Не нашел на viruslist.com описания данного типа Adware, хотя в KAV его определяет... (файл выслал вам.)

27 Июля 2004 "Черный список" вирусов от McAfee

...Компания приводит список самых опасных, по её мнению, на сегодняшний день вредоносных программ 2004 года: Exploit-MhtRedir.gen (Download.Ject или Scob) VBS/Psyme Adware-Gator Adware-180Solutions Adware-Cydoor Adware-BetterInet W32/Netsky.d@MM W32/Netsky.p@MM W32/Netsky.q@MM W32/Mydoom.a@MM... Компания McAfee фиксирует появление до 50 новых вирусов ежедневно. Каждый месяц компания фиксирует 400--500 новых вирусов, что приблизительно на 100 больше, чем в прошлом году.

http://delastudio.ru/forum/tree.php?t=2277

Ниче, в Америке вроде ужа начали за это судить.

Ниче, в Америке вроде ужа начали за это судить.

помотрел лог этой программы - непрерывное, ежеминутное ведение протокола, видимо ассистент экплорера.

помотрел лог этой программы - непрерывное, ежеминутное ведение протокола, видимо ассистент экплорера.

Если интересно, могу дать его описание ...

Если интересно, могу дать его описание ...

Я думаю, многим будет интересно.

Я думаю, многим будет интересно.

ОК, ловлю Spy.180Solutions за хвост, утюг/паяльник в руки и начинаем дознание :) У меня в коллекции штук 50 его образцов, так что выбор есть ... кстати, я классифицировал его именно как "Spy", а не "Adware" - на то есть причины ...

Вот обещанное описание:
saap.exe - 282624 байта, ничем не сжат, написан на C.
Процесс при запуске никак не проявляет своего присутствия. Автоматически прописывает себя в ключ автозапуска – параметр с именем saap в ключе Run.
Ведет обмен напрямую с Интернет напрямую (игнорируя настройки прокси), связываясь с сайтами
ads.180solutions.com (64.94.137.51) и ping.180solutions.com 64.94.137.57.
Запрос имеет вид:

POST /TrackedEvent.aspx?eid=5&mt=0104F0BAE....996FF&curpartid=&curpid=&curdid=&newdid=998 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: bis.180solutions.com
Content-Length: 6
Cache-Control: no-cache

На ping.180solutions.com идут запросы вида:

GET / HTTP/1.1
Host: ping.180solutions.com
причем, судя по всему, по таймеру

Повисев некоторое время в памяти, процесс «наглеет» и фиксируется массированная закачка информации из Интернет. Закачка идет с 209.164.32.205, 216.74.27.26, 64.94.137.61 … причем загружаемые объемы весьма приличны (450 кб, 250 кб). С адреса 64.94.137.61 было закачано 2.5 мб.
Анализ пакетов показал, что закачиваются исполняемые файлы. Исследование системы после завершения загрузки показывает появление в ключе Run еще одного прараметра с именем elqb, предназначенного для запуска elqb.exe, который появился в папке Windows. При запуске он также никак себя не проявляет.

После перезагрузки зараженного ПК он выясняет адрес config.180solutions.com и начинает обмен с ним (опять же напрямую, настройки прокси в IE он игнорирует). Обмен уже интереснее:


