Опасный SpyWare Spy.WinAd

По моей статистике существенно участились случаи заражения компьютеров SpyWare программой, которая по моей классификации называется Spy.Winad (в лаборатории Касперского один из модулей классифицировали как Trojan.Win32.Winad.a, но затем его новые разновидности стали фигурировать у них как AdvWare.WinAd).
Проявлением Spy.Winad является появление в памяти двух посторониих процессов, причем с опцией "неубиваемости" - при удалении процесс немедленно перезапускается. Инсталлируется он как ActiveX компонента из архива с именем bridge-c*.cab, где на месте * - порядковый номер. Одним из источников является сайт windupdates.com.
WinAd опасен тем, что кроме Spy/AdvWare деятельности у него есть деструктивное проявление - он удаляет autoexec.nt (или autoexec.bat в win98).
Все известные мне версии заложены в базы AVZ. Для ручного поиска нужно искать файлы с именами winad.exe, winadx.dll, winadx.inf, clientcom.dll, winclt.exe, syncroad.exe, winsync.exe, ccomm.dll и архивы с именем bridge-c*.cab.
Кроме того, Spy.WinAd создает CLSID 15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6 в реестре

Спасибо. Переслал также в эхоконференцию fidonet ADINF.SUPPORT (об adinf, drweb).

( [url]http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6790&130[/url] )

[quote]
Спасибо. Переслал также в эхоконференцию fidonet ADINF.SUPPORT (об adinf, drweb).
[/quote]
Народ отозвался:
From: Andrey Melnikoff <temnota+news(ats)kmv.ru>

> Проявлением Spy.Winad является появление в памяти двух
> посторониих процессов, причем с опцией "неубиваемости" - при
> удалении процесс немедленно перезапускается.
Касперский 4.5 героически умирает, при попытке их прибить. Лучше всего - берем far 170b5 идем в process list, выделяем (!sic) ненужные процессы и давим F8. Помогает на ура.

Обычно живет в Program Files\Winad_Client\ с именами:
ClientCom.dll,WinClt.exe,Winad.exe

каспером 5.0 сносится на ура...

и судя по всему этот АД распространяется через лсасс т.к друг купил комп и через 3 часа после установки виндовса он меня уже просил посмотреть в чем дело :)
дело оказалос в 43 вирусах которые разными путями попали к нему :)

[QUOTE=Sanja]
каспером 5.0 сносится на ура...
[/QUOTE]

Щас, у меня Каспер 5.0.142 свежеобновленный, я ему скармливаю winad.exe, а он - 0 вирусов! Я отправляю файл на сайт касперов, а он - вредоносного кода нет, точно хотите послать? Короче, Каспер меня разочаровал :-(

расширенные базы поставь

[QUOTE=BigTurtle]
Щас, у меня Каспер 5.0.142 свежеобновленный, я ему скармливаю winad.exe, а он - 0 вирусов! Я отправляю файл на сайт касперов, а он - вредоносного кода нет, точно хотите послать? Короче, Каспер меня разочаровал :-(
[/QUOTE]
Касперский действительно не ловит SpyWare/AdvWare с обычной базой. Для загрузки расширенных нужно использовать URL типа этого - [url]http://updates1.kaspersky-labs.com/updates_x[/url] (в хвост добавив "_x"). Но с расширенной базой нужно работать очень осторожно - в категории RiskWare очень много полезных программб поэтому "лечение" расширенной базой компьютера может угробить массу приложений. Кроме того, у Касперского нет категории SpyWare - этот самый WinAd идет как not-a-virus.AdvWare.WinAd

Новые названия:
1. C:\Program Files\Win Comm
Wincomm.exe, Winlock.exe, Windat.dll
2. C:\Program Files\Windows AdTools
WinAdTools.exe, WinRatchet.exe, WinWrench.dll

Ответ ДрВеба:
[quote]это все Adware-программы. Удаляются стандартными средствами ОС через Add/Remove Programs[/quote] :(

