-
Опасный SpyWare Spy.WinAd
По моей статистике существенно участились случаи заражения компьютеров SpyWare программой, которая по моей классификации называется Spy.Winad (в лаборатории Касперского один из модулей классифицировали как Trojan.Win32.Winad.a, но затем его новые разновидности стали фигурировать у них как AdvWare.WinAd).
Проявлением Spy.Winad является появление в памяти двух посторониих процессов, причем с опцией "неубиваемости" - при удалении процесс немедленно перезапускается. Инсталлируется он как ActiveX компонента из архива с именем bridge-c*.cab, где на месте * - порядковый номер. Одним из источников является сайт windupdates.com.
WinAd опасен тем, что кроме Spy/AdvWare деятельности у него есть деструктивное проявление - он удаляет autoexec.nt (или autoexec.bat в win9.
Все известные мне версии заложены в базы AVZ. Для ручного поиска нужно искать файлы с именами winad.exe, winadx.dll, winadx.inf, clientcom.dll, winclt.exe, syncroad.exe, winsync.exe, ccomm.dll и архивы с именем bridge-c*.cab.
Кроме того, Spy.WinAd создает CLSID 15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6 в реестре
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Опасный SpyWare Spy.WinAd
Спасибо. Переслал также в эхоконференцию fidonet ADINF.SUPPORT (об adinf, drweb).
( http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6790&130 )
-
-
Re:Опасный SpyWare Spy.WinAd
Спасибо. Переслал также в эхоконференцию fidonet ADINF.SUPPORT (об adinf, drweb).
Народ отозвался:
From: Andrey Melnikoff <temnota+news(ats)kmv.ru>
> Проявлением Spy.Winad является появление в памяти двух
> посторониих процессов, причем с опцией "неубиваемости" - при
> удалении процесс немедленно перезапускается.
Касперский 4.5 героически умирает, при попытке их прибить. Лучше всего - берем far 170b5 идем в process list, выделяем (!sic) ненужные процессы и давим F8. Помогает на ура.
Обычно живет в Program Files\Winad_Client\ с именами:
ClientCom.dll,WinClt.exe,Winad.exe
-
-
Visiting Helper
- Вес репутации
- 76
Re:Опасный SpyWare Spy.WinAd
каспером 5.0 сносится на ура...
и судя по всему этот АД распространяется через лсасс т.к друг купил комп и через 3 часа после установки виндовса он меня уже просил посмотреть в чем дело
дело оказалос в 43 вирусах которые разными путями попали к нему
-
-
Re:Опасный SpyWare Spy.WinAd
Сообщение от
Sanja
каспером 5.0 сносится на ура...
Щас, у меня Каспер 5.0.142 свежеобновленный, я ему скармливаю winad.exe, а он - 0 вирусов! Я отправляю файл на сайт касперов, а он - вредоносного кода нет, точно хотите послать? Короче, Каспер меня разочаровал :-(
-
-
Visiting Helper
- Вес репутации
- 76
Re:Опасный SpyWare Spy.WinAd
-
-
Re:Опасный SpyWare Spy.WinAd
Сообщение от
BigTurtle
Щас, у меня Каспер 5.0.142 свежеобновленный, я ему скармливаю winad.exe, а он - 0 вирусов! Я отправляю файл на сайт касперов, а он - вредоносного кода нет, точно хотите послать? Короче, Каспер меня разочаровал :-(
Касперский действительно не ловит SpyWare/AdvWare с обычной базой. Для загрузки расширенных нужно использовать URL типа этого - http://updates1.kaspersky-labs.com/updates_x (в хвост добавив "_x"). Но с расширенной базой нужно работать очень осторожно - в категории RiskWare очень много полезных программб поэтому "лечение" расширенной базой компьютера может угробить массу приложений. Кроме того, у Касперского нет категории SpyWare - этот самый WinAd идет как not-a-virus.AdvWare.WinAd
-
-
Visiting Helper
- Вес репутации
- 73
Re:Опасный SpyWare Spy.WinAd
Новые названия:
1. C:\Program Files\Win Comm
Wincomm.exe, Winlock.exe, Windat.dll
2. C:\Program Files\Windows AdTools
WinAdTools.exe, WinRatchet.exe, WinWrench.dll
Ответ ДрВеба:
это все Adware-программы. Удаляются стандартными средствами ОС через Add/Remove Programs
-
-
Re:Опасный SpyWare Spy.WinAd
Сообщение от
azza
Ответ ДрВеба: ...
Аналогично Касперский - категория AdvWare (хотя изначально они включили ее в разряд троянов), причем ловит AVP не все разновидности. Причем как соотнести удаление autoexеc.bat (это же по идее троянская функция), скрытную установку и отсутствие удаление (я реально вычистил WinAd не менее чем с 3 ПК - ни на одном он не был в списке "Установка-удаление программ"), "неубиваемость" за счет использования двух процессов ... но доказать производителю антивиря это нереально - я неоднократно пробовал с нулевым результатом.
Замечу, что WinAd есть не только под именем Win Comm - я сегодня поймал еще два аналог - сайт-источник то-же, но разные имена процессов и их сигнатуры
-
-
Re:Опасный SpyWare Spy.WinAd
Такие вещи лучше отправлять разработчикам ad-aware. Они добавляют всё как положено http://www.lavasofthelp.com/submit/ А ДрВеб даже порнозвонилки добавлять не хотят.
-
-
Visiting Helper
- Вес репутации
- 73
Re:Опасный SpyWare Spy.WinAd
Самое печальное, что вместе с WinAd'овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.
