PDA

Просмотр полной версии : Trojan.Win32.BHO.abo



Зайцев Олег
16.12.2007, 20:06
Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда.
Будучи запущенным installer.exe скрытно выполняет следующие операции:
1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции
2. Изучает список запущенных процессов
3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll
4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX)
5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО
6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска.
7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_")
На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК

Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей *.DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита.

Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google.

Удаление: Необходимо удалить компоненты зловреда при помощи BootCleaner учитывая конкретные имена файлов зловреда. Скрипт должен иметь примерно такой вид:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avwa.dll');
DeleteFile('\SystemRoot\system32\drivers\ahwvwcrg. dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

drongo
16.12.2007, 23:28
что-то я не уверен, что скрипт сработает, может надёжнее? :


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avwa.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ahwvwcrg.d at');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.

Зайцев Олег
17.12.2007, 00:18
что-то я не уверен, что скрипт сработает, может надёжнее? :


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avwa.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ahwvwcrg.d at');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
Как раз наоборот ... '\SystemRoot\system32\drivers\ahwvwcrg.dat' - так он прописан в реестре. Следовательно, автоматическая чистка гарантировано найдет и убъет ключ драйвера. А убивалка файлов автоматом вычислит правильный путь.

drongo
17.12.2007, 00:31
ясно ;) хотя скрипт мало кому поможет, сам же указал, меняеться он гад ;)

XL
17.12.2007, 14:15
МММ... А активацию бутклинера в скрипте вверху специально отменили или все же должно быть так?


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avwa.dll');
DeleteFile('\SystemRoot\system32\drivers\ahwvwcrg. dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Sergio F
25.12.2007, 18:49
Но как от него избавиться ,я так и не понял.
У меня установлен Антивирус Касперского 6 ,он находит этот вирус (обнаружено: троянская программа Trojan.Win32.BHO.abo Файл: C:\WINDOWS\system32\adpti.dll/PE_Patch.UPX/UPX )
,но лечить и удалить не может.
Как мне от него избавиться,подскажите тупому юзеру, просто я ваш слэнг не совсем понимаю.Нужно обязательно скачивать Бутклинер,и если я его скачаю,не будет ли он конфликтовать с моим Касперским?
Заранее благодарю!

Макcим
25.12.2007, 18:55
Обратитесь в раздел "Помогите! (http://virusinfo.info/forumdisplay.php?f=46)", но сначала прочитайте правила (http://virusinfo.info/showthread.php?t=1235).