[QUOTE=azza]
Ответ ДрВеба: ...
[/QUOTE]
Аналогично Касперский - категория AdvWare (хотя изначально они включили ее в разряд троянов), причем ловит AVP не все разновидности. Причем как соотнести удаление autoexеc.bat (это же по идее троянская функция), скрытную установку и отсутствие удаление (я реально вычистил WinAd не менее чем с 3 ПК - ни на одном он не был в списке "Установка-удаление программ"), "неубиваемость" за счет использования двух процессов ... но доказать производителю антивиря это нереально - я неоднократно пробовал с нулевым результатом.
Замечу, что WinAd есть не только под именем Win Comm - я сегодня поймал еще два аналог - сайт-источник то-же, но разные имена процессов и их сигнатуры

Такие вещи лучше отправлять разработчикам ad-aware. Они добавляют всё как положено [url]http://www.lavasofthelp.com/submit/[/url] А ДрВеб даже порнозвонилки добавлять не хотят.

Самое печальное, что вместе с WinAd&#039;овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.

[QUOTE=azza]
Самое печальное, что вместе с WinAd&#039;овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.
[/QUOTE]
Отправь ещё раз только трояны. Кстати, ad-awar-овцы и трояны тоже добавляют. Так что можешь им кинуть весь архив. Если у них нет ограничения на размер файла.

[QUOTE=azza]
Самое печальное, что вместе с WinAd&#039;овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.
[/QUOTE]
Можешь послать их мне на [email][email protected][/email] (ограничений на объем там нет) - любопытно посмотреть, что это за зверье - может, что-то новое. Особенно интересны версии WinAd - он "прогрессирует" на глазах, скоро будет как IstBar - по три версии в неделю :(

Ну вот, от azza пришел архив и я его посмотрел. Сразу детектируется
TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r. Плюс куча SpyWare - Spy.Winad новых типов (в папке Program Files\Windows AdTools\ и bridge-c46[2].cab (это ActiveX - его инсталлер) и Program Files\Win Comm\).
Далее наблюдаются еще два шпиона Spy.BetterInternet, Spy.180Solutions и интересный файлик - ide21201.vxd размером 4 кб. Я уже неоднократно его вычищал с разных ПК, зараженных SpyWare, в лаборатории Касперского по его поводу ничего не сказали ... virustotal по всем позициям говорит "чист". По структуре это "Linear Executable", по флагам заголовка - "Prot. Virt. Dev. Driver", по данным дизассемблера - это драйвер, ведет обмен через некие порты ввода вывода ... зачем он нужен SpyWare - загадка. Могу сбросить его всем, желающим поковырять его дизассемблером :)

Да, WinAd ширится и множится - за три дня я занес в базы AVZ еще три новые его разновидности - B, C, D. Новые разновидности "живут" в папках Win Comm и Windows AdTools

Здраствуйте, сегодня я "ознакомился" с этим ненавистным AdTools.
Сейчас расскажу как это было.
Итак, я искал какой-то крэк-файл для моего любимого Flash&#039;a,
и вдруг комп подвис. Ни одна страница не грузится (у меня dial-up),
а значок с двумя компами непрерывно горит, как будто что-то грузится и
мешает всему остальному. Я зашел в taskmgr (у меня WinXP), и нашел
там два странных процесса - WinAdTools.exe и WinRatchet.exe.
Они не завершаются, а после перезагрузки процессы снова работают.
Если я удаляю ключ запуска с виндой hklm\software\microsoft\windows\currentversion\run WinAdTools, он появляется снова! Но я быстро снёс его, может мне такая "легкая" версия адтулза попалась, но он стерся сам с помощью "Установка и удаление программ", а дальше я покопался в реестре и вычистил остатки вируса.
Ещё, если "Установка и..." не помогает, попробуйте загрузится в safe mode
,adtools автоматически не запустится и его можно спокойно удалить.
Папки в которых он сидит я нашел только Program Files\Windows AdTools и
Windows\Downloaded Program Files, где сидит его CLSID. В реестре просто набирайте "Поиск\AdTools" и сносите все ключи, понаделанные этим гадом.
После этого я Лавасофтом 6 проверял - ничего нет. Интересно, что это за стремный сайт windupdates.com с которого пришло это?
И еще, кто-нибудь знает, где мог успеть нагадить AdTools за 5 минут, пока я его удалял?
Я надеюсь он не спер мои пароли в инет...по крайней мере autoexec.nt у меня в порядке.

