PDA

Просмотр полной версии : Новая разновидность Trojan.PSW.Linage



Зайцев Олег
03.11.2004, 13:59
Сегодня у нас с вети была обнаружена новаю разновидность трояна Trojan.PSW.Linage (разновидность "e" по Касперскому) на одном из ПК. Я провел анализ этого троянца и вот его описание:
Троян при первом запуске копирует себя в папку Program Files под именем explorer.exe и прописывает себя в автозагрузку классическим способом (ключ реестра Run, параметр LoadMeth1). Размер файла - 48640 байт. Внутри exe файла (в его хвосте) расположена библиотека, которая при запуске копируется трояном в папку System32 под именем htdll.dll (размер 22528, сжата UPX). Библиотека предназначена для реализации функций кейлоггера (это клавиатурный хук, который ко всему прочему импортирует winsock и судя по всему может передавать собранную информацию напрямую).
Троян может бороться с некоторыми Firewall (например, список exe оригинален - EGHOST.EXE, MAILMON.EXE, KAVPFW.EXE, IPARMOR.EXE).
Напоследок замечу, что этот троян не ловится многими антивирусами:
AntiVir TR/PSW.Linage.E (3.71 seconds taken)
Avast No viruses found (12.68 seconds taken)
BitDefender No viruses found (6.26 seconds taken)
ClamAV No viruses found (3.08 seconds taken)
Dr.Web No viruses found (4.41 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus Trojan.PSW.Linage.e (4.27 seconds taken)
mks_vir No viruses found (2.13 seconds taken)
NOD32 No viruses found (2.95 seconds taken)
Norman Virus Control No viruses found (1.04 seconds taken)

Не менее оригинален и находящийся в теле трояна текст, являющийся шаблоном для отправки письма - http://www.webshell.cn/tw.asp?tomail=tttw@webshell.cn&mailbody= xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxx

Geser
03.11.2004, 16:09
Ты Dr.Web посылаешь что находишь?

Зайцев Олег
03.11.2004, 16:11
Ты Dr.Web посылаешь что находишь?

Нет, а с Касперским дружу - у них оперативный саппорт, реагирует в среднем за 1-4 часа :)
(у нас лицензионный AVP на всех почтовых серверах стоит). Я послал этого трояна Dr.Web-у - он его действительно не детектирует (судя по on-line проверке)

azza
03.11.2004, 17:33
А я Касперу всего один раз послал - ни ответа, ни привета. Правда через неделю втихаря в базу включили.

Geser
03.11.2004, 19:39
Нет, а с Касперским дружу - у них оперативный саппорт, реагирует в среднем за 1-4 часа :)
(у нас лицензионный AVP на всех почтовых серверах стоит). Я послал этого трояна Dr.Web-у - он его действительно не детектирует (судя по on-line проверке)

Посылай Dr.Web тоже. Они теперь оперативнее реагируют. Всётаки КАВ задалбывает тормознутостью :) Так что юзаю пока Dr.Web.

Зайцев Олег
03.11.2004, 23:33
А я Касперу всего один раз послал - ни ответа, ни привета. Правда через неделю втихаря в базу включили.

то факт - у них любят, чтобы в письме кроме виря был еще список серийников на пол листа - чем их больше, тем быстрее реакция :)

А по тормозам KAV действительно лидер (причем я не верю в "эвристические алгоритмы" - тот же drWeb хотя бы пытается реально выдавать подозрения на троянов - у KAV я в сущности никогда не видел срабатывания его эвристики по делу ... ). Так что DrWeba я включу в списки рассылки вирусни, пускай пополняют базы

Geser
04.11.2004, 11:31
Кстати, всякую муть, которая не вирусы, можешь скыдывать Лавасофтовцам http://www.lavasofthelp.com/submit/ они носом не крутят, добавляют что присылаешь :)

Зайцев Олег
04.11.2004, 11:40
Кстати, всякую муть, которая не вирусы, можешь скыдывать Лавасофтовцам http://www.lavasofthelp.com/submit/ они носом не крутят, добавляют что присылаешь :)

Проще ее отдать самому себе и занести в AVZ :)

Geser
04.11.2004, 11:43
Проще ее отдать самому себе и занести в AVZ :)

Это правильно, но AVZ пока ещё пользуются не все ;)

Geser
04.11.2004, 11:45
Кста, как будет закончен новый интерфейс я попробую пробить анонс на kpnemo.ru и kadets.ru ;)
И не забудь английскую версию :)