-
Trojan.Win32.BHO.abo
Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда.
Будучи запущенным installer.exe скрытно выполняет следующие операции:
1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции
2. Изучает список запущенных процессов
3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll
4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX)
5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО
6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска.
7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_")
На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК
Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей *.DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита.
Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google.
Удаление: Необходимо удалить компоненты зловреда при помощи BootCleaner учитывая конкретные имена файлов зловреда. Скрипт должен иметь примерно такой вид:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avwa.dll');
DeleteFile('\SystemRoot\system32\drivers\ahwvwcrg.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось AndreyKa; 17.12.2007 в 14:32.
Причина: BC_Activate;
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
что-то я не уверен, что скрипт сработает, может надёжнее? :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avwa.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ahwvwcrg.dat');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
-
-
Сообщение от
drongo
что-то я не уверен, что скрипт сработает, может надёжнее? :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avwa.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ahwvwcrg.dat');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
Как раз наоборот ... '\SystemRoot\system32\drivers\ahwvwcrg.dat' - так он прописан в реестре. Следовательно, автоматическая чистка гарантировано найдет и убъет ключ драйвера. А убивалка файлов автоматом вычислит правильный путь.
-
-
ясно хотя скрипт мало кому поможет, сам же указал, меняеться он гад
-
-
МММ... А активацию бутклинера в скрипте вверху специально отменили или все же должно быть так?
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avwa.dll');
DeleteFile('\SystemRoot\system32\drivers\ahwvwcrg.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
-
-
Junior Member
- Вес репутации
- 60
Приветствую Вас! У меня тоже этот вирус есть.
Но как от него избавиться ,я так и не понял.
У меня установлен Антивирус Касперского 6 ,он находит этот вирус (обнаружено: троянская программа Trojan.Win32.BHO.abo Файл: C:\WINDOWS\system32\adpti.dll/PE_Patch.UPX/UPX )
,но лечить и удалить не может.
Как мне от него избавиться,подскажите тупому юзеру, просто я ваш слэнг не совсем понимаю.Нужно обязательно скачивать Бутклинер,и если я его скачаю,не будет ли он конфликтовать с моим Касперским?
Заранее благодарю!
-
Обратитесь в раздел "Помогите!", но сначала прочитайте правила.
-