И вообще - совет, если что, сносите всю гадость из реестра или переустанавливайте Windows XP. Разбейте диск на разделы,
в которых на одном будет операционка и системные проги, а на другом -
все нужные вам файлы. Если что, форматируйте диск C, а все ваши файлы
останутся на диске D. НО - НИКОГДА не храните ничего важного в папке
"Мои документы". После переустановки попасть в них очень сложно из-за ACL под WinXP.

м-да, хорошо что еще не придумали вируса, который бы скрытно
менял настройки BIOS&#039;а или программно отключал вентиляторы.
Потрясающий был бы эффект: CPU Core Voltage на сверхмаксимальное значение и...звиздец компьютеру... :o

Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют...:))))))).
А если еще его прочесть....
Там написано, что [u]ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ[/u] ::), и ещё,
что [u]Я НЕ ИМЕЮ ПРАВА [/u] КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ, [u]УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ[/u], И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
...ваще, офигеть...

[QUOTE=Cs]
Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют...:))))))).
А если еще его прочесть....
Там написано, что [u]ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ[/u] ::), и ещё,
что [u]Я НЕ ИМЕЮ ПРАВА [/u] КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ, [u]УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ[/u], И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
...ваще, офигеть...
[/QUOTE]
Это нормально :)
Причем чем погаей шпион, тем объемнее у него пользовательское и лицензионное соглашение ...

Ну вот, Gesser поймал и прислал мне новый тип WinAd (в базы AVZ он попал как Spy.WinAd.e). На сей раз файлы называются WinAdCtl.exe (25088 байт) и WinAdShift.dll (60416 байт), оба сжаты UPX. Сайт источник прежний - [url]http://www.windupdates.com/[/url]. В ходе работы он создает файлик в ide21201.vxd в папке System, он хранится в хвосте WinAdCtl.exe. Стартует WinAd типично - ключ автозагрузки в реестре.
Как и ранее, WinAd неравнодушен к autoexec.nt ...

Короче монстр вернулся. я писал в топике "битдефендер" [url]http://kadets.info/showthread.php?t=10496&page=11&pp=30[/url]
[url]http://kadets.info/showthread.php?p=167055#post167055[/url]
о том ,что поставил паралельно битдефендер с маккафи.Короче WinAdCtl убил в два счёта СМакафи споследними базами,вырубив всё что только возможно.Битдефендер его видит и якобы удаляет,но через мгновение появляются ДВА WinAdCtl.exe,и перегружают систему так,что нихрена не движится.Причём проц не грузиться,а вот память на максимуме.В прошлый раз помогла прога Зайцева Олега ,но на сей раз только определила семейство winad.Удалить не смогла так как небыл определён вирус.
Кстати одинакого не видят и каспер и веб,так что убрать её можно только ручками , в безопасном режиме с основательной чисткой реестра.
Установил точно , залезла в комп с сайта [url]www.freeserials.com[/url]
Так что смотрите.
Да чуть не забыл.Появляется папка темп,не виндовская,и в ней селятся ещё два трояна.Ета хрень мутирует на глазах и порождает троянов.