POST /config.aspx?did=998&ver=5.15&duid=131ejgmoipetfylhtucuhntwdixbse&
partner_id=345205242&product_id=&browser_ok=y&rnd=27&basename=saap&tzbias=-3&MT=0153B2D6EEA..... 22CF8&DMT=0153B2D6EE ... AAFA6D2CF8&
WID=01C368C2D00D9100&GMA=1&GVI=1&GPI=1&HMP=DECA2A59 ... 0B1E88F7&SID=VIVGZWLC&OS=4.10.67766446.1&
SLID=1049&ULID=1049&TLOC=1049&ACP=1251&OCP=866&DB=iexplore.exe&
IEV=5.50.4522.1&TPM=88608768&APM=49283072&TVM=2143289344&
AVM=2095316992&FDS=1752203264&LAD=1601:1:1:0:0:0&WE=5&TCA=0&SCA=0&
MRDS=0&LCAT=1601/01/01%2000:00:00 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: config.180solutions.com
Content-Length: 1784
Cache-Control: no-cache
....
/partner_id=345205242
/duid=131ejgmoipetfylhtucuhntwdixbse
/product_id=998
/did=998
/ad_url=http://tv.180solutions.com/showme.aspx
/con_int=186400
/int_int=36000
/key_word_int=241
/new_ver=5.15
/new_ver_url=http://installs.180solutions.com/downloads/5.15/msbb.exe
/new_ver_sz=309760
/new_ver_sig={0x53, ...
/dll_loc=http://installs.180solutions.com/Downloads/DLL/3.0/ncmyb.dll
/dll_sz=57344
/dll_sig={0xae, ...
...
/boom_url=http://installs.180solutions.com/downloads/boom/2.0/RBoomerang.1
/boom_sz=94208
...
/dom_excl=180solutions.com+205.180.85.40+ .... - длинный список "своих" доменов
...


интересен получаемый от сервера параметр, конфигурирующий перехватчик:

/hooked=IEFrame+MozillaWindowClass+AOL~Frame25+MSN6 ~Window+CabinetWClass+Internet~Explorer_Frame+Expl oreWClass

(В протоколах многоточием заменены большие куски неинтересных для рассмотрения данных).

Процесс saap.exe в реальном масштабе времени шпионит за браузером, регистрируя, в частности, все вводимые url (со всеми параметрами).
Другим интересным наблюдением является появление на диске библиотеки saaphook.dll.
saaphook.dll имеет размер 57344 байта, написана на C.
Эта библиотека внедряется в экземпляры процесса iexplore.exe (причем что интересно – в реестре данная DLL не прописана как BHO - применяется механизм Hook). Анализ данной DLL показал, что это шпион – он устанавливает перехватчик (Hook) типа 0Ch (WH_CALLWNDPROCRET - перехватчик, который просматривает сообщения, только что обработанные оконной процедурой приложения) для процессов iexplore.exe в памяти.
Исходя из анализа обмена этого spyware с сайтом (параметр /hooked), нетрудно заключить, что внедрение возможно не только в IE.

Программа msbb.exe (которая числится в списке адресов) «наглее» других – после запуска она скрытно остается в памяти и немедленно начинает активный обмен с сервером 64.94.137.61. В результате загружается около 1.5 мб информации, появляется DLL с именем msbbhook.dll – это все тот же перехватчик, копия saaphook. Аналогично в автозапуске появляется еще один процесс -
fwrop.exe, который полностью аналогичен elqb.exe.

Так что вердикт - несмотря на то, что эти программы могут себя деинсталлировать (правда - как пользователь узнает, что конкретно деинсталлировать, процессы-то скрытные), я считаю его SpyWare. На то как минимум 5 причин:
1. Скрытная работа (нет иконок в трее, видимых окон и т.п. для управления программой или определения факта ее наличия);
2. Скрытная установка;
3. Скрытная закачка и последующая установка/запуск своих компонент из Интернета;
4. Слежение за заданными в получаемой с сайта настройке программами при помощи Hook;
5. Скрытный обмен с сайтом создателя - передача собранной информации.

Это, конечно, не троян, т.к. пароли и прочие жизненно важные данные не ворует ... но для AdWare (так его классифицирует KAV) он слишком уж безобразничает.

Офигеть :o

Угу. А (существует) есть ли список "таких" программ, про которые можно однозначно сказать, что они нежелательно "активно общаются" с серверами в инет? Их можно будет обнаружить в списке монитора трафика, типа Internet Access Monitor... и выявить список компов на которых они установлены.

