svchost.exe с целью обойти брандмауэр. Отличительныя особенность - обход Касперского 7 автокликом (т.к. Касперский детектирует внедрение в процесс). Так же отмечу, что Касперский может детектировать этого загрузчика эмулятором (при детальном уровне в файловом антивирусе).Скачивает и запускает на исполнение Trojan-Spy.Win32.Bsub или Banker - как уж обзовут весом 105 кб. Не детектируется.

http://www.virustotal.com/resultado....cecd41114baf86

Шпиончик представляет собой библиотеку matahsw.dll (пакованную UPX), зарегистрированную как BHO. Следит за посещением пользователем сайтов банков:
citibank.de
finanzportal.fiducia.de
cortalconsors.de
Плюс крадет пароли (PROTECTED STORAGE) с ПК, создает файлы help.txt,alog.txt,commands.xml,dr.gif,di.gif,tns.d  ll в каторых хранит награбленное и передает их сюда:
thekurt.info/oops/upload.php
thekurt.info/oops/command.php
thekurt.info/oops/commandack.php
thekurt.info/oops/newuser.php
thekurt.info/oops/mail.php

----------


## Макcим

Ссылки virustotal.com не открываются...

----------


## aintrust

> Размещен эксплоит, в случае эксплуатации уязвимости загружает и запускает...


Хм... О какой уязвимости идет речь?

----------


## SuperBrat

> Ссылки virustotal.com не открываются...


Быстро устаревают, несколько часов назад еще можно было увидеть.

----------


## Макcим

> Быстро устаревают, несколько часов назад еще можно было увидеть.


В таких случаях лучше делать скриншоты.

----------


## vaber

> Хм... О какой уязвимости идет речь?


Уязвимости браузера я так понимаю.
Вы же сами привили начальный текст зашифрованного (xor) эксплоита?
Вероятно там не один эксплоит, а целый набор - mpack.
Загрузчик



```
Antivirus      Version      Last Update      Result
AhnLab-V3    2007.7.31.1    2007.07.31    -
AntiVir    7.4.0.54    2007.07.31    -
Authentium    4.93.8    2007.07.31    -
Avast    4.7.1029.0    2007.07.31    -
AVG    7.5.0.476    2007.07.31    -
BitDefender    7.2    2007.08.01    -
CAT-QuickHeal    9.00    2007.07.31    -
ClamAV    0.91    2007.08.01    -
DrWeb    4.33    2007.07.31    -
eSafe    7.0.15.0    2007.07.31    -
eTrust-Vet    31.1.5021    2007.08.01    Win32/Chepvil!generic
Ewido    4.0    2007.07.31    -
FileAdvisor    1    2007.08.01    -
Fortinet    2.91.0.0    2007.08.01    -
F-Prot    4.3.2.48    2007.07.31    -
F-Secure    6.70.13030.0    2007.07.31    -
Ikarus    T3.1.1.8    2007.07.31    -
Kaspersky    4.0.2.24    2007.08.01    -
McAfee    5087    2007.07.31    -
Microsoft    1.2704    2007.08.01    -
NOD32v2    2430    2007.07.31    -
Norman    5.80.02    2007.07.31    -
Panda    9.0.0.4    2007.08.01    -
Rising    19.34.20.00    2007.08.01    -
Sophos    4.19.0    2007.08.01    -
Sunbelt    2.2.907.0    2007.07.31    -
Symantec    10    2007.08.01    -
TheHacker    6.1.7.159    2007.07.31    -
VBA32    3.12.2.2    2007.07.31    -
VirusBuster    4.3.26:9    2007.07.31    -
Webwasher-Gateway    6.0.1    2007.08.01    -
Additional information
File size: 7253 bytes
MD5: 229db5a21f3aab1288a13106aaa1eacc
```