1. Скачайте программу HijackThis [url]http://www.tomcoyote.org/hjt/[/url]
2. Просканируйте компьютер в обычном режиме (не в защищённом, ничего не удаляйте!). Все апликации кроме HijackThis должны быть закрыты перед сканированием.
3. Сохраните лог.
4. Откройте тему в этом разделе [url]http://virusinfo.info/index.php?board=26[/url] с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логом HijackThis

Posted by: Geser Posted on: Сегодня в 22:01:47
1. Скачайте программу HijackThis [url]http://www.tomcoyote.org/hjt/[/url]
2. Просканируйте компьютер в обычном режиме (не в защищённом, ничего не удаляйте!). Все апликации кроме HijackThis должны быть закрыты перед сканированием.
3. Сохраните лог.
4. Откройте тему в этом разделе [url]http://virusinfo.info/index.php?board=26[/url] с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логом HijackThis

Geser !
Ну для чего мне HijackThis ,ведь я прислал тебе эти файлы,которые Олег любезно проверил.Проблема осталась,ни один из антивирей с ней не справился.

[QUOTE=qantrom]
Geser !
Ну для чего мне HijackThis ,ведь я прислал тебе эти файлы,которые Олег любезно проверил.Проблема осталась,ни один из антивирей с ней не справился.
[/QUOTE]
А ты уверен что у тебя не живёт ещё кто-то? :)
Если после удаления файлы появляются, значит нужно искать того кто их создаёт.

Уверен на все сто.Помнишь как я ловил вирус отключавший монитор у Каспера ? Точно так же я определил откуда я теперь поймал вирус.
А комп чистый ,хотя если настаиваешь сниму лог и вышлю на общее обсуждение.

[QUOTE=qantrom]
А комп чистый ,хотя если настаиваешь сниму лог и вышлю на общее обсуждение.
[/QUOTE]
Давай лог, посмотрим :)

[QUOTE=qantrom]
А комп чистый ,хотя если настаиваешь сниму лог и вышлю на общее обсуждение.
[/QUOTE]
Geser ,куда грузить лог ?
Пожоже я опять погорячился,эта сволочь всёже сидит в компе.

Открой тему тут [url]http://virusinfo.info/index.php?board=26[/url]

у меня на одной из тачек тоже эта хрень есть, тока файло другое: в папке c$\Program Files\Windows AdControl
WinAdAlt.exe
WinAdCtl.exe
WinAdShift.dll
юзер говорит сам ставил штатно, нужна мол эта хрень и всё ...
файло заблокировано на удаление и изменене ... тоже поразбираюсь ...

Вобщем прога никак не сносилась ... антивири не видели ничего подозрительного... файло не стиралась ... в реестре после сноса авторана этой гадости появлялась через 1 сек ....
короче запустил я C:\pfXP\processExplorer\procexp.exe v8.10 на том компе, кильнул winadctr.exe - а он перезапустился гад ... я опять... он опять ... и нажал я тода не кильнуть процесс а пункт меню "suspend" :-))).
и процесс приснул... ну я тода его братишку - "winadalt.exe" и прибил...
и не смог он перезапустится и сдох на совсем ... особоенно после сноса ево папки в \\программ файлис\\... и чистки разделов реестра типа РУН...
пока не появился ещё ... в общем всё !
З.Ы. разминка с утра прикольная получилась... теперь вод думаю, а вдруг это правда была нужная прога !!!

Привет всем.
Заметил с утра пропажу autoexec.bat. Запустил программу Starter - удобная штука, сморю в разделе "Процессы" winadctr.exe и winadalt.exe прибил оба, сразу же удалил из реестра ( тоже Starter-ом ), потом загрузка в режиме DOS, поиск по диску "winad*.*". Все, что нашел снес, пока все нормально.
Оставил только два файлика WINADCTL.LGC и WINADALT.LGC - похоже логи какие - то, может интересно кому?