Вот обещанное описание...

...Это, конечно, не троян, т.к. пароли и прочие жизненно важные данные не ворует ... но для AdWare (так его классифицирует KAV) он слишком уж безобразничает.


Зайцев Олег
А не может такого быть, что процесс используя данные, вводимые пользователем в формы, делает заказы на соответствующих сайтах или переводит деньги с кредитных карт пользователя на соответствующие левые счета? Просто в папочке "программы" был обнаружен еще и лог с многочисленными ссылками на order-формы разнообразных торгующих сайтов.
И еще: у меня вместо fwrop.exe или elqb.exe в автозапуск был помещен некий dyvoj.exe
Быть может имя создаваемого файла формируется случайным образом?

Зайцев Олег
А не может такого быть, что процесс используя данные, вводимые пользователем в формы, делает заказы на соответствующих сайтах или переводит деньги с кредитных карт пользователя на соответствующие левые счета? Просто в папочке "программы" был обнаружен еще и лог с многочисленными ссылками на order-формы разнообразных торгующих сайтов.
И еще: у меня вместо fwrop.exe или elqb.exe в автозапуск был помещен некий dyvoj.exe
Быть может имя создаваемого файла формируется случайным образом?

Может случайно генерирует, а может другую версию закачала программа. Вообще ситуация с кражей персональных данных возможно, но тогда такие программы уже называются троянами и за их распространение сажают, иногда. Данный, конкретный экземпляр собирает только информацию о ваших действиях в Сети.

Зайцев Олег
А не может такого быть, что процесс используя данные, вводимые пользователем в формы, делает заказы на соответствующих сайтах или переводит деньги с кредитных карт пользователя на соответствующие левые счета? Просто в папочке "программы" был обнаружен еще и лог с многочисленными ссылками на order-формы разнообразных торгующих сайтов.
И еще: у меня вместо fwrop.exe или elqb.exe в автозапуск был помещен некий dyvoj.exe
Быть может имя создаваемого файла формируется случайным образом?

Другое имя файла - это в порядке вещей, очень часто одна и та-же SpyWare программа встречается под сотней имен, а иногда имя вообще генерируется в динамике.
Насчет перевода денег - по моим данным программа этого не делает (как правильно заметил Minos, такие программы классифицируются как Trojan). А наличие форм (или их шаблонов) как правило преследует две цели:
1. Анализ заполняемой формы по шаблону - с целью тематического "шпионажа". Это бывает редко - чаще всего весь запрос пользователя дублируется на сайт создателей SpyWare для анализа
2. Для отображения во всплывающих окнах. Магазины могут проплачивать рекламу, она закачивается на пораженный ПК и "ждет" удобного момента.

Можно еще немного пофантазировать? :)

Не может ли такого быть, что данная программа используется для DDoS-атак, делая запросы на соответствующие сервера (посредством форм расположенных по тем самым _многочисленным_ адресам, что в логе прописаны)?

Или может ее поведение уже до конца изучено и нечего мне тут предположения разные строить? :)

Можно еще немного пофантазировать? :)

Не может ли такого быть, что данная программа используется для DDoS-атак, делая запросы на соответствующие сервера (посредством форм расположенных по тем самым _многочисленным_ адресам, что в логе прописаны)?

Или может ее поведение уже до конца изучено и нечего мне тут предположения разные строить? :)

Исследованная мной версия таким не грешит (в сущности крутилке рекламы это не выгодно ...). Хотя я очень осторожен в оценках - и стараюсь говорить "вроде бы" - дело в том, что у 180 Solutions очень хитрая и хорошо продуманная система обновления версий. Т.е. я изучал конкретно взятую версию, а они выходят с завидной регулярностью и обновляются в фоновом режиме согласно загружаемой с сайта схеме инсталляции и обновления ... Но пока никаких троянских функций в 180 Solutions я не нашел.