PDA

Просмотр полной версии : Spy.WildTagent



santy
06.04.2005, 06:56
Протокол антивирусной утилиты AVZ версии 3.16
Сканирование запущено в 06.04.05 10:14:06
Загружена база: 10878 сигнатур, 1 нейропрофиль, 23 микропрограммы лечения
Загружены микропрограммы эвристики: 180
Загружены цифровые подписи системных файлов: 28825
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C009511E<>BFF77745
Функция kernel32.dll:LoadLibraryExA (554) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0095135<>BFF912ED
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0095116<>BFFA0960
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
2. Проверка памяти
Количество найденных процессов: 14
Количество загруженных модулей: 126
Проверка памяти завершена
3. Сканирование дисков
c:\WINDOWS\wt\updater\wcmdmgr.exe>>>>> Вирус !! Spy.WildTangent
c:\WINDOWS\wt\updater\wcmdmgrl.exe>>>>> Вирус !! Spy.WildTangent
c:\WINDOWS\wt\wtupdates\wtcda\files\4.0.0.370\wtcd att.exe>>>>> Вирус !! Spy.WildTangent
c:\WINDOWS\wt\wtcda\wtcdatt.exe>>>>> Вирус !! Spy.WildTangent
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 6 TCP портов и 3 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
>>> C:\PROGRAM FILES\WILDTANGENT\APPS\CDA\CDALOGGER.DLL ЭПС: подозрение на вирус Spy.WindTangent
Проверка завершена
Просканировано файлов: 10786, найдено вирусов 4
Сканирование завершено в 06.04.05 10:21:52
Сканирование длилось 00:07:46

А что это за "зверь", не определяется ни одним антивиром, кроме AVZ?
(кстати, почему в протоколе разные наименования Spy.Wild*, SpyWind*?)

Зайцев Олег
06.04.2005, 08:35
Про WildTangent можно почитать тут:
http://www.spyany.com/program/article_spw_rm_WildTangent.html
http://www.scanspyware.net/info/WildTangent.htm
но самый заслуживающий доверия источник - это лаборатория PertPatrol (ныне CA):
http://www3.ca.com/securityadvisor/pest/emerging.aspx - согласно этим данным, WildTangent был обнаружен на 22386 компьютерах за последний месяц !
Выдержка из описания:

Will share your first and last name, address, email address, phone number, and other information. Collects system configuration information such as your computer&#039;s CPU speed, video card configuration, and DirectX version. Collects product usage information such as the number of product launches and time spent using a product ...
т.е. в переводе это понимается как - "передает вашу фамилию, адрес, адрес электронной почты и другую информацию. Собирает системную конфигурацию и информацию о использовании программынх продуктов ..." -
Из моих исследований - в категорию "Spy" он попал из за передачи персональных данных пользователя, скрытного обмена с сайтом разработчиков, скрытного сбора системной информации, скрытной закачки и установки своих обновлений (замечу, что ядро его "живет" в папке WT внутри Windows, свое наличие он никак визуально не проявляет). У меня в сети от WT было вычищено около 15 ПК, причем о его наличие никто из пользователей не подозревал и никто естественно его не инсталлировал ....
Обмен имеет вид:


GET http://DNA.WILDTANGENT.COM:80/CDAServer/GameChannelDeliveries.aspx?DP={9761B406-3D07-4D65-940E-89C026F5C606} HTTP/1.1
Accept: */ *
Range: bytes=0-27999
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0
Host: DNA.WILDTANGENT.COM

В адресе есть CLSID - это уникальный код, присвоенный ПК пользователя.
В папке Windows\WT можно найти подпапки с именами типа "2.0.6.007" - это обновления WT, которые он скрытно таскает из Инет - со временем таких папок становится все больше. Причем замечу, что категория у него именно Spy (а не AdWare), он под нее идеально подходит.
WindTangent почти никто не детектирует, кроме AVP, в лаборатории Касперского этого зверя окрестили как Adware.WildTangent (причем я не делаю различия в разновидностях WT, а они делают - они различают AdWare.WildTangent.a, AdWare.WildTangent.b и AdWare.WildTangent.DownloadWare). Однако из моей коллекции WT (у меня штук 50-70 его образцов) AVP детектирует 17 штук - новые разновидности. Причем что интересно - в инсталляции WT он находит знаменитого WinAd. AVP в основном детектирует файлы wtvh.dll, npwthost.dll, wtbgmtt.exe

PS: Сообщение эвристика содержит опечатку в названии зверя ...

santy
06.04.2005, 08:56
на Viruscan почему-то ни один из антивирусов не обнаружил данный wildTAgent... (Олег, можно здесь еще предложение по AVZ? Хорошо бы в режиме удаления обнаруженных зараженных файлов выдавать результат удаления: сколько, какие объекты были удалены микропрограммами лечения, а удаление каких отложено. (такое есть в pestpatrol, там формируется флаг "deleted" против каждого объекта)).

Зайцев Олег
06.04.2005, 09:33
на Viruscan почему-то ни один из антивирусов не обнаружил данный wildTAgent... (Олег, можно здесь еще предложение по AVZ? Хорошо бы в режиме удаления обнаруженных зараженных файлов выдавать результат удаления: сколько, какие объекты были удалены микропрограммами лечения, а удаление каких отложено. (такое есть в pestpatrol, там формируется флаг "deleted" против каждого объекта)).

Диагностика wildTAgent штука спорная - у них просто хитрое лицензионное соглашение. У того-же PestPatrol есть описание, но начинается оно фразой "PestPatrol does not detect WildTangent. This page is provided for information only...."
Информация об удалении в AVZ будет (типа "удален успешно", "удаление отложено" и т.п.)