Geser
10.01.2005, 14:09
Обнаружен новый троян http://virusinfo.info/index.php?board=26;action=display;threadid=479
Ответ от КАВ - будет детектиться как Trojan.Win32.Prondir.a
Анализ donuziu.dll - файл имеет размер 60928 байта, сжат UPX. Распакованный размер - 155648 байта, написан на Microsoft Visual C. По структуре это BHO для IE (но немного нестандартный, экспортирует несколько функций, неспецифичных для BHO).
В реестре он регистрирует класс {373E0369-863A-4345-BD57-F46DD9A0C4F2}', ссылку на него он помещает в ключ Browser Helper Objects, регистрируя себя как BHO в IE. Внутри себя содержит внушительный массив ссылок на порносайты. Одна из ссылок (хттп://www.adultit.net/h2/) выделена особо, возможно, это его источник. После дезассемблирования режет глаз кусок кода, отвечающий за случайный выбор ссылки и ее загрузку (или обмен с сайтом по этой ссылке - я не проверял).
Импортирует WININET.DLL и может посылать запросы с Интернет. В запросах к Инет сайтам передает нестандартные ключи
Может создавать ключи в Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce
Этот BHO загружается при старте IE, но никак визуально себя не проявляет (нет кнопок, меню или иных признаков его существования).
Для нечения необходимо:
1. Закрыть все окна IE
2. Выполнить regsvr32 /u donuziu.dll (из каталога, содержащего donuziu.dll)
3. Удалить donuziu.dll
Кроме того, неплохо поискать по диску по маске *.exe файлы, содержащие строку donuziu.dll - может, найдется его дроппер.
Анализ - Зайцев Олег
Ответ от КАВ - будет детектиться как Trojan.Win32.Prondir.a
Анализ donuziu.dll - файл имеет размер 60928 байта, сжат UPX. Распакованный размер - 155648 байта, написан на Microsoft Visual C. По структуре это BHO для IE (но немного нестандартный, экспортирует несколько функций, неспецифичных для BHO).
В реестре он регистрирует класс {373E0369-863A-4345-BD57-F46DD9A0C4F2}', ссылку на него он помещает в ключ Browser Helper Objects, регистрируя себя как BHO в IE. Внутри себя содержит внушительный массив ссылок на порносайты. Одна из ссылок (хттп://www.adultit.net/h2/) выделена особо, возможно, это его источник. После дезассемблирования режет глаз кусок кода, отвечающий за случайный выбор ссылки и ее загрузку (или обмен с сайтом по этой ссылке - я не проверял).
Импортирует WININET.DLL и может посылать запросы с Интернет. В запросах к Инет сайтам передает нестандартные ключи
Может создавать ключи в Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce
Этот BHO загружается при старте IE, но никак визуально себя не проявляет (нет кнопок, меню или иных признаков его существования).
Для нечения необходимо:
1. Закрыть все окна IE
2. Выполнить regsvr32 /u donuziu.dll (из каталога, содержащего donuziu.dll)
3. Удалить donuziu.dll
Кроме того, неплохо поискать по диску по маске *.exe файлы, содержащие строку donuziu.dll - может, найдется его дроппер.
Анализ - Зайцев Олег