[QUOTE=Gray]
Привет всем.
Заметил с утра пропажу autoexec.bat. Запустил программу Starter - удобная штука, сморю в разделе "Процессы" winadctr.exe и winadalt.exe прибил оба, сразу же удалил из реестра ( тоже Starter-ом ), потом загрузка в режиме DOS, поиск по диску "winad*.*". Все, что нашел снес, пока все нормально.
Оставил только два файлика WINADCTL.LGC и WINADALT.LGC - похоже логи какие - то, может интересно кому?
[/QUOTE]
Это судя по всему логи Windows, опасности они не несут

мой юзверь пытался опять клацать по ссылке в инете этим вингадом, а она почемуто у него зарубленная оказалась :-))))))... так и не занёс он досих пор ентот вирь ... мы-то терь знаем как его рубить с корнем !!!

[quote author=Зайцев Олег link=board=22;threadid=154;start=20#msg1622 date=1100608511]
Это судя по всему логи Windows, опасности они не несут
[/quote]
Да, текстовые файлы опасны только в качестве "психологических вирусов" :).
Однако в этих файликах перечислены некоторые системные задачи, например WININET.DLL CRYPT32.DLL SHELL32.DLL вместе со служебной информацией, возникает вопрос зачем вирус сохранял эти данные?

[QUOTE=Gray]
Да, текстовые файлы опасны только в качестве "психологических вирусов" :).
Однако в этих файликах перечислены некоторые системные задачи, например WININET.DLL CRYPT32.DLL SHELL32.DLL вместе со служебной информацией, возникает вопрос зачем вирус сохранял эти данные?
[/QUOTE]
Система Win9x ?? Находятся они в папке APPLOG ?? Если так, то злобный вирус - это Windows 9x - в этих файлах система хранит данные по всем программам (какие библиотеки они используют, какие-то данные по памяти ... ) - для оптимизации последующих запусков. Естественно, если winad работал на компьютере, то для каждого exe е его составе система сделает LGC файл

Понятно. Спасибо за информацию.

Спасибо создателям, администраторам и модераторам проекта. Отдельный respect Олегу Зайцеву за его работу здесь. за его сайт и программы. Сам я являюсь ярким представителем обширной популяции чайников в компьютерной области, но довольно успешно поборолся с WinAd Tools, следуя вашим советам. Остался вопрос: чем объясняется интерес WinAD к файлу autoexec.nt? Какой еще урон мог быть принесен системе? Как восстановить, если откатить назад нельзя, переустанавливать нет желания? Ось - Windows XPpro SP2. Имеется autoexec.nt в папочке \WINDOWS\repair.

Autoexeс удаляется, потому что в нём можно прописать удаление winad&#039;овских файлов перед стартом Windows.

[QUOTE=Phillon]
Спасибо создателям, администраторам и модераторам проекта. Отдельный respect Олегу Зайцеву за его работу здесь. за его сайт и программы. Сам я являюсь ярким представителем обширной популяции чайников в компьютерной области, но довольно успешно поборолся с WinAd Tools, следуя вашим советам. Остался вопрос: чем объясняется интерес WinAD к файлу autoexec.nt? Какой еще урон мог быть принесен системе? Как восстановить, если откатить назад нельзя, переустанавливать нет желания? Ось - Windows XPpro SP2. Имеется autoexec.nt в папочке \WINDOWS\repair.
[/QUOTE]
Логика создателей WinAd странная - скорее всего [b]azza[/b] прав, многие антивирусы (и пользователи) используют autoexec для уничтожения "неудаляемых" файлов. Убивая autoexec WinAd борется с этим ... хорошо еще, что создатели WinAd не додумались снести полреестра - на всякий случай :) Другое странно - удаление autoexec - явная троянская функция, но Касперский и остальные WinAd не причисляют к троянам

никто так не делает.. из антивирусов через autoexec... может Ad-Aware так делает...

в NT based systemah faili udlayutsa posle perezagruzki ispolzuja
[url]http://msdn.microsoft.com/library/default.asp?url=/library/en-us/fileio/base/movefileex.asp[/url]

v 9x - propisivaniem faial v wininit.ini sectsija rename