банкер



```
Antivirus      Version      Last Update      Result
AhnLab-V3    2007.7.31.1    2007.07.31    -
AntiVir    7.4.0.54    2007.07.31    -
Authentium    4.93.8    2007.07.31    -
Avast    4.7.1029.0    2007.07.31    -
AVG    7.5.0.476    2007.07.31    -
BitDefender    7.2    2007.08.01    -
CAT-QuickHeal    9.00    2007.07.31    -
ClamAV    0.91    2007.08.01    -
DrWeb    4.33    2007.07.31    -
eSafe    7.0.15.0    2007.07.31    -
eTrust-Vet    31.1.5021    2007.08.01    -
Ewido    4.0    2007.07.31    -
FileAdvisor    1    2007.08.01    -
Fortinet    2.91.0.0    2007.08.01    -
F-Prot    4.3.2.48    2007.07.31    -
F-Secure    6.70.13030.0    2007.07.31    -
Ikarus    T3.1.1.8    2007.07.31    -
Kaspersky    4.0.2.24    2007.08.01    -
McAfee    5087    2007.07.31    -
Microsoft    1.2704    2007.08.01    -
NOD32v2    2430    2007.07.31    -
Norman    5.80.02    2007.07.31    -
Panda    9.0.0.4    2007.08.01    Suspicious file
Prevx1    V2    2007.08.01    -
Rising    19.34.12.00    2007.07.31    -
Sophos    4.19.0    2007.08.01    Mal/Behav-112
Sunbelt    2.2.907.0    2007.07.31    -
Symantec    10    2007.08.01    -
TheHacker    6.1.7.159    2007.07.31    -
VBA32    3.12.2.2    2007.07.31    -
VirusBuster    4.3.26:9    2007.07.31    -
Webwasher-Gateway    6.0.1    2007.08.01    -
Additional information
File size: 105472 bytes
MD5: 8522406dc796fbe4fe06ef591ae0e676
SHA1: 99a7c8906a1a002d8690195675fdff611c2e01f9
```

----------


## aintrust

> Уязвимости браузера я так понимаю.


Понятно. Просто я думал, что вы имеете ввиду что-то конкретное...

PS. Кстати, там уже лежит несколько другой эксплойт (другой исходник на JavaScript) - отличный от того, что я скачал в понедельник утром. Впрочем, очень может быть, что механизм заражения, тем не менее, остался прежним.

----------


## ScratchyClaws

гм...

а полученный грустный смайлик может подтвердить что троян закачан не был?

----------


## aintrust

> гм...
> 
> а полученный грустный смайлик может подтвердить что троян закачан не был?


А вот и не надо было пробовать! =)

Ну, а если серьезно, то скорее всего - да.

----------


## SuperBrat

> а полученный грустный смайлик может подтвердить что троян закачан не был?


Да, не был. Вас добавили в базу "неподдающихся", о чем они и сожалеют.  :Wink:  С вашего ip-адреса (если он не динамический) можно уже не пробовать заходить. Не "пустят".




> В таких случаях лучше делать скриншоты.


Мне понравилась новая кнопочка "compact". Она позволяет сгруппировать и оформить результат в удобном для вас виде. Рекомендую для темы "Исследование антивирусов".  А скриншоты в новой версии Virustotal  делать неудобно (слишком удлинен список).

----------


## ScratchyClaws

> Да, не был. Вас добавили в базу "неподдающихся", о чем они и сожалеют.  С вашего ip-адреса (если он не динамический) можно уже не пробовать заходить. Не "пустят".


ip у меня постоянный... зато теперь можно быть спокойной что если кто-то дома откроет этот сайт ничего не установится... (тута инет через роутер, его ещё 2 человека используют)

ИМХО креведко и правда самый безопасный браузер

----------


## Макcим

> ИМХО креведко и правда самый безопасный браузер


Какой какой браузер?

----------


## Rene-gad

> Какой какой браузер?


SeaMonkey на самом деле не _морская обезьяна_, а маленький краб artemia salina  :Wink: , который в сушеном виде используют для кормления аквариумных рыбок.

----------


## ScratchyClaws

ладно... убедили... просто браузер часто креветкой зовут вот и привязалось...

----------


## Ego1st

креведкой, на баше чаще всего завут всех кого не лень=))

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ScratchyClaws

> креведкой, на баше чаще всего завут всех кого не лень=))


это началось до эпидемии креведок

----------


## Jack2

У меня тоже ip статический, тем не менее, я открывал этот сайт несколько раз и несколько раз натыкался на трояна. Так что механизм там другой и при повторном заходе Вы ни от чего не защищены.

*Добавлено через 2 минуты*

Не понял, на данный момент Касперский заразу отсекает?

----------

