Показано с 1 по 7 из 7.

Trojan.Win32.BHO.abo

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Trojan.Win32.BHO.abo

    Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда.
    Будучи запущенным installer.exe скрытно выполняет следующие операции:
    1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции
    2. Изучает список запущенных процессов
    3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll
    4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX)
    5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО
    6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска.
    7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_")
    На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК

    Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей *.DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита.

    Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google.

    Удаление: Необходимо удалить компоненты зловреда при помощи BootCleaner учитывая конкретные имена файлов зловреда. Скрипт должен иметь примерно такой вид:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\avwa.dll');
     DeleteFile('\SystemRoot\system32\drivers\ahwvwcrg.dat');
     BC_ImportDeletedList;
     ExecuteSysClean;
    BC_Activate;
     RebootWindows(true);
    end.
    Последний раз редактировалось AndreyKa; 17.12.2007 в 14:32. Причина: BC_Activate;

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    что-то я не уверен, что скрипт сработает, может надёжнее? :
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\avwa.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ahwvwcrg.dat');
     BC_ImportDeletedList;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от drongo Посмотреть сообщение
    что-то я не уверен, что скрипт сработает, может надёжнее? :
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\avwa.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ahwvwcrg.dat');
     BC_ImportDeletedList;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Как раз наоборот ... '\SystemRoot\system32\drivers\ahwvwcrg.dat' - так он прописан в реестре. Следовательно, автоматическая чистка гарантировано найдет и убъет ключ драйвера. А убивалка файлов автоматом вычислит правильный путь.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    ясно хотя скрипт мало кому поможет, сам же указал, меняеться он гад

  6. #5
    Visiting Helper Репутация Репутация Репутация Аватар для XL
    Регистрация
    25.02.2006
    Адрес
    почти Москва
    Сообщений
    157
    Вес репутации
    70
    МММ... А активацию бутклинера в скрипте вверху специально отменили или все же должно быть так?

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\avwa.dll');
     DeleteFile('\SystemRoot\system32\drivers\ahwvwcrg.dat');
     BC_ImportDeletedList;
     ExecuteSysClean;
    BC_Activate;
     RebootWindows(true);
    end.
    Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...

  7. #6
    Junior Member Репутация
    Регистрация
    25.12.2007
    Сообщений
    6
    Вес репутации
    60

    Приветствую Вас! У меня тоже этот вирус есть.

    Но как от него избавиться ,я так и не понял.
    У меня установлен Антивирус Касперского 6 ,он находит этот вирус (обнаружено: троянская программа Trojan.Win32.BHO.abo Файл: C:\WINDOWS\system32\adpti.dll/PE_Patch.UPX/UPX )
    ,но лечить и удалить не может.
    Как мне от него избавиться,подскажите тупому юзеру, просто я ваш слэнг не совсем понимаю.Нужно обязательно скачивать Бутклинер,и если я его скачаю,не будет ли он конфликтовать с моим Касперским?
    Заранее благодарю!

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Обратитесь в раздел "Помогите!", но сначала прочитайте правила.

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 10.06.2012, 14:59
  2. Ответов: 2
    Последнее сообщение: 17.12.2010, 16:44
  3. Ответов: 10
    Последнее сообщение: 06.10.2010, 23:31
  4. Ответов: 3
    Последнее сообщение: 18.07.2010, 01:09
  5. Ответов: 1
    Последнее сообщение: 30.06.2009, 08:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01333 seconds with 19 queries