PDA

Просмотр полной версии : Admilli Service - новое поколение Spy.WinAd



Зайцев Олег
24.12.2004, 15:48
Сегодня мне попала на исследование программа Admilli Service, которая оказалась разновидностью Spy.WinAd (возможно, у них один создатель или они писались на основе общих исходников). В базы AVZ этот SpyWare попал как Spy.WinAd.g, другие антишпионские средства пока его не видят.
Проявляется Spy.WinAd.g как два процесса в памяти с именами AdmilliServ.exe и AdmilliKeep.exe. Процессы неубиваемы, т.к. контролируют свое наличие крест-накрест (при остановке одного второй его тут-же перезапускает).
Загрузка программы происходит при старте системы, запуск идет через ключ Run реестра.
Сама программа размещается в каталоге Program Files\Admilli Service, в этой папке имеется три компонента:
AdmilliComm.dll - 60928 сайт, сжат UPX, импортирует функции для работы с сетью. Содержит адрес http://public.windupdates.com, с которого по всей видимости качает обновления
AdmilliKeep.exe - 17920 байт, сжат UPX
AdmilliServ.exe - 26112 байт, сжат UPX
Инсталлируется это все скрытно из Интернет, при помощи ActiveX загрузчика AdmilliServX.dll, имеющего размер 23040 байт (загрузчик тоже сжат UPX). Загрузка ведется с сайта http://static.windupdates.com.
В некоторых случаях на компьютере можно найти деинсталлятор, который лезет на сайт http://www.windupdates.com/remove.php?soft=Admilli+Service - на этой странице предлагается скачать одну из программ для чистки компьютера от SpyWare.
Любопытен факт, что autoexec.bat за 15 мин. тестов эта версия не стерла, хотя ссылка на autoexec.bat и autoexec.nt в теле AdmilliServ.exe есть, более того, есть программный код для их уничтожения.
В ходе работы программа создает в папке System файл ide21201.vxd (этот файл хранится внутри AdmilliServ.exe, размер 4720 байт).

Alexey P.
25.12.2004, 03:12
Ну и гадюшник же этот windupdates.com. (static.windupdates.com, public.windupdates.com).
Сейчас гуглем поискал - жуть. И в логах разных прокси он стоит на достаточно неслабом месте.

- Куча AdWare.WinAD.j (KAV)

- А этот жабаскрипт пока не определяется никем :
хттп://public.windupdates.com/prompt.php?h=7031eeffc27c2f95765338608714af142ad0a 29d048eed669c3c9871a049a1daa3280
15da22854ecf620bed99a63cf6b94edab155d06&k=81ff37ec526bba08d831c7555d0e0b40 :
там переадресация на это:
хттп://static.windupdates.com/prompts/a270/81ff37ec526bba08d831c7555d0e0b40.js

qantrom
28.12.2004, 08:55
Олег.
Этих зверюшек поймал недавно и переслал Geser_у,не зная что уже открыли тему.
у меня вопрос. после попадания на комп Admilli Service появилась папка темп ,но не в виндовз, где она есть,а на диске "С".В этом и вопрос .Это следствие Admilli Service ?,папка и её содержимое расцениваеться как троян.-Каспер,-битдефендер. Если это так ,то значит Admilli Service порождает трянов.
Кстати избавиться от них не так уж трудно.Но почему промолчала твоя прога,Admilli Service это ,что новое явление ?

Зайцев Олег
28.12.2004, 11:05
Олег.
Этих зверюшек поймал недавно и переслал Geser_у,не зная что уже открыли тему.
у меня вопрос. после попадания на комп Admilli Service появилась папка темп ,но не в виндовз, где она есть,а на диске "С".В этом и вопрос .Это следствие Admilli Service ?,папка и её содержимое расцениваеться как троян.-Каспер,-битдефендер. Если это так ,то значит Admilli Service порождает трянов.
Кстати избавиться от них не так уж трудно.Но почему промолчала твоя прога,Admilli Service это ,что новое явление ?

Admilli Service троянов не порождает - при заходе на хакерский или иной вредоносный сайт обычно на компьютер внедряется 1-2 TrojanDownloader-а, которые затаскивают все остальное. Получанная папка темп - это результат работы этих довнлоадеров. Admilli Service был лично мной обнаружен на ПК, где кроме него была куча троянов, зацепленных в ходе поиска крека к какой-то программе. Если AVZ молчит - значит, это новая разновидность "зверей" - их имеет смысл послать нам для анализа штатным способом.

Geser
28.12.2004, 11:14
Но почему промолчала твоя прога,Admilli Service это ,что новое явление ?

А базы последние?

qantrom
28.12.2004, 17:11
Geser
может я не бреюсь каждый день,но базы обновляю. :=))

03.01.2005, 22:44
procy ubivaemy - gasim tree

Geser
11.01.2005, 16:45
Сами разрабатывают адваре, и тут же к ним продают ремуверы http://www.windupdates.com/remove.php :)

Nikol
16.02.2005, 22:00
Ужас, даже сейчас, когда я пыталась отправить сообщение выскакивают один за другим сплошные окна ехсплорера… и Касперский выдает опасная ситуация… Процесс «» пытается остановить Касперский (отправитель: Запуск Касперский Антивирус-Монитор)Вопрос по существу: как же все-таки удалить этот файл Admilli Service (AdmilliKeep.exe
И AdmilliServ.ехе) проверила на наличие вирусов на сайте Касперского: инфицирован not-a-virus:AdWare.WinAD.k и удалить никак не получается не через реестр НИКАК!!! А мой антивирус только увидел троянцев, а эту папочку проверяет-вне подозрений. Базы свежие. Система ХР SP1. Подскажите девушке, как быть? Только понятным языком пожайлуста…. Format C: не хотелось бы делать(((

Geser
16.02.2005, 22:20
http://virusinfo.info/index.php?board=26;action=display;threadid=20