-
Подозрительный файл
Здравствуйте, сегодня перезагрузил FlashGet, и при старте FlashGetа, зонеаларм ругнулся на файл C:\Program Files\FlashGet\inapp4.exe (41 472 байт дата создания 28.02), просящегося в интернет.
Проверил на вирустотал:
Файл inapp4.exe получен 2008.02.28 22:02:40 (CET)
Текущий статус: закончено
Результат: [COLOR=red]5[/COLOR]/32 (15.62%)
АнтивирусВерсияОбновлениеРезультат
AhnLab-V32008.2.28.22008.02.28-
AntiVir7.6.0.672008.02.28HEUR/Malware
Authentium4.93.82008.02.28-Avast4.7.1098.02008.02.28-
AVG7.5.0.5162008.02.28-BitDefender7.22008.02.28-
CAT-QuickHeal9.502008.02.28-
ClamAV0.92.12008.02.28-
DrWeb4.44.0.091702008.02.28-
eSafe7.0.15.02008.02.28Suspicious File
eTrust-Vet31.3.55712008.02.28-
Ewido4.02008.02.28-FileAdvisor12008.02.28-
Fortinet3.14.0.02008.02.28-
F-Prot4.4.2.542008.02.28-
F-Secure6.70.13260.02008.02.28-
IkarusT3.1.1.202008.02.28-
Kaspersky7.0.0.1252008.02.28-
McAfee52412008.02.28-
Microsoft1.33012008.02.28-
NOD32v229092008.02.28-
Norman5.80.022008.02.28-
Panda9.0.0.42008.02.27Suspicious file
Prevx1V22008.02.28Heuristic: Suspicious Self Modifying FileRising20.33.32.002008.02.28-Sophos4.27.02008.02.28-Sunbelt3.0.906.02008.02.28-
Symantec102008.02.28-TheHacker6.2.9.2292008.02.25-VBA323.12.6.22008.02.27-
VirusBuster4.3.26:92008.02.28-Webwasher-Gateway6.6.22008.02.28Heuristic.Malware
[URL]http://www.virustotal.com/ru/analisis/1d839dd47244b6e72dad02ff9e8f0065[/URL]
Я так понял, что файл пришел как обновление для флэшгета, но я его не обновлял.
Вот еще 2 ini файла из папки флешгета от 28.02
[B]FGUpdate3.ini[/B]
[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031
[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%
[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%
[B]fgres1.ini[/B]
[root]
version=1.0.0.1034
enable=1
interval=10
[hotlink-cn]
number=1
text1=µзДФФЛРР»єВэЈїЗлБўјґУЕ»ЇЈЎ
link1=http://home.wangmeng.com/ab.aspx?lii=102271,321,216,4621,90007,26654,
26654,76647&dest=http%3a%2f%2fkiller.
[URL="http://www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3d26654%26b%3d76647
%26c%3d%26d%3d%26e%3d%26f%3d"]www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3
d26654%26b%3d76647%26c%3d%26d%3d%26e%3d%26f%3d[/URL]
[hotlink-tw]
number=0
[hotlink-en]
number=0
[proper-link]
link=http://www.kuaiche.com/?from=cn
text=ИИГЕµзУ°ЧКФґПВФШ
[gif-link]
filename=FlashGet_LOGO.gif
url=http://home.wangmeng.com/ab.aspx?lii=103481,321,216,5419,22112,14070,14070,76215&dest=
http%3a%2f%2fkiller.[URL="http://www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3d14070%26
b%3d76215%26c%3d%26d%3d%26e%3d%26f%3d"]
www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3d14070%26b%3d76215%26c%3d%
26d%3d%26e%3d%26f%3d[/URL]
Спасибо за помощь!
-
[url]http://virusinfo.info/showthread.php?t=1235[/url]
-
drweb.com
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирусы: Trojan.DownLoader.49401, Trojan.MulDrop.11828.
Спасибо за сотрудничество.
Получается, китайцы через "обновление" FlashGet, могут насовать что угодно.
Повторю еще раз, я FlashGet САМ не обновлял. Осторожней с FlashGetом теперь буду...
-
выловил inapp4.exe 40,5 KB (41 472 байт) после сообщения
блокировщика Аваст о попытке удаления какого-то файла... rundll32.exe кажется... программой inapp4.exe, что и насторожило...
Может доктора все-таки ошиблись?
-
После запуска inapp4.exe - Trojan.MulDrop.11828 появляется:
C:\WINDOWS\system32\biosnt.dll - Trojan.DownLoader.49401
У меня еще знакомые наловили его через FlashGet.