-
-
Re:Опасный SpyWare Spy.WinAd
Сообщение от
azza
Самое печальное, что вместе с WinAd'овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.
Отправь ещё раз только трояны. Кстати, ad-awar-овцы и трояны тоже добавляют. Так что можешь им кинуть весь архив. Если у них нет ограничения на размер файла.
-
-
Re:Опасный SpyWare Spy.WinAd
Сообщение от
azza
Самое печальное, что вместе с WinAd'овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.
Можешь послать их мне на [email protected] (ограничений на объем там нет) - любопытно посмотреть, что это за зверье - может, что-то новое. Особенно интересны версии WinAd - он "прогрессирует" на глазах, скоро будет как IstBar - по три версии в неделю
-
-
Re:Опасный SpyWare Spy.WinAd
Ну вот, от azza пришел архив и я его посмотрел. Сразу детектируется
TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r. Плюс куча SpyWare - Spy.Winad новых типов (в папке Program Files\Windows AdTools\ и bridge-c46[2].cab (это ActiveX - его инсталлер) и Program Files\Win Comm\).
Далее наблюдаются еще два шпиона Spy.BetterInternet, Spy.180Solutions и интересный файлик - ide21201.vxd размером 4 кб. Я уже неоднократно его вычищал с разных ПК, зараженных SpyWare, в лаборатории Касперского по его поводу ничего не сказали ... virustotal по всем позициям говорит "чист". По структуре это "Linear Executable", по флагам заголовка - "Prot. Virt. Dev. Driver", по данным дизассемблера - это драйвер, ведет обмен через некие порты ввода вывода ... зачем он нужен SpyWare - загадка. Могу сбросить его всем, желающим поковырять его дизассемблером
-
-
Re:Опасный SpyWare Spy.WinAd
Да, WinAd ширится и множится - за три дня я занес в базы AVZ еще три новые его разновидности - B, C, D. Новые разновидности "живут" в папках Win Comm и Windows AdTools
-
-
SpyWare - советы и хронология
Здраствуйте, сегодня я "ознакомился" с этим ненавистным AdTools.
Сейчас расскажу как это было.
Итак, я искал какой-то крэк-файл для моего любимого Flash'a,
и вдруг комп подвис. Ни одна страница не грузится (у меня dial-up),
а значок с двумя компами непрерывно горит, как будто что-то грузится и
мешает всему остальному. Я зашел в taskmgr (у меня WinXP), и нашел
там два странных процесса - WinAdTools.exe и WinRatchet.exe.
Они не завершаются, а после перезагрузки процессы снова работают.
Если я удаляю ключ запуска с виндой hklm\software\microsoft\windows\currentversion\run WinAdTools, он появляется снова! Но я быстро снёс его, может мне такая "легкая" версия адтулза попалась, но он стерся сам с помощью "Установка и удаление программ", а дальше я покопался в реестре и вычистил остатки вируса.
Ещё, если "Установка и..." не помогает, попробуйте загрузится в safe mode
,adtools автоматически не запустится и его можно спокойно удалить.
Папки в которых он сидит я нашел только Program Files\Windows AdTools и
Windows\Downloaded Program Files, где сидит его CLSID. В реестре просто набирайте "Поиск\AdTools" и сносите все ключи, понаделанные этим гадом.
После этого я Лавасофтом 6 проверял - ничего нет. Интересно, что это за стремный сайт windupdates.com с которого пришло это?
И еще, кто-нибудь знает, где мог успеть нагадить AdTools за 5 минут, пока я его удалял?
Я надеюсь он не спер мои пароли в инет...по крайней мере autoexec.nt у меня в порядке.
И вообще - совет, если что, сносите всю гадость из реестра или переустанавливайте Windows XP. Разбейте диск на разделы,
в которых на одном будет операционка и системные проги, а на другом -
все нужные вам файлы. Если что, форматируйте диск C, а все ваши файлы
останутся на диске D. НО - НИКОГДА не храните ничего важного в папке
"Мои документы". После переустановки попасть в них очень сложно из-за ACL под WinXP.
-
-
Re:Опасный SpyWare Spy.WinAd
м-да, хорошо что еще не придумали вируса, который бы скрытно
менял настройки BIOS'а или программно отключал вентиляторы.
Потрясающий был бы эффект: CPU Core Voltage на сверхмаксимальное значение и...звиздец компьютеру... :o
-
-
Re:Опасный SpyWare Spy.WinAd
Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют...)))))).
А если еще его прочесть....
Там написано, что ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ :, и ещё,
что Я НЕ ИМЕЮ ПРАВА КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ, УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ, И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
...ваще, офигеть...
-
-
Re:Опасный SpyWare Spy.WinAd
Сообщение от
Cs
Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют...
)))))).
А если еще его прочесть....
Там написано, что
ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ :
, и ещё,
что
Я НЕ ИМЕЮ ПРАВА КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ,
УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ, И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
...ваще, офигеть...
Это нормально
Причем чем погаей шпион, тем объемнее у него пользовательское и лицензионное соглашение ...
-
-
Re:Опасный SpyWare Spy.WinAd
Ну вот, Gesser поймал и прислал мне новый тип WinAd (в базы AVZ он попал как Spy.WinAd.e). На сей раз файлы называются WinAdCtl.exe (25088 байт) и WinAdShift.dll (60416 байт), оба сжаты UPX. Сайт источник прежний - http://www.windupdates.com/. В ходе работы он создает файлик в ide21201.vxd в папке System, он хранится в хвосте WinAdCtl.exe. Стартует WinAd типично - ключ автозагрузки в реестре.
Как и ранее, WinAd неравнодушен к autoexec.nt ...
-