-
Junior Member
- Вес репутации
- 59
Подозрительный файл
Здравствуйте, сегодня перезагрузил FlashGet, и при старте FlashGetа, зонеаларм ругнулся на файл C:\Program Files\FlashGet\inapp4.exe (41 472 байт дата создания 28.02), просящегося в интернет.
Проверил на вирустотал:
Файл inapp4.exe получен 2008.02.28 22:02:40 (CET)
Текущий статус: закончено
Результат: 5/32 (15.62%)
АнтивирусВерсияОбновлениеРезультат
AhnLab-V32008.2.28.22008.02.28-
AntiVir7.6.0.672008.02.28HEUR/Malware
Authentium4.93.82008.02.28-Avast4.7.1098.02008.02.28-
AVG7.5.0.5162008.02.28-BitDefender7.22008.02.28-
CAT-QuickHeal9.502008.02.28-
ClamAV0.92.12008.02.28-
DrWeb4.44.0.091702008.02.28-
eSafe7.0.15.02008.02.28Suspicious File
eTrust-Vet31.3.55712008.02.28-
Ewido4.02008.02.28-FileAdvisor12008.02.28-
Fortinet3.14.0.02008.02.28-
F-Prot4.4.2.542008.02.28-
F-Secure6.70.13260.02008.02.28-
IkarusT3.1.1.202008.02.28-
Kaspersky7.0.0.1252008.02.28-
McAfee52412008.02.28-
Microsoft1.33012008.02.28-
NOD32v229092008.02.28-
Norman5.80.022008.02.28-
Panda9.0.0.42008.02.27Suspicious file
Prevx1V22008.02.28Heuristic: Suspicious Self Modifying FileRising20.33.32.002008.02.28-Sophos4.27.02008.02.28-Sunbelt3.0.906.02008.02.28-
Symantec102008.02.28-TheHacker6.2.9.2292008.02.25-VBA323.12.6.22008.02.27-
VirusBuster4.3.26:92008.02.28-Webwasher-Gateway6.6.22008.02.28Heuristic.Malware
http://www.virustotal.com/ru/analisi...ad02ff9e8f0065
Я так понял, что файл пришел как обновление для флэшгета, но я его не обновлял.
Вот еще 2 ini файла из папки флешгета от 28.02
FGUpdate3.ini
[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031
[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%
[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%
fgres1.ini
[root]
version=1.0.0.1034
enable=1
interval=10
[hotlink-cn]
number=1
text1=µзДФФЛРР»єВэЈїЗлБўјґУЕ»ЇЈЎ
link1=http://home.wangmeng.com/ab.aspx?lii=102271,321,216,4621,90007,26654,
26654,76647&dest=http%3a%2f%2fkiller.
www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3
d26654%26b%3d76647%26c%3d%26d%3d%26e%3d%26f%3d
[hotlink-tw]
number=0
[hotlink-en]
number=0
[proper-link]
link=http://www.kuaiche.com/?from=cn
text=ИИГЕµзУ°ЧКФґПВФШ
[gif-link]
filename=FlashGet_LOGO.gif
url=http://home.wangmeng.com/ab.aspx?lii=103481,321,216,5419,22112,14070,14070, 76215&dest=
http%3a%2f%2fkiller.
www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3d 14070%26b%3d76215%26c%3d%
26d%3d%26e%3d%26f%3d
Спасибо за помощь!
Последний раз редактировалось anton_dr; 02.03.2008 в 01:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 59
drweb.com
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирусы: Trojan.DownLoader.49401, Trojan.MulDrop.11828.
Спасибо за сотрудничество.
Получается, китайцы через "обновление" FlashGet, могут насовать что угодно.
Повторю еще раз, я FlashGet САМ не обновлял. Осторожней с FlashGetом теперь буду...
-
Junior Member
- Вес репутации
- 60
выловил inapp4.exe 40,5 KB (41 472 байт) после сообщения
блокировщика Аваст о попытке удаления какого-то файла... rundll32.exe кажется... программой inapp4.exe, что и насторожило...
Может доктора все-таки ошиблись?
-
Junior Member
- Вес репутации
- 59
После запуска inapp4.exe - Trojan.MulDrop.11828 появляется:
C:\WINDOWS\system32\biosnt.dll - Trojan.DownLoader.49401
У меня еще знакомые наловили его через FlashGet.
Я так понял, кто-то ломанул сайт флэшгета, и насунул трояна, вместо апдэйта.
inapp4.exe тянулся из этой ссылки http://dl.flashget.com/flashget/appA.cab в файле FGUpdate3.ini. Но ссылку быстро прибили (Не удается найти веб-страницу).
-
Junior Member
- Вес репутации
- 60
Здравствуйте,
inapp4.exe_ - Trojan-Dropper.Win32.Agent.exo
Детектирование файла будет добавлено в следующее обновление.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
e-mail: [email protected]
http://www.kaspersky.com/
Значит вирус точно....
Щас скачаю CureIt
-
Junior Member
- Вес репутации
- 59
Новый "подарок" от FlashGetа C:\Program Files\FlashGet\inapp5.exe
И снова тихо http://www.virustotal.com/ru/analisi...f72999e83c39a9
-
Сообщение от
Толик
Здравствуйте,
inapp4.exe_ - Trojan-Dropper.Win32.Agent.exo
Детектирование файла будет добавлено в следующее обновление.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
e-mail:
[email protected]
http://www.kaspersky.com/
Значит вирус точно....