Я так понял, кто-то ломанул сайт флэшгета, и насунул трояна, вместо апдэйта.
inapp4.exe тянулся из этой ссылки [url]http://dl.flashget.com/flashget/appA.cab[/url] в файле FGUpdate3.ini. Но ссылку быстро прибили (Не удается найти веб-страницу).
-
Здравствуйте,
inapp4.exe_ - Trojan-Dropper.Win32.Agent.exo
Детектирование файла будет добавлено в следующее обновление.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
e-mail: [email][email protected][/email]
[url]http://www.kaspersky.com/[/url]
Значит вирус точно....
Щас скачаю CureIt
-
Новый "подарок" от FlashGetа C:\Program Files\FlashGet\inapp5.exe
И снова тихо [url]http://www.virustotal.com/ru/analisis/7ace889848bf8bf531f72999e83c39a9[/url]
-
[QUOTE=Толик;195241]Здравствуйте,
inapp4.exe_ - Trojan-Dropper.Win32.Agent.exo
Детектирование файла будет добавлено в следующее обновление.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
e-mail: [email][email protected][/email]
[url]http://www.kaspersky.com/[/url]
Значит вирус точно....
Щас скачаю CureIt[/QUOTE]
Тогда лучше AVPTool
-
inapp5.exe
BitDefender 7.2 2008.03.02 Trojan.Agent.AHDK
BitDefender уже бьет.
-
Нет ну это просто ПЭ:
C:\Program Files\FlashGet\inapp6.exe
[url]http://www.virustotal.com/ru/analisis/67ea4d1934f52bab8723954e58a519e2[/url]
-
Мда, флешгет стал загрузчиком троянов :lol:
То ли взломали сервера флешгета, то ли совсем опустились до внедрения юзерам троянов. В любом случае рекомендую удалить это счастье, есть куча менеджеров закачки более белых и пушистых :) сделайте всё же свежие логи по правилам, интересно ведь, что за сюрпризы у вас живут, которых не заметили.
-
[QUOTE=drongo;196249]Мда, флешгет стал загрузчиком троянов :lol:
То ли взломали сервера флешгета, то ли совсем опустились до внедрения юзерам троянов. В любом случае рекомендую удалить это счастье, есть куча менеджеров закачки более белых и пушистых :) сделайте всё же свежие логи по правилам, интересно ведь, что за сюрпризы у вас живут, которых не заметили.[/QUOTE]
Советую обратить свое внимание на бесплатный российский [URL="http://www.freedownloadmanager.org/"]Free Download Manager[/URL], который давно отказался от всякого рода зловредов в дистрибутиве.
-
FlashGet сервак просто хакнули, уверен...
Менять на другое не хочется, не знаю как в других менеджерах есть или нет, но старт закачки по расписанию очень нужен, выключение по завершению + работа с уже закаченными файлами очень удобна...
Drongo, логи думаю нет смысла делать, блокировщиком антивиря вроде остановил запуск... cureit добил остатки в system volume information
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Хотя сделаю щас логи много что-то у АВЗ подозрений на кейлогеры...
-
[QUOTE=Толик;197239]FlashGet сервак просто хакнули, уверен...
Менять на другое не хочется, не знаю как в других менеджерах есть или нет, но старт закачки по расписанию очень нужен, выключение по завершению + работа с уже закаченными файлами очень удобна...[/QUOTE]
В ReGet'е есть и планировщик закачек и выключение ПК или разрыв связи после скачивания. К тому же бесплатный для домашнего использования.
-
Если подозрение на кейлогер зеленым выделено - это ведь значит безопасно? Уж было перепугался, а выделены подозрения в менеджере dll зеленым
-
[QUOTE=Толик;197260]Если подозрение на кейлогер зеленым выделено - это ведь значит безопасно? Уж было перепугался, а выделены подозрения в менеджере dll зеленым[/QUOTE]
Если ты видишь в логе "зеленый" процесс, это значит, что к нему подцеплена хотя бы одна DLL, не проходящая по базе безопасных (оранжевая). Процессы, у которых все модули безопасные, в логах не показываются.
-
Чесно говоря начал делать логи с перепугу, после первого скрипта перегрузился комп, запустился сам скан диск и теперь в менеджере внедренных dll АВЗ нет тех файлов (штук 6 было) с подозрением 50% на кейлогер
один из файлов был C:\WINDOWS\system32\msv1_0.dll
C:\WINDOWS\system32\winspool.drv ето второй, было подозрение 50% теперь после ребута 0,6%
Что-то не то... то ли авз глюкануло... то ли фиг его знает что творится... посмотрите [URL="http://virusinfo.info/showthread.php?p=197279#post197279"]логи[/URL]?
