Новая разновидность Trojan.PSW.Linage

[Зайцев Олег]

Сегодня у нас с вети была обнаружена новаю разновидность трояна Trojan.PSW.Linage (разновидность "e" по Касперскому) на одном из ПК. Я провел анализ этого троянца и вот его описание:
Троян при первом запуске копирует себя в папку Program Files под именем explorer.exe и прописывает себя в автозагрузку классическим способом (ключ реестра Run, параметр LoadMeth1). Размер файла - 48640 байт. Внутри exe файла (в его хвосте) расположена библиотека, которая при запуске копируется трояном в папку System32 под именем htdll.dll (размер 22528, сжата UPX). Библиотека предназначена для реализации функций кейлоггера (это клавиатурный хук, который ко всему прочему импортирует winsock и судя по всему может передавать собранную информацию напрямую).
Троян может бороться с некоторыми Firewall (например, список exe оригинален - EGHOST.EXE, MAILMON.EXE, KAVPFW.EXE, IPARMOR.EXE).
Напоследок замечу, что этот троян не ловится многими антивирусами:
AntiVir TR/PSW.Linage.E (3.71 seconds taken)
Avast No viruses found (12.68 seconds taken)
BitDefender No viruses found (6.26 seconds taken)
ClamAV No viruses found (3.08 seconds taken)
Dr.Web No viruses found (4.41 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus Trojan.PSW.Linage.e (4.27 seconds taken)
mks_vir No viruses found (2.13 seconds taken)
NOD32 No viruses found (2.95 seconds taken)
Norman Virus Control No viruses found (1.04 seconds taken)

Не менее оригинален и находящийся в теле трояна текст, являющийся шаблоном для отправки письма - http://www.webshell.cn/tw.asp?tomail...l.cn&mailbody= xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxx

[Geser]

Ты Dr.Web посылаешь что находишь?

[Зайцев Олег]

Ты Dr.Web посылаешь что находишь?

Нет, а с Касперским дружу - у них оперативный саппорт, реагирует в среднем за 1-4 часа
(у нас лицензионный AVP на всех почтовых серверах стоит). Я послал этого трояна Dr.Web-у - он его действительно не детектирует (судя по on-line проверке)

[azza]

А я Касперу всего один раз послал - ни ответа, ни привета. Правда через неделю втихаря в базу включили.

[Geser]

[quote author=Зайцев Олег link=board=4;threadid=195;start=0#msg1090 date=1099487508]
Нет, а с Касперским дружу - у них оперативный саппорт, реагирует в среднем за 1-4 часа
(у нас лицензионный AVP на всех почтовых серверах стоит). Я послал этого трояна Dr.Web-у - он его действительно не детектирует (судя по on-line проверке)
[/quote]
Посылай Dr.Web тоже. Они теперь оперативнее реагируют. Всётаки КАВ задалбывает тормознутостью Так что юзаю пока Dr.Web.

[Зайцев Олег]

А я Касперу всего один раз послал - ни ответа, ни привета. Правда через неделю втихаря в базу включили.

то факт - у них любят, чтобы в письме кроме виря был еще список серийников на пол листа - чем их больше, тем быстрее реакция

А по тормозам KAV действительно лидер (причем я не верю в "эвристические алгоритмы" - тот же drWeb хотя бы пытается реально выдавать подозрения на троянов - у KAV я в сущности никогда не видел срабатывания его эвристики по делу ... ). Так что DrWeba я включу в списки рассылки вирусни, пускай пополняют базы

[Geser]

Кстати, всякую муть, которая не вирусы, можешь скыдывать Лавасофтовцам http://www.lavasofthelp.com/submit/ они носом не крутят, добавляют что присылаешь

[Зайцев Олег]

Кстати, всякую муть, которая не вирусы, можешь скыдывать Лавасофтовцам http://www.lavasofthelp.com/submit/ они носом не крутят, добавляют что присылаешь

Проще ее отдать самому себе и занести в AVZ

[Geser]

[quote author=Зайцев Олег link=board=4;threadid=195;start=0#msg1111 date=1099557648]
Проще ее отдать самому себе и занести в AVZ
[/quote]
Это правильно, но AVZ пока ещё пользуются не все

[Geser]

Кста, как будет закончен новый интерфейс я попробую пробить анонс на kpnemo.ru и kadets.ru
И не забудь английскую версию