Щас скачаю CureIt
Тогда лучше AVPTool
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
inapp5.exe
BitDefender 7.2 2008.03.02 Trojan.Agent.AHDK
BitDefender уже бьет.
-
Junior Member
- Вес репутации
- 59
Нет ну это просто ПЭ:
C:\Program Files\FlashGet\inapp6.exe
http://www.virustotal.com/ru/analisi...23954e58a519e2
-
Мда, флешгет стал загрузчиком троянов
То ли взломали сервера флешгета, то ли совсем опустились до внедрения юзерам троянов. В любом случае рекомендую удалить это счастье, есть куча менеджеров закачки более белых и пушистых сделайте всё же свежие логи по правилам, интересно ведь, что за сюрпризы у вас живут, которых не заметили.
-
-
Сообщение от
drongo
Мда, флешгет стал загрузчиком троянов
То ли взломали сервера флешгета, то ли совсем опустились до внедрения юзерам троянов. В любом случае рекомендую удалить это счастье, есть куча менеджеров закачки более белых и пушистых
сделайте всё же свежие логи по правилам, интересно ведь, что за сюрпризы у вас живут, которых не заметили.
Советую обратить свое внимание на бесплатный российский Free Download Manager, который давно отказался от всякого рода зловредов в дистрибутиве.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Junior Member
- Вес репутации
- 60
FlashGet сервак просто хакнули, уверен...
Менять на другое не хочется, не знаю как в других менеджерах есть или нет, но старт закачки по расписанию очень нужен, выключение по завершению + работа с уже закаченными файлами очень удобна...
Drongo, логи думаю нет смысла делать, блокировщиком антивиря вроде остановил запуск... cureit добил остатки в system volume information
Добавлено через 10 минут
Хотя сделаю щас логи много что-то у АВЗ подозрений на кейлогеры...
Последний раз редактировалось Толик; 04.03.2008 в 23:02.
Причина: Добавлено
-
Сообщение от
Толик
FlashGet сервак просто хакнули, уверен...
Менять на другое не хочется, не знаю как в других менеджерах есть или нет, но старт закачки по расписанию очень нужен, выключение по завершению + работа с уже закаченными файлами очень удобна...
В ReGet'е есть и планировщик закачек и выключение ПК или разрыв связи после скачивания. К тому же бесплатный для домашнего использования.
-
-
Junior Member
- Вес репутации
- 60
Если подозрение на кейлогер зеленым выделено - это ведь значит безопасно? Уж было перепугался, а выделены подозрения в менеджере dll зеленым
-
Сообщение от
Толик
Если подозрение на кейлогер зеленым выделено - это ведь значит безопасно? Уж было перепугался, а выделены подозрения в менеджере dll зеленым
Если ты видишь в логе "зеленый" процесс, это значит, что к нему подцеплена хотя бы одна DLL, не проходящая по базе безопасных (оранжевая). Процессы, у которых все модули безопасные, в логах не показываются.
-
-
Junior Member
- Вес репутации
- 60
Чесно говоря начал делать логи с перепугу, после первого скрипта перегрузился комп, запустился сам скан диск и теперь в менеджере внедренных dll АВЗ нет тех файлов (штук 6 было) с подозрением 50% на кейлогер
один из файлов был C:\WINDOWS\system32\msv1_0.dll
C:\WINDOWS\system32\winspool.drv ето второй, было подозрение 50% теперь после ребута 0,6%
Что-то не то... то ли авз глюкануло... то ли фиг его знает что творится... посмотрите логи?
-
Junior Member
- Вес репутации
- 59
С оффсайта:
http://bbs.flashget.com/en/viewtopic...st=0&sk=t&sd=a
I've also noticed that windows\system32\sens.dll is a modified file (detected by Commodo Firewall) and it is something I managed to find people discussing in other forums on the internet (sorry, I didn't remember to copy down the URLs). I also was informed by Commodo of an odd file I had never seen before: windows\system32\msvqohas.dll. I can not find its name through google. Virustotal reports sens.dll as a file patched to include a trojan, and msvqohas is reported as suspicious.
Since I have to use this install while backing up data, I am going to try running SFC.exe /scannow to see if I can fix any modified files. Virustotal scanned my protected sens.dll and it was clean.
У меня на ноутбуке sens.dll был патченный
Восстановил командой SFC.exe /scannow, причем размер и дата файла не менялись, только МД5 изменено было...
-
Огромное спасибо за информацию. Вот аналитический взгляд на эту проблему из вирлаба Лаборатории Касперского: http://www.viruslist.com/ru/weblog?weblogid=207758686
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
DVi
Спасибо за ссылку!
Итересно все-таки узнать какие действия производят эти трояны...
Добавлено через 4 минуты
З.Ы. Кстати отключение автообновления в настройках FlashGetа, не влияет на обработку ини (FGUpdateХ.ini) файлов...
Последний раз редактировалось Username; 14.03.2008 в 22:32.
Причина: Добавлено