-
С оффсайта:
[url]http://bbs.flashget.com/en/viewtopic.php?f=15&t=9763&st=0&sk=t&sd=a[/url]
[quote]
I've also noticed that windows\system32\sens.dll is a modified file (detected by Commodo Firewall) and it is something I managed to find people discussing in other forums on the internet (sorry, I didn't remember to copy down the URLs). I also was informed by Commodo of an odd file I had never seen before: windows\system32\msvqohas.dll. I can not find its name through google. Virustotal reports sens.dll as a file patched to include a trojan, and msvqohas is reported as suspicious.
Since I have to use this install while backing up data, I am going to try running SFC.exe /scannow to see if I can fix any modified files. Virustotal scanned my protected sens.dll and it was clean.
[/quote]
У меня на ноутбуке sens.dll был патченный :(
Восстановил командой SFC.exe /scannow, причем размер и дата файла не менялись, только МД5 изменено было...
-
Огромное спасибо за информацию. Вот аналитический взгляд на эту проблему из вирлаба Лаборатории Касперского: [url]http://www.viruslist.com/ru/weblog?weblogid=207758686[/url]
-
[quote=DVi;202046]Огромное спасибо за информацию. Вот аналитический взгляд на эту проблему из вирлаба Лаборатории Касперского: [URL]http://www.viruslist.com/ru/weblog?weblogid=207758686[/URL][/quote]
Спасибо за ссылку!
Итересно все-таки узнать какие действия производят эти трояны...
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
З.Ы. Кстати отключение автообновления в настройках FlashGetа, не влияет на обработку ини (FGUpdateХ.ini) файлов...
-
[url]http://bbs.flashget.com/en/viewtopic.php?f=13&t=9640&p=33042#p33042[/url]
[quote]Hello.
Avira Antivir detected a Flashget file on my system to be a trojan/hijacker.
Virus or unwanted program 'TR/Hijacker.Gen [trojan]'
detected in file 'C:\Program Files\FlashGet\FGUpdate\update.exe.
Action performed: Move file to quarantine
6 AV products picked up the file on Virustotal. Can this be all false positive? Or coincidence?
[url]http://www.virustotal.com/analisis/a05b920cd78f0b61a157108a876c6401[/url]
Details
[url]http://www.avira.com/en/threats/section/fulldetails/id_vir/3649/tr_hijacker.gen.html[/url]
There is too many viruses "included" in this program.
[/quote]
-
Новый "подарок".
FGUpdate3.ini
[QUOTE][Add]
fgres1.ini=1.0.0.1069
FlashGet_LOGO.gif=1.0.0.1047
updates.exe=1.2.1.1
[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%
[updates.exe]
url=http://dl.flashget.com/flashget/updates.cab
flag=3
path=%product%[/QUOTE]
updates.cab Содержит updates.exe - [url]http://www.virustotal.com/ru/analisis/2813012dc285317905d774d1a5d0f3fc[/url]
Патчит dmserver.dll - [url]http://www.virustotal.com/ru/analisis/900bd3d6bd3302f4968f5ab830b1f234[/url] , переименовывая оригинальную на dmserveresl.dll
Дропает ms****.dll, с рэндомными буквами в конце. [url]http://www.virustotal.com/ru/analisis/35ae95bf8f729170b01086b387c13406[/url]
-
Посмотрел у себя тоже самое,что описано выше.Сейчас Антивиром проверю.Проверил отдельно файлики - чистые.
[size="1"][color="#666686"][B][I]Добавлено через 6 часов 23 минуты[/I][/B][/color][/size]
Вот кстати,сейчас пытался ФаршГет включить
[url=http://radikal.ru/F/s55.radikal.ru/i147/0811/af/4f65d48526a4.jpg.html][img]http://s55.radikal.ru/i147/0811/af/4f65d48526a4t.jpg[/img][/url]
:?
-
[QUOTE=Толик;197239]FlashGet сервак просто хакнули, уверен...
[/QUOTE]
Угу, и с тех пор всё хакают и хакают, уже более полугода.
"Гиви поскользнулся на шкурке апельсина и упал на мой старый дедушкин кинжал. И так двадцать восемь раз."
Имхо, это уже не хак, это распространение авторами стороннего софта средствами flashget. В том числе и троянов - кто платит, тот и заказывает музыку.
Page generated in 0.00801 seconds with 10 queries